Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Utiliser des certificats CA privés signés en externe

PDF
RSS
Mode de mise au point
Utiliser des certificats CA privés signés en externe - AWS Private Certificate Authority

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si la racine de confiance de votre hiérarchie d'autorité de certification privée doit être une autorité de certification extérieure Autorité de certification privée AWS, vous pouvez créer et signer vous-même votre propre autorité de certification racine. Vous pouvez également obtenir un certificat d'une autorité de certification privée signé par une autorité de certification privée externe gérée par votre organisation. Quelle que soit sa source, vous pouvez utiliser cette autorité de certification obtenue de l'extérieur pour signer un certificat d'autorité de certification subordonnée privé qui Autorité de certification privée AWS gère.

Note

Les procédures de création ou d'obtention d'un fournisseur de services de confiance externe n'entrent pas dans le cadre de ce guide.

L'utilisation d'une autorité de certification parent externe vous Autorité de certification privée AWS permet d'appliquer les contraintes de nom de l'autorité de certification telles que définies dans la section Contraintes de nom de la RFC 5280. Les contraintes de nom permettent aux administrateurs de l'autorité de certification de restreindre les noms de sujets dans les certificats.

Si vous envisagez de signer un certificat d'autorité de certification subordonnée privée auprès d'une autorité de certification externe, vous devez effectuer trois tâches avant de disposer d'une autorité de certification fonctionnelle : Autorité de certification privée AWS

  1. Générez une demande de signature de certificat (CSR).

  2. Soumettez le CSR à votre autorité de signature externe et retournez-le avec un certificat signé et une chaîne de certificats.

  3. Installez un certificat signé dans Autorité de certification privée AWS.

Les procédures suivantes décrivent comment effectuer ces tâches à l'aide du AWS Management Console ou du AWS CLI.

Pour obtenir et installer un certificat CA signé en externe (console)

  1. (Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison. Sur la page Autorités de certification privées, choisissez une autorité de certification subordonnée dont le statut est En attente de certificat, Actif, Désactivé ou Expiré.

  2. Choisissez Actions, Installer le certificat CA pour ouvrir la page Installer le certificat CA subordonné.

  3. Sur la page Installer le certificat d'autorité de certification subordonnée, sous Sélectionner le type d'autorité de certification, choisissez Autorité de certification privée externe.

  4. Sous CSR pour cette autorité de certification, la console affiche le texte ASCII codé en Base64 du CSR. Vous pouvez copier le texte à l'aide du bouton Copier ou choisir Exporter le CSR vers un fichier et l'enregistrer localement.

    Note

    Le format exact du texte CSR doit être préservé lors du copier-coller.

  5. Si vous ne pouvez pas effectuer immédiatement les étapes hors ligne pour obtenir un certificat signé auprès de votre autorité de signature externe, vous pouvez fermer la page et y revenir une fois que vous possédez un certificat signé et une chaîne de certificats.

    Sinon, si vous êtes prêt, effectuez l'une des opérations suivantes :

    • Collez le texte ASCII codé en Base64 de votre corps de certificat et de votre chaîne de certificats dans leurs zones de texte respectives.

    • Choisissez Upload pour charger le corps du certificat et la chaîne de certificats depuis les fichiers locaux dans leurs zones de texte respectives.

  6. Choisissez Confirmer et installez.

Pour obtenir et installer un certificat CA (CLI) signé en externe

  1. Utilisez la get-certificate-authority-csrcommande pour récupérer la demande de signature de certificat (CSR) pour votre autorité de certification privée. Si vous souhaitez envoyer la demande de création de certificat à votre affichage, utilisez l'option --output text pour éliminer les caractères CR/LF à la fin de chaque ligne. Pour envoyer la demande de création de certificat vers un fichier, utilisez l'option de redirection (>) suivie d'un nom de fichier. 

    $ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text

    Après avoir enregistré un CSR en tant que fichier local, vous pouvez l'inspecter à l'aide de la commande OpenSSL suivante : 

    openssl req -in path_to_CSR_file -text -noout

    Cette commande génère une sortie similaire à la sortie suivante. Notez que l'extension de l'autorité de certification est TRUE, ce qui indique que la demande de signature de certificat concerne un certificat d'une autorité de certification. 

    Certificate Request:
Data:
Version: 0 (0x0)
Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
        Public-Key: (2048 bit)
        Modulus:
            00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
            1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
            7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
            c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
            ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
            46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
            f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
            38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
            b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
            a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
            a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
            b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
            1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
            8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
            14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
            3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
            68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
            f6:27
        Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
    X509v3 Basic Constraints:
        CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
 c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
 a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
 ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
 ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
 de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
 ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
 f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
 d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
 d1:83:66:40

  2. Soumettez le CSR à votre autorité de signature externe et obtenez des fichiers contenant le certificat signé codé en Base64 PEM et la chaîne de certificats.

  3. Utilisez la import-certificate-authority-certificatecommande pour importer le fichier de certificat CA privé et le fichier de chaîne dans Autorité de certification privée AWS.

    $ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://C:\example_ca_cert.pem \
--certificate-chain file://C:\example_ca_cert_chain.pem
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.