Cree una CA privada en AWS Private CA - AWS Private Certificate Authority
Ejemplos de CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree una CA privada en AWS Private CA

Puede usar los procedimientos de esta sección para crear una raíz CAs o una subordinadaCAs, lo que dará como resultado una jerarquía auditable de relaciones de confianza que se ajuste a las necesidades de su organización. Puede crear una CA utilizando la parte de PCA de AWS Management Console, o. AWS CLI AWS CloudFormation

Para obtener información sobre la actualización de la configuración de una CA que ya ha creado, consulte Actualice una CA privada en AWS Private Certificate Authority.

Para obtener información sobre el uso de una entidad de certificación para firmar certificados de entidad final para los usuarios, dispositivos y aplicaciones, consulte Emita certificados privados de entidad final.

nota

A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea.

Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.

Console
Para crear una entidad de certificación privada con la consola de

  1. Utilice los siguientes pasos para crear una CA privada mediante la AWS Management Console.

    Para comenzar a utilizar la consola

    Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola enhttps://console.aws.amazon.com/acm-pca/home.

    • Si vas a abrir la consola en una región en la que no tienes información privada CAs, aparecerá la página de introducción. Elija Crear una CA privada.

    • Si va a abrir la consola en una región en la que ya ha creado una CA, se abrirá la página de autoridades de certificación privadas con una lista de las suyas CAs. Seleccione Crear CA.

  2. En Opciones de modo, elija el modo de caducidad de los certificados que emite su CA.

    • Uso general: emite certificados que se pueden configurar con cualquier fecha de caducidad. Esta es la opción predeterminada.

    • Certificado de corta duración: emite certificados con un período de validez máximo de siete días. Un período de validez breve puede sustituir en algunos casos a un mecanismo de revocación.

  3. En la sección Tipo de opciones de la consola, seleccione el tipo de entidad de certificación privada que desea crear.

    • Al elegir Raíz, se establece una nueva jerarquía de entidades de certificación. Esta entidad de certificación está respaldada por un certificado autofirmado. Actúa como la autoridad de firma definitiva para otros certificados CAs y para los de la entidad final de la jerarquía.

    • Al elegir una Subordinada se crea una entidad de certificación que debe estar firmada por una entidad de certificación (CA) principal encima de ella en la jerarquía. Los certificados subordinados se CAs utilizan normalmente para crear otros certificados subordinados CAs o para emitir certificados de entidad final a usuarios, ordenadores y aplicaciones.

      nota

      Autoridad de certificación privada de AWS proporciona un proceso de firma automatizado cuando la CA principal de la CA subordinada también está alojada en. Autoridad de certificación privada de AWS Todo lo que tiene que hacer es elegir la CA principal que va a utilizar.

      Es posible que su CA subordinada deba estar firmada por un proveedor de servicios de confianza externo. Si es así, le Autoridad de certificación privada de AWS proporciona una solicitud de firma de certificados (CSR) que debe descargar y utilizar para obtener un certificado de CA firmado. Para obtener más información, consulte Instale un certificado de CA subordinado firmado por una CA principal externa.

  4. En las opciones de nombre distintivo del asunto, configure el nombre del asunto de su CA privada. Debe escribir al menos uno de los siguientes valores:

    • Organización (O): por ejemplo, el nombre de una empresa

    • Unidad organizativa (OU): por ejemplo, una división dentro de una empresa

    • Nombre del país (C): código de país de dos letras

    • Nombre de estado o provincia: nombre completo de un estado o una provincia

    • Nombre de la localidad: el nombre de una ciudad

    • Nombre común (CN): cadena legible por humanos para identificar la CA.

    nota

    Puede personalizar aún más el nombre del asunto de un certificado aplicando una APIPassthrough plantilla en el momento de su emisión. Para obtener más información y un ejemplo detallado, consulte Emita un certificado con un nombre de asunto personalizado mediante una plantilla APIPassthrough .

    Dado que el certificado de respaldo se firma automáticamente, la información de asunto que proporciona para una entidad de certificación (CA) privada es probablemente más dispersa que la que podría contener una entidad de certificación pública. Para obtener más información acerca de cada uno de los valores que componen un nombre distintivo de asunto, consulte RFC 5280.

  5. En Opciones de algoritmos clave, elija el algoritmo clave y el tamaño en bits de la clave. El valor predeterminado es un algoritmo RSA con una longitud clave de 2048 bits. Puede elegir entre los siguientes algoritmos:

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. En Opciones de revocación de certificados, puede seleccionar entre dos métodos para compartir el estado de revocación con los clientes que utilizan sus certificados:

    • Activar la distribución de CRL

    • Encender OCSP

    Puede configurar una de estas opciones de revocación, ninguna o ambas para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Planifique el método de revocación AWS Private CA de su certificado para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las funciones de revocación adicionales.

    nota

    Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte Actualice una CA privada en AWS Private Certificate Authority.

    Para configurar las opciones de revocación de certificados, lleve a cabo los siguientes pasos.

    1. En Opciones de revocación de certificados, elija Activar la distribución de CRL.

    2. Si desea crear un bucket de Amazon S3 para las entradas de CRL, seleccione Create a new S3 bucket (Crear un nuevo bucket de S3) y escriba un nombre de bucket que sea único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, en S3 bucket URI (URI del bucket de S3), seleccione un bucket existente de la lista.

      Al crear un bucket nuevo a través de la consola, Autoridad de certificación privada de AWS intenta adjuntar la política de acceso requerida al bucket e inhabilitar la configuración de bloqueo de acceso público (BPA) predeterminada de S3. Si, por el contrario, especifica un bucket existente, debe asegurar que el BPA esté desactivado para la cuenta y para el bucket. De lo contrario, se produce un error en la operación para crear la CA. Si la CA se ha creado correctamente, debe adjuntarle manualmente una política antes de empezar a CRLs generarla. Utilice uno de los patrones de políticas descritos en Políticas de acceso para CRLs Amazon S3 . Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.

      importante

      Se produce un error al intentar crear una CA mediante la Autoridad de certificación privada de AWS consola si se cumplen todas las condiciones siguientes:

      • Está configurando una CRL.

      • Solicita Autoridad de certificación privada de AWS crear un bucket de S3 automáticamente.

      • Está aplicando la configuración de BPA en S3.

      En esta situación, la consola crea un bucket, pero intenta hacerlo accesible al público y no lo consigue. Compruebe la configuración de Amazon S3 si esto ocurre, desactive el BPA según sea necesario y, a continuación, repita el procedimiento para crear una CA. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.

    3. Expanda Configuración de CRL para obtener opciones de configuración adicionales.

      • Seleccione Habilitar la partición para habilitar la partición de. CRLs Si no habilita la partición, su CA estará sujeta al número máximo de certificados revocados. Para obtener más información, consulte Cuotas de AWS Private Certificate Authority. Para obtener más información sobre las particiones CRLs, consulta los tipos de CRL.

      • Agregue un Nombre de CRL personalizado para crear un alias para el bucket de Amazon S3. Este nombre se incluye en los certificados emitidos por la entidad de certificación (CA) en la extensión “Puntos de distribución de CRL” definida por RFC 5280.

      • Añada una ruta personalizada para crear un alias de DNS para la ruta del archivo en su bucket de Amazon S3.

      • Introduzca la validez en días en los que su CRL seguirá siendo válida. El valor predeterminado es 7 días. En el caso de Internet CRLs, es habitual que el período de validez sea de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerar la CRL en el punto medio del período especificado.

    4. Amplíe los ajustes de S3 para configurar de forma opcional el control de versiones de los buckets y el registro de acceso a los buckets.

  7. Para ver las opciones de revocación de certificados, seleccione Activar OCSP.

    1. En el campo Punto de conexión de OCSP personalizado (opcional), puede proporcionar un nombre de dominio completo (FQDN) para un punto de conexión de OCSP que no sea de Amazon.

      Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar de la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

      • Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS

      • Agregue el registro CNAME correspondiente a su base de datos DNS.

      sugerencia

      Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte Personalice la URL de OCSP para AWS Private CA.

      Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.

      Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico

      alternative.example.com

      		 CNAME Sencillez - proxy.example.com
      nota

      El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.

  8. En Agregar etiquetas, puede etiquetar la entidad de certificación (CA) de forma opcional. Las etiquetas son pares de valor de clave que sirven como metadatos para identificar y organizar los recursos de AWS . Para obtener una lista de Autoridad de certificación privada de AWS los parámetros de las etiquetas y obtener instrucciones sobre cómo añadirlas CAs después de crearlas, consulte. Agregue etiquetas para su CA privada

    nota

    Para adjuntar etiquetas a una entidad de certificación (CA) privada durante el procedimiento de creación, el administrador de una CA debe asociar primero a la acción CreateCertificateAuthority una política de IAM integrada y permitir el etiquetado de forma explícita. Para obtener más información, consulte Tag-on-create: Adjuntar etiquetas a una CA en el momento de su creación.

  9. En las opciones de permisos de CA, puede delegar opcionalmente los permisos de renovación automática al director del AWS Certificate Manager servicio. ACM solo puede renovar automáticamente los certificados de entidades finales privadas generados por esta CA si se concede este permiso. Puede asignar permisos de renovación en cualquier momento con la Autoridad de certificación privada de AWS CreatePermissionAPI o el comando CLI create-permission.

    El valor predeterminado consiste en habilitar estos permisos.

    nota

    AWS Certificate Manager no admite la renovación automática de certificados de corta duración.

  10. En Precios, confirme que entiende los precios de una entidad de certificación privada.

    nota

    Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.

  11. Elija Crear CA después de comprobar que toda la información introducida es correcta. Se abre la página de detalles de la CA y muestra su estado como Certificado pendiente.

    nota

    En la página de detalles, puede terminar de configurar su CA seleccionando Acciones, Instalar el certificado de CA o puede volver más tarde a la lista de entidades de certificación privadas y completar el procedimiento de instalación que corresponda en su caso:

CLI

Utilice el comando create-certificate-authority para crear una entidad de certificación privada. Debe especificar la configuración de la CA (que contiene información sobre el algoritmo y el nombre del asunto), la configuración de revocación (si planea utilizar el OCSP o una CRL) y el tipo de CA (raíz o subordinada). Los detalles de la configuración y la revocación se incluyen en dos archivos que se proporcionan como argumentos al comando. Si lo desea, también puede configurar el modo de uso de la CA (para emitir certificados estándar o de corta duración), adjuntar etiquetas y proporcionar un token de idempotencia.

Si está configurando una CRL, debe disponer de un bucket de Amazon S3 seguro antes de ejecutar el comando de create-certificate-authority. Para obtener más información, consulte Políticas de acceso para CRLs Amazon S3 .

El archivo de configuración de la CA determina la siguiente información:

  • El nombre del algoritmo

  • El tamaño de la clave que se va a utilizar para crear la clave privada de CA

  • El tipo de algoritmo de firma que la CA utiliza para firmar

  • La información del sujeto de X.500

La configuración de revocación de OCSP define un objeto de OcspConfiguration con la siguiente información:

  • Establezca la marca Enabled en “true”.

  • (Opcional) Un CNAME personalizado declarado como valor para OcspCustomCname.

La configuración de revocación de una CRL define un objeto de CrlConfiguration con la siguiente información:

  • Establezca la marca Enabled en “true”.

  • El periodo de caducidad de la CRL en días (periodo de validez de la CRL).

  • El bucket de Amazon S3 que contendrá la CRL.

  • (Opcional) Un ObjectAcl valor de S3 que determina si la CRL es de acceso público. En el ejemplo que se presenta aquí, el acceso público está bloqueado. Para obtener más información, consulte Habilite S3 Block Public Access (BPA) con CloudFront.

  • (Opcional) Un alias CNAME para el bucket de S3 que se va a incluir en los certificados de la CA. Si la CRL no es de acceso público, apuntará a un mecanismo de distribución como Amazon CloudFront.

  • (Opcional) Un CrlDistributionPointExtensionConfiguration objeto con la siguiente información:

    • El OmitExtension indicador está establecido en «verdadero» o «falso». Esto controla si el valor predeterminado de la extensión CDP se escribirá en un certificado emitido por la CA. Para obtener más información sobre la extensión CDP, consulte. Determinación del URI del punto de distribución (CDP) de la CRL CustomCname No se puede establecer A si OmitExtension es «verdadero».

  • (Opcional) Una ruta personalizada para la CRL del bucket de S3.

  • (Opcional) Un CrlTypevalor que determina si la CRL estará completa o particionada. Si no se proporciona, la CRL se completará de forma predeterminada.

nota

Puede habilitar ambos mecanismos de revocación en la misma CA definiendo tanto un objeto OcspConfiguration como un objeto CrlConfiguration. Si no proporciona ningún parámetro --revocation-configuration, ambos mecanismos están deshabilitados de forma predeterminada. Si necesita soporte para la validación de la revocación más adelante, consulte Actualizar una CA (CLI).

Consulte la siguiente sección para ver ejemplos de CLI.

Ejemplos de CLI para crear una CA privada

En los ejemplos siguientes se supone que ha configurado el directorio de configuración .aws con una región, un punto de conexión y unas credenciales predeterminados válidos. Para obtener información sobre la configuración del AWS CLI entorno, consulte Ajustes de configuración y archivos de credenciales. Para facilitar la lectura, en los comandos de ejemplo proporcionamos la entrada de configuración y revocación de la CA como archivos JSON. Modifique los archivos de ejemplo según sea necesario para su uso.

Todos los ejemplos utilizan el siguiente archivo de configuración ca_config.txt a menos que se indique lo contrario.

Archivo: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Ejemplo 1: crear una CA con OCSP activado

En este ejemplo, el archivo de revocación habilita la compatibilidad predeterminada con OCSP, que utiliza el Autoridad de certificación privada de AWS respondedor para comprobar el estado del certificado.

Archivo: revoke_config.txt para OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la nueva CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Ejemplo 2: crear una CA con OCSP activado y un CNAME personalizado y habilitado

En este ejemplo, el archivo de revocación permite la compatibilidad personalizada con OCSP. El parámetro OcspCustomCname toma un nombre de dominio completo (FQDN) como valor.

Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar de la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

  • Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS

  • Agregue el registro CNAME correspondiente a su base de datos DNS.

sugerencia

Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte Personalice la URL de OCSP para AWS Private CA.

Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.

Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico

alternative.example.com

 CNAME Sencillez - proxy.example.com
nota

El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.

Archivo: revoke_config.txt para OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Ejemplo 3: crear una CA con una CRL asociada

En este ejemplo, la configuración de revocación define los parámetros de la CRL.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Ejemplo 4: crear una CA con una CRL asociada y un CNAME personalizado y habilitado

En este ejemplo, la configuración de revocación define los parámetros de la CRL que incluye un CNAME personalizado.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Ejemplo 5: crear una CA y especificar el modo de uso

En este ejemplo, el modo de uso de la CA se especifica al crear una CA. Si no se especifica, el parámetro del modo de uso se establece de forma predeterminada en GENERAL_PURPOSE. En este ejemplo, el parámetro se establece en SHORT_LIVED_CERTIFICATE, lo que significa que la CA emitirá certificados con un período de validez máximo de siete días. En situaciones en las que no es conveniente configurar la revocación, un certificado de corta duración que se haya visto comprometido caduca rápidamente como parte de las operaciones normales. En consecuencia, este ejemplo de CA carece de un mecanismo de revocación.

nota

Autoridad de certificación privada de AWS no comprueba la validez de los certificados de CA raíz.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilice el describe-certificate-authoritycomando de AWS CLI para mostrar detalles sobre la CA resultante, como se muestra en el siguiente comando:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Ejemplo 6: crear una CA para iniciar sesión en Active Directory

Puede crear una CA privada adecuada para su uso en el NTAuth almacén empresarial de Microsoft Active Directory (AD), donde podrá emitir certificados de inicio de sesión con tarjeta o de controlador de dominio. Para obtener información sobre la importación de un certificado de CA a AD, consulte Cómo importar certificados de entidades emisoras de certificados (CA) de terceros al almacén empresarial. NTAuth

La herramienta certutil de Microsoft se puede utilizar para publicar certificados de CA en AD invocando la opción -dspublish. Un certificado publicado en AD con certutil es de confianza en todo el bosque. Con la política de grupo, también puede limitar la confianza a un subconjunto de todo el bosque, por ejemplo, a un único dominio o a un grupo de computadoras de un dominio. Para que el inicio de sesión funcione, la CA emisora también debe estar publicada en la NTAuth tienda. Para obtener más información, consulte Distribuir certificados a computadoras de clientes mediante la política de grupo.

Este ejemplo usa el siguiente archivo de configuración ca_config_AD.txt.

Archivo: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Ejemplo 7: Crear una CA Matter con una CRL adjunta y omitir la extensión CDP en los certificados emitidos

Puede crear una CA privada adecuada para emitir certificados para el estándar de hogar inteligente Matter. En este ejemplo, la configuración de CA ca_config_PAA.txt define una autoridad de certificación de productos (PAA) de Matter con el identificador de proveedor (VID) establecido en. FFF1

Archivo: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuración de revocación habilita CRLs y configura la CA para que omita la URL de CDP predeterminada de todos los certificados emitidos.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...