Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memasang sertifikat CA
Selesaikan prosedur berikut untuk membuat dan menginstal sertifikat CA privat Anda. CA Anda kemudian akan siap digunakan.
AWS Private CA mendukung tiga skenario untuk menginstal sertifikat CA:
-
Menginstal sertifikat untuk root CA yang dihosting oleh AWS Private CA
-
Memasang sertifikat CA bawahan yang otoritas induknya dihosting oleh AWS Private CA
-
Menginstal sertifikat CA bawahan yang otoritas induknya di-host secara eksternal
Bagian berikut menjelaskan prosedur untuk setiap skenario. Prosedur konsol dimulai pada halaman konsol Pribadi CAs.
Algoritma penandatanganan yang kompatibel
Dukungan algoritma penandatanganan untuk sertifikat CA tergantung pada algoritma penandatanganan CA induk dan pada Wilayah AWS. Kendala berikut berlaku untuk konsol dan operasi. AWS CLI
-
CA induk dengan algoritme RSA penandatanganan dapat mengeluarkan sertifikat dengan algoritme berikut:
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
Dalam warisan Wilayah AWS, CA induk dengan algoritme EDCSA penandatanganan dapat mengeluarkan sertifikat dengan algoritme berikut:
-
SHA256 ECDSA
-
SHA384 ECDSA
-
SHA512 ECDSA
Warisan Wilayah AWS meliputi:
Nama Wilayah
Lokasi geografis
eu-north-1
Eropa (Stockholm)
me-south-1
Timur Tengah (Bahrain)
ap-south-1
Asia Pasifik (Mumbai)
eu-west-3
Eropa (Paris)
us-east-2
AS Timur (Ohio)
af-south-1
Afrika (Cape Town)
eu-west-1
Eropa (Irlandia)
eu-central-1
Eropa (Frankfurt)
sa-east-1
Amerika Selatan (Sao Paulo)
ap-east-1
Asia Pasifik (Hong Kong)
us-east-1
AS Timur (Virginia Utara)
ap-northeast-2
Asia Pasifik (Seoul)
eu-west-2
Eropa (London)
ap-northeast-1
Asia Pasifik (Tokyo)
us-gov-east-1
AWS GovCloud (AS-Timur)
us-gov-west-1
AWS GovCloud (AS-Barat)
us-west-2
AS Barat (Oregon)
us-west-1
AS Barat (California Utara)
ap-southeast-1
Asia Pasifik (Singapura)
ap-southeast-2
Asia Pasifik (Sydney)
-
-
Dalam non-warisan Wilayah AWS, aturan berikut berlaku untuk: EDCSA
-
CA induk dengan algoritma penandatanganan EC_Prime256v1 dapat mengeluarkan sertifikat dengan P256. ECDSA
-
CA induk dengan algoritma penandatanganan EC_Secp384R1 dapat mengeluarkan sertifikat dengan P384. ECDSA
-
Instal sertifikat CA root
Anda dapat menginstal sertifikat CA root dari AWS Management Console atau file AWS CLI.
Untuk membuat dan menginstal sertifikat untuk CA root pribadi Anda (konsol)
-
(Opsional) Jika Anda belum berada di halaman detail CA, buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah
. Pada halaman Private Certificate Authority, pilih CA root dengan status Sertifikat tertunda atau Aktif. -
Pilih Tindakan, Instal sertifikat CA untuk membuka halaman sertifikat CA root Install.
-
Di bawah Tentukan parameter sertifikat CA root, tentukan parameter sertifikat berikut:
-
Validitas - Menentukan tanggal kedaluwarsa dan waktu untuk sertifikat CA. Masa berlaku AWS Private CA default untuk sertifikat CA root adalah 10 tahun.
-
Algoritma tanda tangan - Menentukan algoritma penandatanganan yang akan digunakan saat root CA mengeluarkan sertifikat baru. Opsi yang tersedia bervariasi sesuai dengan Wilayah AWS tempat Anda membuat CA. Untuk informasi lebih lanjut, lihatAlgoritma penandatanganan yang kompatibel,Algoritma kriptografi yang didukung di AWS Private Certificate Authority, dan SigningAlgorithmmasuk CertificateAuthorityConfiguration.
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
Tinjau pengaturan Anda untuk kebenaran, lalu pilih Konfirmasi dan instal. AWS Private CA mengekspor a CSR untuk CA Anda, menghasilkan sertifikat menggunakan templat sertifikat CA root, dan menandatangani sendiri sertifikat. AWS Private CA kemudian mengimpor sertifikat CA root yang ditandatangani sendiri.
-
-
Halaman detail untuk CA menampilkan status instalasi (sukses atau gagal) di bagian atas. Jika penginstalan berhasil, CA root yang baru selesai menampilkan status Aktif di panel Umum.
Untuk membuat dan menginstal sertifikat untuk root pribadi CA (AWS CLI)
-
Buat permintaan penandatanganan sertifikat (CSR).
$
aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --output text \ --regionregion
> ca.csrFile yang dihasilkan
ca.csr
, PEM file yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.-----BEGIN CERTIFICATE REQUEST----- MIIC1DCCAbwCAQAwbTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29y cDEOMAwGA1UECwwFU2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhh bXBsZS5jb20xEDAOBgNVBAcMB1NlYXR0bGUwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQDD+7eQChWUO2m6pHslI7AVSFkWvbQofKIHvbvy7wm8VO9/BuI7 LE/jrnd1jGoyI7jaMHKXPtEP3uNlCzv+oEza07OjgjqPZVehtA6a3/3vdQ1qCoD2 rXpv6VIzcq2onx2X7m+Zixwn2oY1l1ELXP7I5g0GmUStymq+pY5VARPy3vTRMjgC JEiz8w7VvC15uIsHFAWa2/NvKyndQMPaCNft238wesV5s2cXOUS173jghIShg99o ymf0TRUgvAGQMCXvsW07MrP5VDmBU7k/AZ9ExsUfMe2OB++fhfQWr2N7/lpC4+DP qJTfXTEexLfRTLeLuGEaJL+c6fMyG+Yk53tZAgMBAAGgIjAgBgkqhkiG9w0BCQ4x EzARMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAA7xxLVI5s1B qmXMMT44y1DZtQx3RDPanMNGLGO1TmLtyqqnUH49Tla+2p7nrl0tojUf/3PaZ52F QN09SrFk8qtYSKnMGd5PZL0A+NFsNW+w4BAQNKlg9m617YEsnkztbfKRloaJNYoA HZaRvbA0lMQ/tU2PKZR2vnao444Ugm0O/t3jx5rj817b31hQcHHQ0lQuXV2kyTrM ohWeLf2fL+K0xJ9ZgXD4KYnY0zarpreA5RBeO5xs3Ms+oGWc13qQfMBx33vrrz2m dw5iKjg71uuUUmtDV6ewwGa/VO5hNinYAfogdu5aGuVbnTFT3n45B8WHz2+9r0dn bA7xUel1SuQ= -----END CERTIFICATE REQUEST-----
Anda dapat menggunakan Open SSL
untuk melihat dan memverifikasi isiCSR. openssl req -text -noout -verify -in ca.csr
Ini menghasilkan output yang mirip dengan yang berikut ini.
verify OK Certificate Request: Data: Version: 0 (0x0) Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: sha256WithRSAEncryption 0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5: 0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50: 7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67: 9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64: bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed: 81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd: b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82: 6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2: 54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4: 9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b: 9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af: 3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0: 66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d: 31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51: e9:75:4a:e4
-
Menggunakan CSR dari langkah sebelumnya sebagai argumen untuk
--csr
parameter, keluarkan sertifikat root.catatan
Jika Anda menggunakan AWS CLI versi 1.6.3 atau yang lebih baru, gunakan awalan
fileb://
saat menentukan file input yang diperlukan. Ini memastikan bahwa AWS Private CA mem-parsing data yang dikodekan Base64 dengan benar.$
aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
\ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=365,Type=DAYS -
Ambil sertifikat akar.
$
aws acm-pca get-certificate \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --certificate-arn arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
\ --output text > cert.pemFile yang dihasilkan
cert.pem
, PEM file yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.-----BEGIN CERTIFICATE----- MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7 t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4 YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3 DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2 t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX 2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4 -----END CERTIFICATE-----
Anda dapat menggunakan Buka SSL
untuk melihat dan memverifikasi isi sertifikat. openssl x509 -in cert.pem -text -noout
Ini menghasilkan output yang mirip dengan yang berikut ini.
Certificate: Data: Version: 3 (0x2) Serial Number: 82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Validity Not Before: Mar 8 15:46:27 2021 GMT Not After : Mar 8 16:46:27 2022 GMT Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: 69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign Signature Algorithm: sha256WithRSAEncryption 17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9: 8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3: 5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7: a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66: aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d: cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63: 4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27: 11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95: b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49: 78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a: 57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed: 92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3: 48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae: e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77: d3:69:5c:38
-
Impor sertifikat CA root untuk menginstalnya di CA.
catatan
Jika Anda menggunakan AWS CLI versi 1.6.3 atau yang lebih baru, gunakan awalan
fileb://
saat menentukan file input yang diperlukan. Ini memastikan bahwa AWS Private CA mem-parsing data yang dikodekan Base64 dengan benar.$
aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
\ --certificate file://cert.pem
Periksa status baru CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --output json
Status sekarang muncul sebagaiACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
Instal sertifikat CA bawahan yang dihosting oleh AWS Private CA
Anda dapat menggunakan AWS Management Console untuk membuat dan menginstal sertifikat untuk CA bawahan Anda yang AWS Private CA dihosting.
Untuk membuat dan menginstal sertifikat untuk CA bawahan Anda yang AWS Private CA dihosting
-
(Opsional) Jika Anda belum berada di halaman detail CA, buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah
. Pada halaman Otoritas sertifikat pribadi, pilih CA bawahan dengan status Sertifikat tertunda atau Aktif. -
Pilih Tindakan, Instal Sertifikat CA untuk membuka halaman Instal sertifikat CA bawahan.
-
Pada halaman Instal sertifikat CA bawahan, di bawah Pilih jenis CA, pilih AWS Private CAuntuk menginstal sertifikat yang dikelola oleh AWS Private CA.
-
Di bawah Pilih CA induk, pilih CA dari daftar CA pribadi Induk. Daftar ini disaring untuk ditampilkan CAs yang memenuhi kriteria berikut:
-
Anda memiliki izin untuk menggunakan CA.
-
CA tidak akan menandatangani sendiri.
-
CA berada di negara bagian
ACTIVE
. -
Mode CA adalah
GENERAL_PURPOSE
.
-
-
Di bawah Tentukan parameter sertifikat CA bawahan, tentukan parameter sertifikat berikut:
-
Validitas - Menentukan tanggal kedaluwarsa dan waktu untuk sertifikat CA.
-
Algoritma tanda tangan - Menentukan algoritma penandatanganan yang akan digunakan saat root CA mengeluarkan sertifikat baru. Pilihannya adalah:
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
Panjang jalur — Jumlah lapisan kepercayaan yang dapat ditambahkan CA bawahan saat menandatangani sertifikat baru. Panjang jalur nol (default) berarti hanya sertifikat entitas akhir, dan bukan sertifikat CA, yang dapat dibuat. Panjang jalur satu atau lebih berarti bahwa CA bawahan dapat mengeluarkan sertifikat untuk membuat CAs bawahan tambahan untuk itu.
-
Template ARN - ARN Menampilkan template konfigurasi untuk sertifikat CA ini. Templat berubah jika Anda mengubah Panjang jalur yang ditentukan. Jika Anda membuat sertifikat menggunakan perintah atau API IssueCertificatetindakan CLI issue-certificate, Anda harus menentukan secara manual. ARN Untuk informasi tentang templat sertifikat CA yang tersedia, lihat Gunakan templat AWS Private CA sertifikat.
-
-
Tinjau pengaturan Anda untuk kebenaran, lalu pilih Konfirmasi dan instal. AWS Private CA mengekspor aCSR, menghasilkan sertifikat menggunakan templat sertifikat CA bawahan, dan menandatangani sertifikat itu dengan CA induk yang dipilih. AWS Private CA kemudian mengimpor sertifikat CA bawahan yang ditandatangani.
-
Halaman detail untuk CA menampilkan status instalasi (sukses atau gagal) di bagian atas. Jika penginstalan berhasil, CA bawahan yang baru selesai menampilkan status Aktif di panel Umum.
Instal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal
Setelah Anda membuat CA pribadi bawahan seperti yang dijelaskan dalamBuat CA pribadi di AWS Private CA, Anda memiliki opsi untuk mengaktifkannya dengan menginstal sertifikat CA yang ditandatangani oleh otoritas penandatanganan eksternal. Menandatangani sertifikat CA bawahan Anda dengan CA eksternal mengharuskan Anda terlebih dahulu menyiapkan penyedia layanan kepercayaan eksternal sebagai otoritas penandatanganan Anda, atau mengatur penggunaan penyedia pihak ketiga.
catatan
Prosedur untuk membuat atau memperoleh penyedia layanan kepercayaan eksternal berada di luar cakupan panduan ini.
Setelah Anda membuat CA bawahan dan Anda memiliki akses ke otoritas penandatanganan eksternal, selesaikan tugas-tugas berikut:
-
Dapatkan permintaan penandatanganan sertifikat (CSR) dari AWS Private CA.
-
Kirimkan CSR ke otoritas penandatanganan eksternal Anda dan dapatkan sertifikat CA yang ditandatangani bersama dengan sertifikat rantai apa pun.
-
Impor sertifikat CA dan rantai ke AWS Private CA untuk mengaktifkan CA bawahan Anda.
Untuk prosedur terperinci, lihat Gunakan sertifikat CA pribadi yang ditandatangani secara eksternal .