Créez une autorité de certification privée dans AWS Private CA - AWS Private Certificate Authority
Exemples de commandes CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une autorité de certification privée dans AWS Private CA

Vous pouvez utiliser les procédures décrites dans cette section pour créer des relations de confiance racine CAs ou subordonnéesCAs, ce qui permet d'obtenir une hiérarchie vérifiable des relations de confiance qui répond aux besoins de votre organisation. Vous pouvez créer une autorité de certification à AWS Management Console l'aide de la partie PCA du AWS CLI ou AWS CloudFormation.

Pour plus d'informations sur la mise à jour de la configuration d'une autorité de certification que vous avez déjà créée, consultezMettre à jour une autorité de certification privée dans AWS Private Certificate Authority.

Pour plus d'informations sur l'utilisation d'une autorité de certification pour signer des certificats d'entité finale pour vos utilisateurs, appareils et applications, consultezÉmettre des certificats d'entité finale privés.

Note

Un tarif mensuel est facturé à votre compte pour chaque autorité de certification privée à partir du moment où vous l'avez créée.

Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification. Vous pouvez également utiliser le calculateur de AWS prix pour estimer les coûts.

Console
Pour créer une autorité de certification privée à l'aide de la console

  1. Procédez comme suit pour créer une autorité de certification privée à l'aide du AWS Management Console.

    Pour commencer à utiliser la console

    Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à l'adressehttps://console.aws.amazon.com/acm-pca/home.

    • Si vous ouvrez la console dans une région où vous n'avez aucun accès privé CAs, la page d'introduction apparaît. Choisissez Create a private CA.

    • Si vous ouvrez la console dans une région où vous avez déjà créé une autorité de certification, la page Autorités de certification privées s'ouvre avec une liste de vos CAs. Choisissez Create CA.

  2. Sous Options du mode, choisissez le mode d'expiration des certificats émis par votre autorité de certification.

    • Usage général : émet des certificats qui peuvent être configurés avec n'importe quelle date d'expiration. Il s’agit de l’option par défaut.

    • Certificat de courte durée — Délivre des certificats dont la durée de validité maximale est de sept jours. Une courte période de validité peut remplacer dans certains cas un mécanisme de révocation.

  3. Dans la section Options de type de la console, choisissez le type d'autorité de certification privée que vous souhaitez créer.

    • Le choix de Root établit une nouvelle hiérarchie CA. Cette autorité de certification est basée sur un certificat auto-signé. Il constitue l'autorité de signature ultime pour les autres certificats CAs et les certificats d'entité finale de la hiérarchie.

    • Si vous choisissez Subordinate, vous créez une autorité de certification qui doit être signée par une autorité de certification parente située au-dessus de cette autorité dans la hiérarchie. Les subordonnés CAs sont généralement utilisés pour créer d'autres subordonnés CAs ou pour délivrer des certificats d'entité finale aux utilisateurs, aux ordinateurs et aux applications.

      Note

      Autorité de certification privée AWS fournit un processus de signature automatique lorsque l'autorité de certification parent de votre autorité de certification subordonnée est également hébergée par Autorité de certification privée AWS. Il vous suffit de choisir l'autorité de certification parent à utiliser.

      Votre autorité de certification subordonnée devra peut-être être signée par un fournisseur de services de confiance externe. Si tel est le cas, vous Autorité de certification privée AWS fournit une demande de signature de certificat (CSR) que vous devez télécharger et utiliser pour obtenir un certificat CA signé. Pour de plus amples informations, veuillez consulter Installer un certificat d'autorité de certification subordonnée signé par une autorité de certification parent externe.

  4. Sous Options de nom distinctif du sujet, configurez le nom du sujet de votre autorité de certification privée. Vous devez saisir une valeur pour au moins l'une des options suivantes :

    • Organisation (O) — Par exemple, le nom d'une entreprise

    • Unité organisationnelle (UO) — Par exemple, une division au sein d'une entreprise

    • Nom du pays (C) — Code de pays à deux lettres

    • Nom de l'État ou de la province — Nom complet d'un État ou d'une province

    • Nom de la localité — Le nom d'une ville

    • Nom commun (CN) : chaîne lisible par l'homme pour identifier l'autorité de certification.

    Note

    Vous pouvez personnaliser davantage le nom du sujet d'un certificat en appliquant un APIPassthrough modèle au moment de l'émission. Pour plus d'informations et un exemple détaillé, consultezÉmettre un certificat avec un nom de sujet personnalisé à l'aide d'un APIPassthrough modèle.

    Le certificat de sauvegarde étant auto-signé, les informations relatives au sujet que vous fournissez à une autorité de certification privée sont probablement plus limitées que celles que contiendrait une autorité de certification publique. Pour plus d'informations sur chacune des valeurs qui constituent le nom distinctif d'un sujet, consultez la RFC 5280.

  5. Sous Options de l'algorithme clé, choisissez l'algorithme clé et la taille en bits de la clé. La valeur par défaut est un algorithme RSA avec une longueur de clé de 2 048 bits. Vous pouvez choisir parmi les algorithmes suivants :

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. Dans la section Options de révocation des certificats, vous pouvez choisir entre deux méthodes pour partager le statut de révocation avec les clients qui utilisent vos certificats :

    • Activer la distribution CRL

    • Activez OCSP

    Vous pouvez configurer l'une ou l'autre de ces options de révocation, ou les deux, pour votre autorité de certification. Bien que facultative, la gestion des révocations est recommandée en tant que bonne pratique. Avant de terminer cette étape, consultez Planifiez la méthode de révocation de votre AWS Private CA certificat les informations relatives aux avantages de chaque méthode, à la configuration préliminaire qui pourrait être requise et aux fonctionnalités de révocation supplémentaires.

    Note

    Si vous créez votre autorité de certification sans configurer la révocation, vous pourrez toujours la configurer ultérieurement. Pour de plus amples informations, veuillez consulter Mettre à jour une autorité de certification privée dans AWS Private Certificate Authority.

    Pour configurer les options de révocation des certificats, effectuez les étapes suivantes.

    1. Sous Options de révocation des certificats, choisissez Activer la distribution CRL.

    2. Pour créer un compartiment Amazon S3 pour vos entrées CRL, choisissez Create a new S3 bucket et saisissez un nom de bucket unique. (Vous n'avez pas besoin d'inclure le chemin d'accès au compartiment.) Sinon, sous URI du compartiment S3, choisissez un compartiment existant dans la liste.

      Lorsque vous créez un nouveau compartiment par le biais de la console Autorité de certification privée AWS , vous essayez d'associer la politique d'accès requise au compartiment et de désactiver le paramètre BPA (Block Public Access) par défaut de S3 sur celui-ci. Si vous spécifiez plutôt un bucket existant, vous devez vous assurer que le BPA est désactivé pour le compte et pour le bucket. Dans le cas contraire, l'opération de création de l'autorité de certification échouera. Si l'autorité de certification est créée avec succès, vous devez toujours y associer manuellement une politique avant de pouvoir commencer à générer CRLs. Utilisez l'un des modèles de politique décrits dansPolitiques d'accès pour CRLs Amazon S3 . Pour plus d'informations, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3.

      Important

      Une tentative de création d'une autorité de certification à l'aide de la Autorité de certification privée AWS console échoue si toutes les conditions suivantes sont réunies :

      • Vous êtes en train de configurer une CRL.

      • Vous demandez Autorité de certification privée AWS à créer automatiquement un compartiment S3.

      • Vous appliquez les paramètres BPA dans S3.

      Dans ce cas, la console crée un compartiment, mais tente de le rendre accessible au public sans succès. Vérifiez vos paramètres Amazon S3 si cela se produit, désactivez le BPA si nécessaire, puis répétez la procédure de création d'une autorité de certification. Pour plus d'informations, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.

    3. Développez les paramètres CRL pour obtenir des options de configuration supplémentaires.

      • Choisissez Activer le partitionnement pour activer le partitionnement de. CRLs Si vous n'activez pas le partitionnement, votre autorité de certification est soumise au nombre maximum de certificats révoqués. Pour plus d'informations, consultez AWS Private Certificate Authority Quotas. Pour plus d'informations sur le partitionnement CRLs, consultez la section Types de CRL.

      • Ajoutez un nom CRL personnalisé pour créer un alias pour votre compartiment Amazon S3. Ce nom est contenu dans les certificats émis par l'autorité de certification dans l'extension « CRL Distribution Points » définie par la RFC 5280.

      • Ajoutez un chemin personnalisé pour créer un alias DNS pour le chemin du fichier dans votre compartiment Amazon S3.

      • Entrez la durée de validité en jours pendant laquelle votre CRL restera valide. La valeur par défaut est 7 jours. En ligne CRLs, une période de validité de 2 à 7 jours est courante. Autorité de certification privée AWS essaie de régénérer la CRL au milieu de la période spécifiée.

    4. Étendez les paramètres S3 pour la configuration facultative du versionnement des compartiments et de la journalisation des accès aux compartiments.

  7. Pour les options de révocation des certificats, choisissez Activer l'OCSP.

    1. Dans le champ Point de terminaison OCSP personnalisé - facultatif, vous pouvez fournir un nom de domaine complet (FQDN) pour un point de terminaison autre qu'Amazon OCSP.

      Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension Authority Information Access de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :

      • Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.

      • Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.

      Astuce

      Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. Personnaliser l'URL OCSP pour AWS Private CA

      Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.

      Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers

      alternative.exemple.com

      		 CNAME Simplicité - proxy.exemple.com
      Note

      La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».

  8. Sous Ajouter des balises, vous pouvez éventuellement étiqueter votre autorité de certification. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser des ressources AWS . Pour obtenir la liste des paramètres des Autorité de certification privée AWS balises et des instructions sur la façon d'y ajouter des balises CAs après leur création, consultezAjoutez des tags pour votre autorité de certification privée.

    Note

    Pour associer des balises à une autorité de certification privée au cours de la procédure de création, un administrateur de l'autorité de certification doit d'abord associer une politique IAM intégrée à l'CreateCertificateAuthorityaction et autoriser explicitement le balisage. Pour de plus amples informations, veuillez consulter T ag-on-create : Attacher des tags à une autorité de certification au moment de sa création.

  9. Dans les options d'autorisation de l'autorité de certification, vous pouvez éventuellement déléguer les autorisations de renouvellement automatique au principal du AWS Certificate Manager service. ACM ne peut renouveler automatiquement les certificats d'entité finale privés générés par cette autorité de certification que si cette autorisation est accordée. Vous pouvez attribuer des autorisations de renouvellement à tout moment à l'aide de l' Autorité de certification privée AWS CreatePermissionAPI ou de la commande create-permission CLI.

    La valeur par défaut est d'activer ces autorisations.

    Note

    AWS Certificate Manager ne prend pas en charge le renouvellement automatique des certificats de courte durée.

  10. Sous Tarification, confirmez que vous comprenez les tarifs applicables à une autorité de certification privée.

    Note

    Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification. Vous pouvez également utiliser le calculateur de AWS prix pour estimer les coûts.

  11. Choisissez Create CA après avoir vérifié l'exactitude de toutes les informations saisies. La page de détails de l'autorité de certification s'ouvre et affiche son statut en tant que certificat en attente.

    Note

    Sur la page de détails, vous pouvez terminer la configuration de votre autorité de certification en choisissant Actions, Installer le certificat de l'autorité de certification, ou vous pouvez revenir ultérieurement à la liste des autorités de certification privées et terminer la procédure d'installation qui s'applique à votre cas :

CLI

Utilisez la commande create-certificate-authority pour créer une autorité de certification privée. Vous devez spécifier la configuration de l'autorité de certification (contenant les informations relatives à l'algorithme et au nom du sujet), la configuration de révocation (si vous prévoyez d'utiliser un OCSP et/ou une CRL) et le type d'autorité de certification (racine ou subordonnée). Les détails de configuration et de révocation sont contenus dans deux fichiers que vous fournissez en tant qu'arguments de la commande. En option, vous pouvez également configurer le mode d'utilisation de l'autorité de certification (pour l'émission de certificats standard ou de courte durée), joindre des balises et fournir un jeton d'idempuissance.

Si vous configurez une CRL, vous devez disposer d'un compartiment Amazon S3 sécurisé avant d'émettre la create-certificate-authority commande. Pour de plus amples informations, veuillez consulter Politiques d'accès pour CRLs Amazon S3 .

Le fichier de configuration de l'autorité de certification indique les informations suivantes :

  • Le nom de l'algorithme

  • La taille de la clé à utiliser pour créer la clé privée de l'autorité de certification

  • Le type de l'algorithme de signature que l'autorité de certification utilise pour signer

  • Les informations sur l'objet X.500

La configuration de révocation pour OCSP définit un OcspConfiguration objet avec les informations suivantes :

  • Le Enabled drapeau est réglé sur « vrai ».

  • (Facultatif) Un CNAME personnalisé déclaré en tant que valeur pourOcspCustomCname.

La configuration de révocation d'une CRL définit un CrlConfiguration objet avec les informations suivantes :

  • Le Enabled drapeau est réglé sur « vrai ».

  • Période d'expiration de la CRL en jours (période de validité de la CRL).

  • Le compartiment Amazon S3 qui contiendra la CRL.

  • (Facultatif) Une ObjectAcl valeur S3 qui détermine si la CRL est accessible au public. Dans l'exemple présenté ici, l'accès public est bloqué. Pour de plus amples informations, veuillez consulter Activez l'accès public par blocs S3 (BPA) avec CloudFront.

  • (Facultatif) Un alias CNAME pour le compartiment S3 inclus dans les certificats émis par l'autorité de certification. Si la CRL n'est pas accessible au public, cela indiquera un mécanisme de distribution tel qu'Amazon CloudFront.

  • (Facultatif) Un CrlDistributionPointExtensionConfiguration objet contenant les informations suivantes :

    • Le OmitExtension drapeau est défini sur « vrai » ou « faux ». Cela permet de contrôler si la valeur par défaut de l'extension CDP sera écrite sur un certificat émis par l'autorité de certification. Pour plus d'informations sur l'extension CDP, consultezDéterminer l'URI du point de distribution CRL (CDP) . A CustomCname ne peut pas être défini s' OmitExtension il est « vrai ».

  • (Facultatif) Un chemin personnalisé pour la CRL dans le compartiment S3.

  • (Facultatif) CrlTypeValeur qui détermine si la CRL sera complète ou partitionnée. Si elle n'est pas fournie, la CRL sera terminée par défaut.

Note

Vous pouvez activer les deux mécanismes de révocation sur la même autorité de certification en définissant à la fois un OcspConfiguration objet et un CrlConfiguration objet. Si vous ne fournissez aucun --revocation-configuration paramètre, les deux mécanismes sont désactivés par défaut. Si vous avez besoin d'une assistance pour la validation de la révocation ultérieurement, consultezMettre à jour une autorité de certification (CLI).

Consultez la section suivante pour des exemples de CLI.

Exemples de CLI pour créer une autorité de certification privée

Les exemples suivants supposent que vous avez configuré votre répertoire de .aws configuration avec une région par défaut, un point de terminaison et des informations d'identification valides. Pour plus d'informations sur la configuration de votre AWS CLI environnement, consultez Configuration et paramètres des fichiers d'identification. Pour des raisons de lisibilité, nous fournissons les entrées de configuration et de révocation de l'autorité de certification sous forme de fichiers JSON dans les exemples de commandes. Modifiez les fichiers d'exemple selon vos besoins.

Tous les exemples utilisent le fichier de ca_config.txt configuration suivant, sauf indication contraire.

Fichier : ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Exemple 1 : créer une autorité de certification avec OCSP activé

Dans cet exemple, le fichier de révocation active le support OCSP par défaut, qui utilise le Autorité de certification privée AWS répondeur pour vérifier l'état du certificat.

Fichier : revoke_config.txt pour OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Commande

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de la nouvelle autorité de certification.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Commande

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés

Dans cet exemple, le fichier de révocation permet un support OCSP personnalisé. Le OcspCustomCname paramètre prend un nom de domaine complet (FQDN) comme valeur.

Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension Authority Information Access de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :

  • Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.

  • Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.

Astuce

Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. Personnaliser l'URL OCSP pour AWS Private CA

Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.

Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers

alternative.exemple.com

 CNAME Simplicité - proxy.exemple.com
Note

La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».

Fichier : revoke_config.txt pour OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Exemple 3 : créer une autorité de certification avec une CRL attachée

Dans cet exemple, la configuration de révocation définit les paramètres CRL.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Exemple 4 : créer une autorité de certification avec une CRL attachée et un CNAME personnalisé activé

Dans cet exemple, la configuration de révocation définit les paramètres CRL qui incluent un CNAME personnalisé.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Exemple 5 : créer une autorité de certification et spécifier le mode d'utilisation

Dans cet exemple, le mode d'utilisation de l'autorité de certification est spécifié lors de la création d'une autorité de certification. S'il n'est pas spécifié, le paramètre du mode d'utilisation prend par défaut la valeur GENERAL_PURPOSE. Dans cet exemple, le paramètre est défini sur SHORT_LIVED_CERTIFICATE, ce qui signifie que l'autorité de certification délivrera des certificats dont la durée de validité maximale est de sept jours. Dans les situations où il n'est pas pratique de configurer la révocation, un certificat de courte durée qui a été compromis expire rapidement dans le cadre des opérations normales. Par conséquent, cet exemple d'autorité de certification ne dispose pas d'un mécanisme de révocation.

Note

Autorité de certification privée AWS n'effectue pas de contrôles de validité sur les certificats de l'autorité de certification racine.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilisez la describe-certificate-authoritycommande dans le AWS CLI pour afficher des détails sur l'autorité de certification obtenue, comme indiqué dans la commande suivante :

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Exemple 6 : créer une autorité de certification pour la connexion à Active Directory

Vous pouvez créer une autorité de certification privée adaptée à une utilisation dans le NTAuth magasin d'entreprise de Microsoft Active Directory (AD), où elle peut émettre des certificats d'ouverture de session par carte ou de contrôleur de domaine. Pour plus d'informations sur l'importation d'un certificat CA dans AD, consultez Comment importer des certificats d'autorité de certification (CA) tiers dans le NTAuth magasin d'entreprise.

L'outil Microsoft certutil peut être utilisé pour publier des certificats CA dans AD en invoquant l'option. -dspublish Un certificat publié sur AD avec certutil est fiable dans l'ensemble de la forêt. À l'aide de la stratégie de groupe, vous pouvez également limiter la confiance à un sous-ensemble de la forêt entière, par exemple un seul domaine ou un groupe d'ordinateurs dans un domaine. Pour que l'ouverture de session fonctionne, l'autorité de certification émettrice doit également être publiée dans le NTAuth magasin. Pour plus d'informations, voir Distribuer des certificats aux ordinateurs clients à l'aide d'une stratégie de groupe.

Cet exemple utilise le fichier ca_config_AD.txt de configuration suivant.

Fichier : ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Commande

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Exemple 7 : créer une autorité de certification Matter avec une CRL attachée et l'extension CDP omise dans les certificats émis

Vous pouvez créer une autorité de certification privée adaptée à la délivrance de certificats pour la norme de maison intelligente Matter. Dans cet exemple, la configuration CA ca_config_PAA.txt définit une autorité d'attestation de produit (PAA) Matter Product Attestation Authority (PAA) dont le Vendor ID (VID) est défini sur. FFF1

Fichier : ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuration de révocation permet CRLs et configure l'autorité de certification pour qu'elle omette l'URL CDP par défaut de tous les certificats émis.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...