Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez une autorité de certification privée dans AWS Private CA
Vous pouvez utiliser les procédures décrites dans cette section pour créer des relations de confiance racine CAs ou subordonnéesCAs, ce qui permet d'obtenir une hiérarchie vérifiable des relations de confiance qui répond aux besoins de votre organisation. Vous pouvez créer une autorité de certification à AWS Management Console l'aide de la partie PCA du AWS CLI ou AWS CloudFormation.
Pour plus d'informations sur la mise à jour de la configuration d'une autorité de certification que vous avez déjà créée, consultezMettre à jour une autorité de certification privée dans AWS Private Certificate Authority.
Pour plus d'informations sur l'utilisation d'une autorité de certification pour signer des certificats d'entité finale pour vos utilisateurs, appareils et applications, consultezÉmettre des certificats d'entité finale privés.
Note
Un tarif mensuel est facturé à votre compte pour chaque autorité de certification privée à partir du moment où vous l'avez créée.
Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification
Exemples de CLI pour créer une autorité de certification privée
Les exemples suivants supposent que vous avez configuré votre répertoire de .aws
configuration avec une région par défaut, un point de terminaison et des informations d'identification valides. Pour plus d'informations sur la configuration de votre AWS CLI environnement, consultez Configuration et paramètres des fichiers d'identification. Pour des raisons de lisibilité, nous fournissons les entrées de configuration et de révocation de l'autorité de certification sous forme de fichiers JSON dans les exemples de commandes. Modifiez les fichiers d'exemple selon vos besoins.
Tous les exemples utilisent le fichier de ca_config.txt
configuration suivant, sauf indication contraire.
Fichier : ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Exemple 1 : créer une autorité de certification avec OCSP activé
Dans cet exemple, le fichier de révocation active le support OCSP par défaut, qui utilise le Autorité de certification privée AWS répondeur pour vérifier l'état du certificat.
Fichier : revoke_config.txt pour OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de la nouvelle autorité de certification.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés
Dans cet exemple, le fichier de révocation permet un support OCSP personnalisé. Le OcspCustomCname
paramètre prend un nom de domaine complet (FQDN) comme valeur.
Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension Authority Information Access de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :
-
Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.
-
Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.
Astuce
Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. Personnaliser l'URL OCSP pour AWS Private CA
Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.
Nom de l'enregistrement | Type | Stratégie de routage | Différenciateur | Valeur/acheminer le trafic vers |
---|---|---|---|---|
alternative.exemple.com |
CNAME | Simplicité | - | proxy.exemple.com |
Note
La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».
Fichier : revoke_config.txt pour OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Exemple 3 : créer une autorité de certification avec une CRL attachée
Dans cet exemple, la configuration de révocation définit les paramètres CRL.
Fichier : revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
Exemple 4 : créer une autorité de certification avec une CRL attachée et un CNAME personnalisé activé
Dans cet exemple, la configuration de révocation définit les paramètres CRL qui incluent un CNAME personnalisé.
Fichier : revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
Exemple 5 : créer une autorité de certification et spécifier le mode d'utilisation
Dans cet exemple, le mode d'utilisation de l'autorité de certification est spécifié lors de la création d'une autorité de certification. S'il n'est pas spécifié, le paramètre du mode d'utilisation prend par défaut la valeur GENERAL_PURPOSE. Dans cet exemple, le paramètre est défini sur SHORT_LIVED_CERTIFICATE, ce qui signifie que l'autorité de certification délivrera des certificats dont la durée de validité maximale est de sept jours. Dans les situations où il n'est pas pratique de configurer la révocation, un certificat de courte durée qui a été compromis expire rapidement dans le cadre des opérations normales. Par conséquent, cet exemple d'autorité de certification ne dispose pas d'un mécanisme de révocation.
Note
Autorité de certification privée AWS n'effectue pas de contrôles de validité sur les certificats de l'autorité de certification racine.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Utilisez la describe-certificate-authoritycommande dans le AWS CLI pour afficher des détails sur l'autorité de certification obtenue, comme indiqué dans la commande suivante :
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Exemple 6 : créer une autorité de certification pour la connexion à Active Directory
Vous pouvez créer une autorité de certification privée adaptée à une utilisation dans le NTAuth magasin d'entreprise de Microsoft Active Directory (AD), où elle peut émettre des certificats d'ouverture de session par carte ou de contrôleur de domaine. Pour plus d'informations sur l'importation d'un certificat CA dans AD, consultez Comment importer des certificats d'autorité de certification (CA) tiers dans le NTAuth magasin d'entreprise
L'outil Microsoft certutil
Cet exemple utilise le fichier ca_config_AD.txt
de configuration suivant.
Fichier : ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Exemple 7 : créer une autorité de certification Matter avec une CRL attachée et l'extension CDP omise dans les certificats émis
Vous pouvez créer une autorité de certification privée adaptée à la délivrance de certificats pour la norme de maison intelligente Matter. Dans cet exemple, la configuration CA ca_config_PAA.txt
définit une autorité d'attestation de produit (PAA) Matter Product Attestation Authority (PAA) dont le Vendor ID (VID) est défini sur. FFF1
Fichier : ca_config_PAA.txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
La configuration de révocation permet CRLs et configure l'autorité de certification pour qu'elle omette l'URL CDP par défaut de tous les certificats émis.
Fichier : revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Commande
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Cette description doit contenir la section suivante.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...