Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Utiliser des certificats CA privés signés en externe Si la racine de confiance de votre hiérarchie d'autorité de certification privée doit être une autorité de certification extérieure Autorité de certification privée AWS, vous pouvez créer et signer vous-même votre propre autorité de certification racine. Vous pouvez également obtenir un certificat d'une autorité de certification privée signé par une autorité de certification privée externe gérée par votre organisation. Quelle que soit sa source, vous pouvez utiliser cette autorité de certification obtenue de l'extérieur pour signer un certificat d'autorité de certification subordonnée privé qui Autorité de certification privée AWS gère. **Note** Les procédures de création ou d'obtention d'un fournisseur de services de confiance externe n'entrent pas dans le cadre de ce guide. L'utilisation d'une autorité de certification parent externe vous Autorité de certification privée AWS permet d'appliquer les contraintes de nom de l'autorité de certification telles que définies dans la section [Contraintes de nom](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) de la RFC 5280. Les contraintes de nom permettent aux administrateurs de l'autorité de certification de restreindre les noms de sujets dans les certificats. Si vous envisagez de signer un certificat d'autorité de certification subordonnée privée auprès d'une autorité de certification externe, vous devez effectuer trois tâches avant de disposer d'une autorité de certification fonctionnelle : Autorité de certification privée AWS 1. Générez une demande de signature de certificat (CSR). 1. Soumettez le CSR à votre autorité de signature externe et retournez-le avec un certificat signé et une chaîne de certificats. 1. Installez un certificat signé dans Autorité de certification privée AWS. Les procédures suivantes décrivent comment effectuer ces tâches à l'aide du AWS Management Console ou du AWS CLI. **Pour obtenir et installer un certificat CA signé en externe (console)** 1. (Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home). Sur la page **Autorités de certification privées**, choisissez une autorité de certification subordonnée dont le statut est **En attente de certificat**, **Actif**, **Désactivé** ou **Expiré**. 1. Choisissez **Actions**, **Installer le certificat CA** pour ouvrir la page **Installer le certificat CA subordonné**. 1. Sur la page **Installer le certificat d'autorité de certification subordonnée**, sous **Sélectionner le type d'autorité de certification**, choisissez Autorité de **certification privée externe**. 1. Sous **CSR pour cette autorité de certification**, la console affiche le texte ASCII codé en Base64 du CSR. Vous pouvez copier le texte à l'aide du bouton **Copier** ou vous pouvez choisir **Exporter le CSR vers un fichier** et l'enregistrer localement. **Note** Le format exact du texte CSR doit être préservé lors du copier-coller. 1. Si vous ne pouvez pas effectuer immédiatement les étapes hors ligne pour obtenir un certificat signé auprès de votre autorité de signature externe, vous pouvez fermer la page et y revenir une fois que vous possédez un certificat signé et une chaîne de certificats. Sinon, si vous êtes prêt, effectuez l'une des opérations suivantes : + Collez le texte ASCII codé en Base64 de votre corps de certificat et de votre chaîne de certificats dans leurs zones de texte respectives. + Choisissez **Upload** pour charger le corps du certificat et la chaîne de certificats à partir des fichiers locaux dans leurs zones de texte respectives. 1. Choisissez **Confirmer et installez**. **Pour obtenir et installer un certificat CA (CLI) signé en externe** 1. Utilisez la [get-certificate-authority-csr](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html)commande pour récupérer la demande de signature de certificat (CSR) pour votre autorité de certification privée. Si vous souhaitez envoyer le CSR sur votre écran, utilisez l'`--output text`option permettant d'éliminer les CR/LF caractères à la fin de chaque ligne. Pour envoyer la demande de création de certificat vers un fichier, utilisez l'option de redirection (>) suivie d'un nom de fichier. ``` $ aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ --output text ``` Après avoir enregistré un CSR en tant que fichier local, vous pouvez l'inspecter à l'aide de la commande [OpenSSL](https://www.openssl.org/) suivante : ``` openssl req -in path_to_CSR_file -text -noout ``` Cette commande génère une sortie similaire à la sortie suivante. Notez que l'extension de l'**autorité de certification** est `TRUE`, ce qui indique que la demande de signature de certificat concerne un certificat d'une autorité de certification. ``` Certificate Request: Data: Version: 0 (0x0) Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha256WithRSAEncryption c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc: a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d: ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c: ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75: de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a: ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14: 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47: f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f: 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d: 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33: 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7: d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6: 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38: 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18: d1:83:66:40 ``` 1. Soumettez le CSR à votre autorité de signature externe et obtenez des fichiers contenant le certificat signé codé en Base64 PEM et la chaîne de certificats. 1. Utilisez la [import-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html)commande pour importer le fichier de certificat CA privé et le fichier de chaîne dans Autorité de certification privée AWS. ``` $ aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate file://C:\example_ca_cert.pem \ --certificate-chain file://C:\example_ca_cert_chain.pem ```