Configure un para CRL AWS Private CA - AWS Private Certificate Authority
CRLestructuraPolíticas de acceso para CRLs Amazon S3 S3 BPA con CloudFrontDeterminar el punto CRL de distribución (CDP) URI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure un para CRL AWS Private CA

Antes de poder configurar una lista de revocación de certificados (CRL) como parte del proceso de creación de una entidad de certificación, es posible que sea necesaria alguna configuración previa. En esta sección se explican los requisitos previos y las opciones que debe conocer antes de crear una CA con una CRL entidad emisora de certificados adjunta.

Para obtener información sobre el uso del Protocolo de estado de certificados en línea (OCSP) como alternativa o complemento de unCRL, consulte Certificate revocation options yPersonalice OCSP URL para AWS Private CA.

CRLestructura

Cada uno CRL es un archivo DER codificado. Para descargar el archivo y utilizar Abrir SSL para verlo, utilice un comando similar al siguiente:

openssl crl -inform DER -in path-to-crl-file -text -noout

CRLstienen el siguiente formato:

Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
nota

Solo CRL se depositarán en Amazon S3 después de que se haya emitido un certificado que haga referencia a ellos. Antes de eso, solo habrá un archivo acm-pca-permission-test-key visible en el bucket de Amazon S3.

Políticas de acceso para CRLs Amazon S3

Si tiene pensado crear un bucket de Amazon S3CRL, debe preparar un bucket de Amazon S3 para guardarlo en él. Autoridad de certificación privada de AWS lo deposita automáticamente CRL en el bucket de Amazon S3 que designe y lo actualiza periódicamente. Para obtener más información, consulte Creación de un bucket.

Su bucket de S3 debe estar protegido por una política de IAM permisos adjunta. Los usuarios autorizados y las entidades principales de servicio necesitan permiso de Put para permitir que Autoridad de certificación privada de AWS coloque objetos en el bucket y permiso de Get para recuperarlos. Durante el procedimiento de consola para crear una CA, puede optar por dejar que se Autoridad de certificación privada de AWS cree un nuevo depósito y aplicar una política de permisos predeterminada.

nota

La configuración IAM de la política depende de la persona Regiones de AWS implicada. Las regiones se dividen en dos categorías:

  • Regiones habilitadas de forma predeterminada: regiones que están habilitadas de forma predeterminada para todos. Cuentas de AWS

  • Regiones deshabilitadas de forma predeterminada: regiones que están deshabilitadas de forma predeterminada, pero que el cliente puede habilitarlas manualmente.

Para obtener más información y una lista de las regiones deshabilitadas de forma predeterminada, consulte Administración. Regiones de AWS Para obtener más información sobre los principios de servicio en el contexto deIAM, consulte los principios de servicio en las regiones en las que se ha AWS optado por participar.

Al configurarlo CRLs como método de revocación de certificados, Autoridad de certificación privada de AWS crea un bucket de S3 CRL y lo publica en él. El bucket de S3 requiere una IAM política que permita al director del Autoridad de certificación privada de AWS servicio escribir en el bucket. El nombre de la entidad principal del servicio varía según las regiones utilizadas y no se admiten todas las posibilidades.

PCA S3 Entidad principal de servicio

Ambos en la misma región

acm-pca.amazonaws.com

Habilitado

Habilitado

acm-pca.amazonaws.com
Deshabilitad Habilitado

acm-pca.Region.amazonaws.com
Habilitado Deshabilitad

No compatible

La política predeterminada no aplica ninguna restricción de SourceArn a la CA. Le recomendamos que aplique una política menos permisiva, como la siguiente, que restrinja el acceso tanto a una AWS cuenta específica como a una CA privada específica. Como alternativa, puede usar la clave de condición aws: SourceOrg ID para restringir el acceso a una organización específica. AWS Organizations Para obtener más información sobre las políticas de depósitos, consulte Políticas de depósitos de Amazon Simple Storage Service.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Si decide permitir la política predeterminada, siempre podrá modificarla más adelante.

Habilite S3 Block Public Access (BPA) con CloudFront

Los nuevos buckets de Amazon S3 se configuran de forma predeterminada con la función Bloquear acceso público (BPA) activada. Las prácticas recomendadas de seguridad de Amazon S3 incluyen un conjunto de controles de acceso que los clientes pueden utilizar para ajustar el acceso a los objetos de sus depósitos de S3 y a los depósitos en su conjunto. BPA Cuando BPA está activo y correctamente configurado, solo los AWS usuarios autorizados y autenticados tienen acceso a un depósito y a su contenido.

AWS recomienda su uso BPA en todos los depósitos de S3 para evitar que la información confidencial quede expuesta a posibles adversarios. Sin embargo, si sus PKI clientes la recuperan a CRLs través de la Internet pública (es decir, sin haber iniciado sesión en una AWS cuenta), es necesaria una planificación adicional. En esta sección se describe cómo configurar una PKI solución privada mediante Amazon CloudFront, una red de entrega de contenido (CDN), para que sirva CRLs sin requerir el acceso de un cliente autenticado a un bucket de S3.

nota

Su uso CloudFront conlleva costes adicionales en su cuenta. AWS Para obtener más información, consulta los CloudFront precios de Amazon.

Si decide guardarlo CRL en un bucket de S3 con la BPA opción Activado y no la utiliza CloudFront, debe crear otra CDN solución para garantizar que su PKI cliente tenga acceso a la suyaCRL.

Configure CloudFront para BPA

Cree una CloudFront distribución que tenga acceso a su bucket privado de S3 y que pueda servir CRLs a clientes no autenticados.

Para configurar una CloudFront distribución para CRL

  1. Cree una CloudFront distribución nueva mediante el procedimiento descrito en Creación de una distribución en la Guía para CloudFront desarrolladores de Amazon.

    Mientras completa el procedimiento, aplique la siguiente configuración:

    • En Nombre de dominio de origen, elija su bucket de S3.

    • En Restringir acceso al bucket, elija .

    • Elija Create a New Identity (Crear una nueva identidad) para Origin Access Identity (Identidad de acceso de origen).

    • Selecciona Yes, Update Bucket Policy (Sí, actualizar la política del bucket) en Grant Read Permissions on Bucket (Otorgar permisos de lectura en el bucket).

      nota

      En este procedimiento, CloudFront modifica la política de su bucket para permitirle acceder a los objetos del bucket. Considere la posibilidad de editar esta política para permitir el acceso únicamente a los objetos de la carpeta crl.

  2. Una vez inicializada la distribución, busque su nombre de dominio en la CloudFront consola y guárdelo para el siguiente procedimiento.

    nota

    Si tu bucket de S3 se creó recientemente en una región distinta de us-east-1, es posible que recibas HTTP un error de redireccionamiento temporal 307 al acceder a la aplicación publicada a través de ella. CloudFront Es posible que la dirección del bucket tarde varias horas en propagarse.

Configure su CA para BPA

Al configurar su nueva CA, incluya el alias en su CloudFront distribución.

Para configurar su CA con un CNAME formulario CloudFront

  • Cree su CA mediante Cree una CA privada en AWS Private CA.

    Al realizar el procedimiento, el archivo de revocación revoke_config.txt debe incluir las siguientes líneas para especificar un CRL objeto no público y proporcionarlo al punto final de distribución en: URL CloudFront

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
	"CustomCname":"abcdef012345.cloudfront.net"

    Posteriormente, cuando emita certificados con esta CA, estos contendrán un bloque como el siguiente:

    X509v3 CRL Distribution Points: 
	Full Name:
	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
nota

Si tiene certificados antiguos emitidos por esta CA, no podrán acceder a. CRL

Determinar el punto CRL de distribución (CDP) URI

Si utiliza el bucket S3 como entidad CDP emisora de certificados, CDP URI puede tener uno de los siguientes formatos.

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

Si ha configurado su CA con una configuración personalizadaCNAME, CDP URI incluiráCNAME, por ejemplo, http://alternative.example.com/crl/CA-ID.crl