Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Installation du certificat CA
Suivez les procédures suivantes pour créer et installer votre certificat d'une autorité de certification privée. Votre autorité de certification sera alors prête à l'emploi.
Autorité de certification privée AWS prend en charge trois scénarios d'installation d'un certificat CA :
+ Installation d'un certificat pour une autorité de certification racine hébergée par Autorité de certification privée AWS
+ Installation d'un certificat d'une autorité de certification subordonnée dont l'autorité parente est hébergée par Autorité de certification privée AWS
+ Installation d'un certificat d'une autorité de certification subordonnée dont l'autorité parent est hébergée en externe
Les sections suivantes décrivent les procédures pour chaque scénario. Les procédures de console commencent sur la page **Private** de la console CAs.
## Algorithmes de signature compatibles
La prise en charge des algorithmes de signature pour les certificats CA dépend de l'algorithme de signature de l'autorité de certification parent et du Région AWS. Les contraintes suivantes s'appliquent à la fois à la console et AWS CLI aux opérations.
+ Une autorité de certification parent dotée de l'algorithme de clé RSA peut émettre des certificats avec les algorithmes de signature suivants :
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ Dans une ancienne version Région AWS, une autorité de certification parent utilisant l'algorithme de clé EDCSA peut émettre des certificats avec les algorithmes de signature suivants :
+ SHA256 ECDSA
+ SHA384 ECDSA
+ SHA512 ECDSA
L'héritage Régions AWS inclut :
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/PCACertInstall.html)
+ Dans le cas d'un produit qui n'est pas un héritage Région AWS, les règles suivantes s'appliquent à l'EDCSA :
+ Une autorité de certification parent utilisant l'algorithme de signature EC\$1Prime256v1 peut émettre des certificats avec ECDSA P256.
+ Une autorité de certification parent utilisant l'algorithme de signature EC\$1SECP384r1 peut émettre des certificats avec ECDSA P384.
+ Dans tous les cas Région AWS, les règles suivantes s'appliquent à l'EDCSA :
+ Une autorité de certification parent utilisant l'algorithme de signature EC\$1SECP521r1 peut émettre des certificats avec ECDSA P521.
## Installation d'un certificat CA racine
Vous pouvez installer un certificat CA racine à partir du AWS Management Console ou du AWS CLI.
**Pour créer et installer un certificat pour votre autorité de certification racine privée (console)**
1. (Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home). Sur la page **Autorités de certification privées**, choisissez une autorité de certification racine dont le statut est **En attente de certificat** ou **Actif**.
1. Choisissez **Actions**, **Installer le certificat CA** pour ouvrir la page **Installer le certificat CA racine**.
1. Sous **Spécifier les paramètres du certificat de l'autorité de certification racine**, spécifiez les paramètres de certificat suivants :
+ **Validité** — Spécifie la date et l'heure d'expiration du certificat CA. La période de validité Autorité de certification privée AWS par défaut d'un certificat CA racine est de 10 ans.
+ **Algorithme de signature** — Spécifie l'algorithme de signature à utiliser lorsque l'autorité de certification racine émet de nouveaux certificats. Les options disponibles varient en fonction de l' Région AWS endroit où vous créez l'autorité de certification. Pour plus d'informations[Algorithmes de signature compatibles](#signing_algorithms), voir[Algorithmes cryptographiques pris en charge dans AWS Autorité de certification privée](PcaWelcome.md#supported-algorithms), et **SigningAlgorithm**dans [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html#API_CertificateAuthorityConfiguration_Contents).
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
Vérifiez que vos paramètres sont corrects, puis choisissez **Confirmer et installer**. Autorité de certification privée AWS exporte un CSR pour votre autorité de certification, génère un certificat à l'aide d'un [modèle](UsingTemplates.md) de certificat de l'autorité de certification racine et signe automatiquement le certificat. Autorité de certification privée AWS importe ensuite le certificat de l'autorité de certification racine auto-signé.
1. La page de détails de l'autorité de certification affiche l'état de l'installation (réussite ou échec) en haut de la page. Si l'installation a réussi, l'autorité de certification racine nouvellement terminée affiche le statut **Actif** dans le volet **Général**.
**Pour créer et installer un certificat pour votre autorité de certification racine privée (AWS CLI)**
1. Générez une demande de signature de certificat (CSR).
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text \
--region region > ca.csr
```
Le fichier obtenu`ca.csr`, un fichier PEM codé au format base64, présente l'aspect suivant.
```
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
```
Vous pouvez utiliser [OpenSSL](https://www.openssl.org/) pour afficher et vérifier le contenu du CSR.
```
openssl req -text -noout -verify -in ca.csr
```
Cela donne un résultat similaire à ce qui suit.
```
verify OK
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Basic Constraints: critical
CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
e9:75:4a:e4
```
1. En utilisant le CSR de l'étape précédente comme argument pour le `--csr` paramètre, émettez le certificat racine.
**Note**
Si vous utilisez la AWS CLI version 1.6.3 ou une version ultérieure, utilisez le préfixe `fileb://` lorsque vous spécifiez le fichier d'entrée requis. Cela garantit que les données codées Autorité de certification privée AWS en Base64 sont correctement analysées.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=365,Type=DAYS
```
1. Récupérez le certificat racine.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--output text > cert.pem
```
Le fichier obtenu`cert.pem`, un fichier PEM codé au format base64, présente l'aspect suivant.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Vous pouvez utiliser [OpenSSL](https://www.openssl.org/) pour consulter et vérifier le contenu du certificat.
```
openssl x509 -in cert.pem -text -noout
```
Cela donne un résultat similaire à ce qui suit.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Validity
Not Before: Mar 8 15:46:27 2021 GMT
Not After : Mar 8 16:46:27 2022 GMT
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
d3:69:5c:38
```
1. Importez le certificat de l'autorité de certification racine pour l'installer sur l'autorité de certification.
**Note**
Si vous utilisez la AWS CLI version 1.6.3 ou une version ultérieure, utilisez le préfixe `fileb://` lorsque vous spécifiez le fichier d'entrée requis. Cela garantit que les données codées Autorité de certification privée AWS en Base64 sont correctement analysées.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--certificate file://cert.pem
```
Vérifiez le nouveau statut de l'autorité de certification.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output json
```
Le statut apparaît désormais comme ACTIF.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
## Installez un certificat CA subordonné hébergé par Autorité de certification privée AWS
Vous pouvez utiliser le AWS Management Console pour créer et installer un certificat pour votre autorité de certification subordonnée Autorité de certification privée AWS hébergée.
**Pour créer et installer un certificat pour votre autorité de certification subordonnée Autorité de certification privée AWS hébergée**
1. (Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home). Sur la page **Autorités de certification privées**, choisissez une autorité de certification subordonnée dont le statut est **En attente de certificat** ou **Active**.
1. Choisissez **Actions**, **Installer le certificat CA** pour ouvrir la page **Installer le certificat CA subordonné**.
1. Sur la page **Installer un certificat d'autorité de certification subordonnée**, sous **Sélectionner le type d'autorité **AWS CA privée****de certification, choisissez d'installer un certificat géré par Autorité de certification privée AWS.
1. Sous **Sélectionner une autorité de certification parent**, choisissez une autorité de certification dans la liste des autorités de **certification privées parentes**. La liste est filtrée pour afficher CAs les informations répondant aux critères suivants :
+ Vous êtes autorisé à utiliser le CA.
+ Le CA ne signerait pas lui-même.
+ Le CA est en état`ACTIVE`.
+ Le mode CA est`GENERAL_PURPOSE`.
1. Sous **Spécifier les paramètres de certificat de l'autorité de certification subordonnée**, spécifiez les paramètres de certificat suivants :
+ **Validité** — Spécifie la date et l'heure d'expiration du certificat CA.
+ **Algorithme de signature** — Spécifie l'algorithme de signature à utiliser lorsque l'autorité de certification racine émet de nouveaux certificats. Les options sont :
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ **Longueur du chemin** : nombre de couches de confiance que l'autorité de certification subordonnée peut ajouter lors de la signature de nouveaux certificats. Une longueur de chemin de zéro (valeur par défaut) signifie que seuls les certificats d'entité finale, et non les certificats CA, peuvent être créés. Une longueur de chemin d'au moins un signifie que l'autorité de certification subordonnée peut émettre des certificats pour créer un CAs subordonné supplémentaire.
+ **ARN du modèle** : affiche l'ARN du modèle de configuration pour ce certificat CA. Le modèle change si vous modifiez la **Longueur de chemin d'accès** spécifiée. Si vous créez un certificat à l'aide de la commande CLI [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) ou de l'[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)action API, vous devez spécifier l'ARN manuellement. Pour de plus amples informations sur les modèles de certificats d'une autorité de certification disponibles, veuillez consulter [Utiliser des modèles de AWS CA privée certificats](UsingTemplates.md).
1. Vérifiez que vos paramètres sont corrects, puis choisissez **Confirmer et installer**. Autorité de certification privée AWS exporte un CSR, génère un certificat à l'aide d'un [modèle](UsingTemplates.md) de certificat d'autorité de certification subordonnée et signe le certificat auprès de l'autorité de certification parent sélectionnée. Autorité de certification privée AWS importe ensuite le certificat CA subordonné signé.
1. La page de détails de l'autorité de certification affiche l'état de l'installation (réussite ou échec) en haut de la page. Si l'installation a réussi, l'autorité de certification subordonnée nouvellement terminée affiche le statut **Actif** dans le volet **Général**.
## Installer un certificat d'autorité de certification subordonnée signé par une autorité de certification parent externe
Après avoir créé une autorité de certification privée subordonnée comme décrit dans[Créez une autorité de certification privée dans AWS CA privée](create-CA.md), vous avez la possibilité de l'activer en installant un certificat d'autorité de certification signé par une autorité de signature externe. Pour signer le certificat de votre autorité de certification subordonnée auprès d'une autorité de certification externe, vous devez d'abord configurer un fournisseur de services de confiance externe comme autorité de signature, ou faire appel à un fournisseur tiers.
**Note**
Les procédures de création ou d'obtention d'un fournisseur de services de confiance externe n'entrent pas dans le cadre de ce guide.
Après avoir créé une autorité de certification subordonnée et avoir accès à une autorité de signature externe, effectuez les tâches suivantes :
1. Obtenez une demande de signature de certificat (CSR) auprès de Autorité de certification privée AWS.
1. Soumettez le CSR à votre autorité de signature externe et obtenez un certificat CA signé ainsi que tous les certificats de chaîne.
1. Importez le certificat de l'autorité de certification et la chaîne dans Autorité de certification privée AWS celui-ci pour activer votre autorité de certification subordonnée.
Pour connaître les procédures détaillées, consultez [Utiliser des certificats CA privés signés en externe](PcaExternalRoot.md).