Créez une autorité de certification privée dans AWS Private CA - AWS Private Certificate Authority
CLIexemples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une autorité de certification privée dans AWS Private CA

Vous pouvez utiliser les procédures décrites dans cette section pour créer des relations de confiance racine CAs ou subordonnéesCAs, ce qui permet d'obtenir une hiérarchie vérifiable des relations de confiance qui répond aux besoins de votre organisation. Vous pouvez créer une autorité de certification à AWS Management Console l'aide de la PCA partie AWS CLI, ou AWS CloudFormation.

Pour plus d'informations sur la mise à jour de la configuration d'une autorité de certification que vous avez déjà créée, consultezMettre à jour une autorité de certification privée dans AWS Private Certificate Authority.

Pour plus d'informations sur l'utilisation d'une autorité de certification pour signer des certificats d'entité finale pour vos utilisateurs, appareils et applications, consultezÉmettre des certificats d'entité finale privés.

Note

Un tarif mensuel est facturé à votre compte pour chaque autorité de certification privée à partir du moment où vous l'avez créée.

Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification. Vous pouvez également utiliser le calculateur de AWS prix pour estimer les coûts.

Console
Pour créer une autorité de certification privée à l'aide de la console

  1. Procédez comme suit pour créer une autorité de certification privée à l'aide du AWS Management Console.

    Pour commencer à utiliser la console

    Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à l'adressehttps://console.aws.amazon.com/acm-pca/home.

    • Si vous ouvrez la console dans une région où vous n'avez aucun accès privéCAs, la page d'introduction apparaît. Choisissez Create a private CA.

    • Si vous ouvrez la console dans une région où vous avez déjà créé une autorité de certification, la page Autorités de certification privées s'ouvre avec une liste de vosCAs. Choisissez Create CA.

  2. Sous Options du mode, choisissez le mode d'expiration des certificats émis par votre autorité de certification.

    • Usage général : émet des certificats qui peuvent être configurés avec n'importe quelle date d'expiration. Il s’agit de l’option par défaut.

    • Certificat de courte durée — Délivre des certificats dont la durée de validité maximale est de sept jours. Une courte période de validité peut remplacer dans certains cas un mécanisme de révocation.

  3. Dans la section Options de type de la console, choisissez le type d'autorité de certification privée que vous souhaitez créer.

    • Le choix de Root établit une nouvelle hiérarchie CA. Cette autorité de certification est basée sur un certificat auto-signé. Il constitue l'autorité de signature ultime pour les autres certificats CAs et les certificats d'entité finale de la hiérarchie.

    • Le choix de Subordinate crée une autorité de certification qui doit être signée par une autorité de certification parente située au-dessus de cette autorité dans la hiérarchie. Les subordonnés CAs sont généralement utilisés pour créer d'autres subordonnés CAs ou pour délivrer des certificats d'entité finale aux utilisateurs, aux ordinateurs et aux applications.

      Note

      Autorité de certification privée AWS fournit un processus de signature automatique lorsque l'autorité de certification parent de votre autorité de certification subordonnée est également hébergée par Autorité de certification privée AWS. Il vous suffit de choisir l'autorité de certification parent à utiliser.

      Votre autorité de certification subordonnée devra peut-être être signée par un fournisseur de services de confiance externe. Si tel est le cas, vous Autorité de certification privée AWS fournit une demande de signature de certificat (CSR) que vous devez télécharger et utiliser pour obtenir un certificat CA signé. Pour de plus amples informations, veuillez consulter Installer un certificat d'autorité de certification subordonnée signé par une autorité de certification parent externe.

  4. Sous Options de nom distinctif du sujet, configurez le nom du sujet de votre autorité de certification privée. Vous devez saisir une valeur pour au moins l'une des options suivantes :

    • Organisation (O) — Par exemple, le nom d'une entreprise

    • Unité organisationnelle (UO) — Par exemple, une division au sein d'une entreprise

    • Nom du pays (C) — Code de pays à deux lettres

    • Nom de l'État ou de la province — Nom complet d'un État ou d'une province

    • Nom de la localité — Le nom d'une ville

    • Nom commun (CN) : chaîne lisible par l'homme pour identifier l'autorité de certification.

    Note

    Vous pouvez personnaliser davantage le nom du sujet d'un certificat en appliquant un APIPassthrough modèle au moment de l'émission. Pour plus d'informations et un exemple détaillé, consultezÉmettre un certificat avec un nom de sujet personnalisé à l'aide d'un APIPassthrough modèle.

    Le certificat de sauvegarde étant auto-signé, les informations relatives au sujet que vous fournissez à une autorité de certification privée sont probablement plus limitées que celles que contiendrait une autorité de certification publique. Pour plus d'informations sur chacune des valeurs qui constituent le nom distinctif d'un sujet, consultez RFC5280.

  5. Sous Options de l'algorithme clé, choisissez l'algorithme clé et la taille en bits de la clé. La valeur par défaut est un RSA algorithme avec une longueur de clé de 2 048 bits. Vous pouvez choisir parmi les algorithmes suivants :

    • RSA2048

    • RSA4096

    • ECDSAP256

    • ECDSAP384

  6. Dans la section Options de révocation des certificats, vous pouvez choisir entre deux méthodes pour partager le statut de révocation avec les clients qui utilisent vos certificats :

    • Activer CRL la distribution

    • Allumez OCSP

    Vous pouvez configurer l'une ou l'autre de ces options de révocation, ou les deux, pour votre autorité de certification. Bien que facultative, la gestion des révocations est recommandée en tant que bonne pratique. Avant de terminer cette étape, consultez Planifiez la méthode de révocation de votre AWS Private CA certificat les informations sur les avantages de chaque méthode, la configuration préliminaire qui pourrait être requise et les fonctionnalités de révocation supplémentaires.

    Note

    Si vous créez votre autorité de certification sans configurer la révocation, vous pourrez toujours la configurer ultérieurement. Pour de plus amples informations, veuillez consulter Mettre à jour une autorité de certification privée dans AWS Private Certificate Authority.

    Pour configurer les options de révocation des certificats, effectuez les étapes suivantes.

    1. Sous Options de révocation des certificats, sélectionnez Activer CRL la distribution.

    2. Pour créer un compartiment Amazon S3 pour vos CRL entrées, choisissez Create a new S3 bucket et saisissez un nom de bucket unique. (Vous n'avez pas besoin d'inclure le chemin d'accès au compartiment.) Sinon, sous compartiment S3 URI, choisissez un compartiment existant dans la liste.

      Lorsque vous créez un nouveau compartiment via la console, vous Autorité de certification privée AWS essayez d'associer la politique d'accès requise au compartiment et de désactiver le paramètre par défaut de S3 Block Public Access (BPA) sur celui-ci. Si vous spécifiez plutôt un bucket existant, vous devez vous assurer qu'BPAil est désactivé pour le compte et pour le bucket. Dans le cas contraire, l'opération de création de l'autorité de certification échouera. Si l'autorité de certification est créée avec succès, vous devez toujours y associer manuellement une politique avant de pouvoir commencer à générerCRLs. Utilisez l'un des modèles de politique décrits dansPolitiques d'accès pour CRLs Amazon S3 . Pour plus d'informations, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3.

      Important

      Une tentative de création d'une autorité de certification à l'aide de la Autorité de certification privée AWS console échoue si toutes les conditions suivantes sont réunies :

      • Vous êtes en train de configurer unCRL.

      • Vous demandez Autorité de certification privée AWS à créer automatiquement un compartiment S3.

      • Vous appliquez des BPA paramètres dans S3.

      Dans ce cas, la console crée un compartiment, mais tente de le rendre accessible au public sans succès. Vérifiez vos paramètres Amazon S3 si cela se produit, désactivez-les BPA si nécessaire, puis répétez la procédure de création d'une autorité de certification. Pour plus d'informations, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.

    3. Développez CRLles paramètres pour obtenir des options de configuration supplémentaires.

      • Ajoutez un CRLnom personnalisé pour créer un alias pour votre compartiment Amazon S3. Ce nom est contenu dans les certificats émis par l'autorité de certification dans l'extension « Points de CRL distribution » définie par RFC 5280.

      • Entrez la durée de validité en jours pendant laquelle CRL vous resterez valide. La valeur par défaut est 7 jours. En ligneCRLs, une période de validité de 2 à 7 jours est courante. Autorité de certification privée AWS essaie de régénérer le CRL au milieu de la période spécifiée.

    4. Étendez les paramètres S3 pour la configuration facultative du versionnement des compartiments et de la journalisation des accès aux compartiments.

  7. Pour les options de révocation des certificats, choisissez Activer OCSP.

    1. Dans le champ Point de OCSPterminaison personnalisé - facultatif, vous pouvez fournir un nom de domaine complet (FQDN) pour un point de OCSP terminaison autre qu'Amazon.

      Lorsque vous saisissez un FQDN dans ce champ, Autorité de certification privée AWS insère l'extension FQDN Into the Authority Information Access de chaque certificat émis à la place de l'extension par défaut URL pour le AWS OCSP répondeur. Lorsqu'un point de terminaison reçoit un certificat contenant la personnalisationFQDN, il demande une OCSP réponse à cette adresse. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :

      • Utilisez un serveur proxy pour transférer le trafic qui arrive à votre adresse personnalisée FQDN vers le AWS OCSP répondeur.

      • Ajoutez un CNAME enregistrement correspondant à votre DNS base de données.

      Astuce

      Pour plus d'informations sur la mise en œuvre d'une OCSP solution complète à l'aide d'une solution personnaliséeCNAME, consultezPersonnalisez OCSP URL pour AWS Private CA.

      Par exemple, voici un CNAME enregistrement à personnaliser OCSP tel qu'il apparaîtrait dans Amazon Route 53.

      Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers

      alternative.exemple.com

      		 CNAME Simplicité - proxy.exemple.com
      Note

      La valeur de ne CNAME doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».

  8. Sous Ajouter des balises, vous pouvez éventuellement étiqueter votre autorité de certification. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser des ressources AWS . Pour obtenir la liste des paramètres des Autorité de certification privée AWS balises et des instructions sur la façon d'ajouter des balises CAs après leur création, consultezAjoutez des tags pour votre autorité de certification privée.

    Note

    Pour associer des balises à une autorité de certification privée lors de la procédure de création, un administrateur de l'autorité de certification doit d'abord associer une IAM politique intégrée à l'CreateCertificateAuthorityaction et autoriser explicitement le balisage. Pour de plus amples informations, veuillez consulter T ag-on-create : Attacher des tags à une autorité de certification au moment de sa création.

  9. Dans les options d'autorisation de l'autorité de certification, vous pouvez éventuellement déléguer les autorisations de renouvellement automatique au principal du AWS Certificate Manager service. ACMne peut renouveler automatiquement les certificats d'entité finale privés générés par cette autorité de certification que si cette autorisation est accordée. Vous pouvez attribuer des autorisations de renouvellement à tout moment à l'aide de la Autorité de certification privée AWS CreatePermissionAPIcommande ou create-permissionCLI.

    La valeur par défaut est d'activer ces autorisations.

    Note

    AWS Certificate Manager ne prend pas en charge le renouvellement automatique des certificats de courte durée.

  10. Sous Tarification, confirmez que vous comprenez les tarifs applicables à une autorité de certification privée.

    Note

    Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification. Vous pouvez également utiliser le calculateur de AWS prix pour estimer les coûts.

  11. Choisissez Create CA après avoir vérifié l'exactitude de toutes les informations saisies. La page de détails de l'autorité de certification s'ouvre et affiche son statut en tant que certificat en attente.

    Note

    Sur la page de détails, vous pouvez terminer la configuration de votre autorité de certification en choisissant Actions, Installer le certificat de l'autorité de certification, ou vous pouvez revenir ultérieurement à la liste des autorités de certification privées et terminer la procédure d'installation qui s'applique à votre cas :

CLI

Utilisez la create-certificate-authoritycommande pour créer une autorité de certification privée. Vous devez spécifier la configuration de l'autorité de certification (contenant les informations relatives à l'algorithme et au nom du sujet), la configuration de révocation (si vous prévoyez d'utiliser OCSP et/ou aCRL) et le type d'autorité de certification (racine ou subordonnée). Les détails de configuration et de révocation sont contenus dans deux fichiers que vous fournissez en tant qu'arguments de la commande. Facultativement, vous pouvez également configurer le mode d'utilisation de l'autorité de certification (pour l'émission de certificats standard ou de courte durée), joindre des balises et fournir un jeton d'idempuissance.

Si vous configurez unCRL, vous devez disposer d'un compartiment Amazon S3 sécurisé avant d'émettre la create-certificate-authority commande. Pour de plus amples informations, veuillez consulter Politiques d'accès pour CRLs Amazon S3 .

Le fichier de configuration CA indique les informations suivantes :

  • Le nom de l'algorithme

  • La taille de la clé à utiliser pour créer la clé privée de l'autorité de certification

  • Le type de l'algorithme de signature que l'autorité de certification utilise pour signer

  • Les informations sur l'objet X.500

La configuration de révocation pour OCSP définit un OcspConfiguration objet avec les informations suivantes :

  • Le Enabled drapeau est réglé sur « vrai ».

  • (Facultatif) Une coutume CNAME déclarée sous forme de valeur pourOcspCustomCname.

La configuration de révocation pour a CRL définit un CrlConfiguration objet avec les informations suivantes :

  • Le Enabled drapeau est réglé sur « vrai ».

  • Le CRL délai d'expiration en jours (la période de validité duCRL).

  • Le compartiment Amazon S3 qui contiendra leCRL.

  • (Facultatif) Une ObjectAcl valeur S3 qui détermine si le CRL est accessible au public. Dans l'exemple présenté ici, l'accès public est bloqué. Pour de plus amples informations, veuillez consulter Activez l'accès public par blocs S3 (BPA) avec CloudFront.

  • (Facultatif) CNAME Alias pour le compartiment S3 inclus dans les certificats émis par l'autorité de certification. S'il n'CRLest pas accessible au public, cela indiquera un mécanisme de distribution tel qu'Amazon CloudFront.

  • (Facultatif) Un CrlDistributionPointExtensionConfiguration objet contenant les informations suivantes :

    • Le OmitExtension drapeau est défini sur « vrai » ou « faux ». Cela permet de contrôler si la valeur par défaut de l'CDPextension sera écrite sur un certificat émis par l'autorité de certification. Pour plus d'informations sur l'CDPextension, consultezDéterminer le point CRL de distribution (CDP) URI . A CustomCname ne peut pas être défini s' OmitExtension il est « vrai ».

Note

Vous pouvez activer les deux mécanismes de révocation sur la même autorité de certification en définissant à la fois un OcspConfiguration objet et un CrlConfiguration objet. Si vous ne fournissez aucun --revocation-configuration paramètre, les deux mécanismes sont désactivés par défaut. Si vous avez besoin d'une assistance pour la validation de la révocation ultérieurement, consultezMettre à jour une autorité de certification (CLI).

Consultez la section suivante pour des CLI exemples.

CLIexemples de création d'une autorité de certification privée

Les exemples suivants supposent que vous avez configuré votre répertoire de .aws configuration avec une région par défaut, un point de terminaison et des informations d'identification valides. Pour plus d'informations sur la configuration de votre AWS CLI environnement, consultez Configuration et paramètres des fichiers d'identification. Pour des raisons de lisibilité, nous fournissons les entrées de configuration et de révocation de l'autorité de certification sous forme de JSON fichiers dans les exemples de commandes. Modifiez les fichiers d'exemple en fonction de vos besoins.

Tous les exemples utilisent le fichier de ca_config.txt configuration suivant, sauf indication contraire.

Fichier : ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Exemple 1 : créer une autorité de certification avec OCSP activé

Dans cet exemple, le fichier de révocation active le OCSP support par défaut, qui utilise le Autorité de certification privée AWS répondeur pour vérifier l'état du certificat.

Fichier : revoke_config.txt pour OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Commande

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de la nouvelle autorité de certification.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Commande

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Exemple 2 : créer une autorité de certification avec OCSP une CNAME option personnalisée activée

Dans cet exemple, le fichier de révocation permet une OCSP assistance personnalisée. Le OcspCustomCname paramètre prend un nom de domaine complet (FQDN) comme valeur.

Lorsque vous saisissez un FQDN dans ce champ, Autorité de certification privée AWS insère l'extension FQDN Into the Authority Information Access de chaque certificat émis à la place de l'extension par défaut URL pour le AWS OCSP répondeur. Lorsqu'un point de terminaison reçoit un certificat contenant la personnalisationFQDN, il demande une OCSP réponse à cette adresse. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :

  • Utilisez un serveur proxy pour transférer le trafic qui arrive à votre adresse personnalisée FQDN vers le AWS OCSP répondeur.

  • Ajoutez un CNAME enregistrement correspondant à votre DNS base de données.

Astuce

Pour plus d'informations sur la mise en œuvre d'une OCSP solution complète à l'aide d'une solution personnaliséeCNAME, consultezPersonnalisez OCSP URL pour AWS Private CA.

Par exemple, voici un CNAME enregistrement à personnaliser OCSP tel qu'il apparaîtrait dans Amazon Route 53.

Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers

alternative.exemple.com

 CNAME Simplicité - proxy.exemple.com
Note

La valeur de ne CNAME doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».

Fichier : revoke_config.txt pour OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Exemple 3 : créer une autorité de certification avec une pièce jointe CRL

Dans cet exemple, la configuration de révocation définit CRL les paramètres.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Exemple 4 : créer une autorité de certification avec une pièce jointe CRL et une CNAME option personnalisée activée

Dans cet exemple, la configuration de révocation définit CRL des paramètres qui incluent une personnalisationCNAME.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Exemple 5 : créer une autorité de certification et spécifier le mode d'utilisation

Dans cet exemple, le mode d'utilisation de l'autorité de certification est spécifié lors de la création d'une autorité de certification. S'il n'est pas spécifié, le paramètre du mode d'utilisation prend par défaut la valeur _. GENERAL PURPOSE Dans cet exemple, le paramètre est défini sur SHORT _ LIVED _CERTIFICATE, ce qui signifie que l'autorité de certification délivrera des certificats dont la durée de validité maximale est de sept jours. Dans les situations où il n'est pas pratique de configurer la révocation, un certificat de courte durée qui a été compromis expire rapidement dans le cadre des opérations normales. Par conséquent, cet exemple de CA ne dispose pas d'un mécanisme de révocation.

Note

Autorité de certification privée AWS n'effectue pas de contrôles de validité sur les certificats de l'autorité de certification racine.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilisez la describe-certificate-authoritycommande dans le AWS CLI pour afficher des détails sur l'autorité de certification obtenue, comme indiqué dans la commande suivante :

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Exemple 6 : créer une autorité de certification pour la connexion à Active Directory

Vous pouvez créer une autorité de certification privée adaptée à une utilisation dans le NTAuth magasin d'entreprise de Microsoft Active Directory (AD), où elle peut émettre des certificats d'ouverture de session par carte ou de contrôleur de domaine. Pour plus d'informations sur l'importation d'un certificat CA dans AD, consultez Comment importer des certificats d'autorité de certification (CA) tiers dans le NTAuth magasin d'entreprise.

L'outil Microsoft certutil peut être utilisé pour publier des certificats CA dans AD en invoquant l'option. -dspublish Un certificat publié sur AD avec certutil est fiable dans l'ensemble de la forêt. À l'aide de la stratégie de groupe, vous pouvez également limiter la confiance à un sous-ensemble de la forêt entière, par exemple un seul domaine ou un groupe d'ordinateurs dans un domaine. Pour que l'ouverture de session fonctionne, l'autorité de certification émettrice doit également être publiée dans le NTAuth magasin. Pour plus d'informations, voir Distribuer des certificats aux ordinateurs clients à l'aide d'une stratégie de groupe.

Cet exemple utilise le fichier ca_config_AD.txt de configuration suivant.

Fichier : ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Commande

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Exemple 7 : Création d'une autorité de certification Matter avec une pièce jointe CRL et une CDP extension omises dans les certificats émis

Vous pouvez créer une autorité de certification privée adaptée à la délivrance de certificats pour la norme de maison intelligente Matter. Dans cet exemple, la configuration CA ca_config_PAA.txt définit une autorité d'attestation du produit Matter (PAA) avec l'ID du fournisseur (VID) défini surFFF1.

Fichier : PAA ca_config_ .txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuration de révocation permet CRLs et configure l'autorité de certification pour qu'elle omette la valeur par défaut dans tous les CDP URL certificats émis.

Fichier : revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Commande

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche le nom de ressource Amazon (ARN) de l'autorité de certification.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...