Buat CA pribadi di AWS Private CA - AWS Private Certificate Authority
CLIcontoh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat CA pribadi di AWS Private CA

Anda dapat menggunakan prosedur di bagian ini untuk membuat root CAs atau bawahanCAs, menghasilkan hierarki hubungan kepercayaan yang dapat diaudit yang sesuai dengan kebutuhan organisasi Anda. Anda dapat membuat CA menggunakan AWS Management Console, PCA bagian dari AWS CLI, atau AWS CloudFormation.

Untuk informasi tentang memperbarui konfigurasi CA yang telah Anda buat, lihatPerbarui CA pribadi di AWS Private Certificate Authority.

Untuk informasi tentang cara menggunakan CA untuk menandatangani sertifikat entitas akhir untuk pengguna, perangkat, dan aplikasi, lihat Menerbitkan sertifikat entitas akhir pribadi.

catatan

Akun Anda akan dikenakan harga bulanan untuk setiap CA privat mulai sejak Anda membuatnya.

Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.

Console
Untuk membuat CA privat menggunakan konsol

  1. Selesaikan langkah-langkah berikut untuk membuat CA pribadi menggunakan AWS Management Console.

    Untuk mulai menggunakan konsol

    Masuk ke AWS akun Anda dan buka AWS Private CA konsol dihttps://console.aws.amazon.com/acm-pca/home.

    • Jika Anda membuka konsol di Wilayah di mana Anda tidak memiliki pribadiCAs, halaman pengantar akan muncul. Pilih Buat CA pribadi.

    • Jika Anda membuka konsol di Wilayah tempat Anda telah membuat CA, halaman otoritas sertifikat pribadi terbuka dengan daftar AndaCAs. Pilih Buat CA.

  2. Di bawah Opsi mode, pilih mode kedaluwarsa sertifikat yang diterbitkan CA Anda.

    • Tujuan umum - Mengeluarkan sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun. Ini adalah opsi default.

    • Sertifikat berumur pendek - Menerbitkan sertifikat dengan masa berlaku maksimum tujuh hari. Periode validitas yang singkat dapat menggantikan dalam beberapa kasus untuk mekanisme pencabutan.

  3. Pada bagian Opsi jenis konsol, pilih jenis otoritas sertifikat pribadi yang ingin Anda buat.

    • Memilih Root menetapkan hierarki CA baru. CA ini didukung dengan sertifikat yang ditandatangani sendiri. Ini berfungsi sebagai otoritas penandatanganan utama untuk sertifikat entitas lain CAs dan akhir dalam hierarki.

    • Memilih Bawahan menciptakan CA yang harus ditandatangani oleh CA induk di atasnya dalam hierarki. Bawahan CAs biasanya digunakan untuk membuat bawahan lain CAs atau untuk mengeluarkan sertifikat entitas akhir kepada pengguna, komputer, dan aplikasi.

      catatan

      AWS Private CA menyediakan proses penandatanganan otomatis ketika CA induk CA bawahan Anda juga di-host oleh AWS Private CA. Yang Anda lakukan hanyalah memilih CA induk untuk digunakan.

      CA bawahan Anda mungkin perlu ditandatangani oleh penyedia layanan kepercayaan eksternal. Jika demikian, AWS Private CA memberi Anda permintaan penandatanganan sertifikat (CSR) yang harus Anda unduh dan gunakan untuk mendapatkan sertifikat CA yang ditandatangani. Untuk informasi selengkapnya, lihat Instal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal.

  4. Di bawah Opsi nama yang dibedakan Subjek, konfigurasikan nama subjek CA pribadi Anda. Anda harus memasukkan nilai untuk setidaknya satu dari opsi berikut:

    • Organisasi (O) — Misalnya, nama perusahaan

    • Unit Organisasi (OU) — Misalnya, divisi dalam perusahaan

    • Nama negara (C) — Kode negara dua huruf

    • Nama negara bagian atau provinsi — Nama lengkap negara bagian atau provinsi

    • Nama lokalitas — Nama kota

    • Common Name (CN) — String yang dapat dibaca manusia untuk mengidentifikasi CA.

    catatan

    Anda dapat lebih lanjut menyesuaikan nama subjek sertifikat dengan menerapkan APIPassthrough templat pada saat penerbitan. Untuk informasi lebih lanjut dan contoh terperinci, lihatMenerbitkan sertifikat dengan nama subjek kustom menggunakan APIPassthrough templat.

    Karena sertifikat dukungan ditandatangani sendiri, informasi subjek yang Anda berikan untuk CA pribadi mungkin lebih jarang daripada yang dikandung CA publik. Untuk informasi selengkapnya tentang masing-masing nilai yang membentuk nama subjek yang dibedakan, lihat RFC5280.

  5. Di bawah opsi Algoritma kunci, pilih algoritma kunci dan ukuran bit kunci. Nilai default adalah RSA algoritma dengan panjang kunci 2048-bit. Anda dapat memilih dari algoritma berikut:

    • RSA2048

    • RSA4096

    • ECDSAP256

    • ECDSAP384

  6. Di bawah opsi pencabutan sertifikat, Anda dapat memilih dari dua metode berbagi status pencabutan dengan klien yang menggunakan sertifikat Anda:

    • Aktifkan CRL distribusi

    • Nyalakan OCSP

    Anda dapat mengonfigurasi salah satu, keduanya, atau kedua opsi pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik terbaik. Sebelum menyelesaikan langkah ini, lihat Rencanakan metode pencabutan AWS Private CA sertifikat Anda informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.

    catatan

    Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat Perbarui CA pribadi di AWS Private Certificate Authority.

    Untuk mengonfigurasi opsi pencabutan Sertifikat, lakukan langkah-langkah berikut.

    1. Di bawah opsi pencabutan sertifikat, pilih Aktifkan CRL distribusi.

    2. Untuk membuat bucket Amazon S3 untuk CRL entri Anda, pilih Buat bucket S3 baru dan ketikkan nama bucket unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak, di bawah bucket S3 URI, pilih bucket yang ada dari daftar.

      Saat Anda membuat bucket baru melalui konsol, AWS Private CA coba lampirkan kebijakan akses yang diperlukan ke bucket, dan nonaktifkan pengaturan Blokir Akses Publik (BPA) default S3 di dalamnya. Jika Anda menentukan bucket yang sudah ada, Anda harus memastikan bahwa bucket tersebut BPA dinonaktifkan untuk akun dan bucket. Jika tidak, operasi untuk membuat CA gagal. Jika CA berhasil dibuat, Anda harus tetap melampirkan kebijakan secara manual sebelum Anda dapat mulai membuatCRLs. Gunakan salah satu pola kebijakan yang dijelaskan dalam Kebijakan akses untuk CRLs di Amazon S3 . Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3.

      penting

      Upaya untuk membuat CA menggunakan AWS Private CA konsol gagal jika semua kondisi berikut berlaku:

      • Anda sedang menyiapkanCRL.

      • Anda meminta AWS Private CA untuk membuat bucket S3 secara otomatis.

      • Anda menerapkan BPA pengaturan di S3.

      Dalam situasi ini, konsol membuat ember, tetapi mencoba dan gagal membuatnya dapat diakses publik. Periksa pengaturan Amazon S3 Anda jika ini terjadi, nonaktifkan BPA sesuai kebutuhan, lalu ulangi prosedur untuk membuat CA. Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda.

    3. Perluas CRLpengaturan untuk opsi konfigurasi tambahan.

      • Tambahkan CRLNama Kustom untuk membuat alias untuk bucket Amazon S3 Anda. Nama ini terkandung dalam sertifikat yang dikeluarkan oleh CA dalam ekstensi “Poin CRL Distribusi” yang ditentukan oleh RFC 5280.

      • Ketik Validitas dalam beberapa hari Anda CRL akan tetap valid. Nilai default-nya adalah 7 hari. Untuk onlineCRLs, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba untuk meregenerasi CRL pada titik tengah periode yang ditentukan.

    4. Perluas pengaturan S3 untuk konfigurasi opsional versi Bucket dan pencatatan akses Bucket.

  7. Untuk opsi pencabutan Sertifikat, pilih Aktifkan. OCSP

    1. Di bidang OCSPEndpoint kustom - opsional, Anda dapat memberikan nama domain yang memenuhi syarat (FQDN) untuk titik akhir non-AmazonOCSP.

      Ketika Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke dalam ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti default URL untuk AWS OCSP responden. Ketika titik akhir menerima sertifikat yang berisi kustomFQDN, ia menanyakan alamat tersebut untuk responsOCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

      • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di kustom Anda FQDN ke AWS OCSP responden.

      • Tambahkan CNAME catatan yang sesuai ke DNS database Anda.

      Tip

      Untuk informasi selengkapnya tentang penerapan OCSP solusi lengkap menggunakan kustomCNAME, lihatSesuaikan OCSP URL untuk AWS Private CA.

      Misalnya, berikut adalah CNAME catatan untuk disesuaikan OCSP seperti yang akan muncul di Amazon Route 53.

      Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

      alternatif.example.com

      		 CNAME Sederhana - proxy.example.com
      catatan

      Nilai tidak CNAME boleh menyertakan awalan protokol seperti “http://” atau “https://”.

  8. Di bawah Tambahkan tag, Anda dapat menandai CA Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter AWS Private CA tag dan petunjuk tentang cara menambahkan tag CAs setelah pembuatan, lihatTambahkan tag untuk CA pribadi Anda.

    catatan

    Untuk melampirkan tag ke CA pribadi selama prosedur pembuatan, administrator CA harus terlebih dahulu mengaitkan IAM kebijakan inline dengan CreateCertificateAuthority tindakan dan secara eksplisit mengizinkan penandaan. Untuk informasi selengkapnya, lihat Tag-on-create: Melampirkan tag ke CA pada saat pembuatan.

  9. Di bawah opsi izin CA, Anda dapat secara opsional mendelegasikan izin perpanjangan otomatis ke kepala layanan. AWS Certificate Manager ACMHanya dapat secara otomatis memperbarui sertifikat entitas akhir pribadi yang dihasilkan oleh CA ini jika izin ini diberikan. Anda dapat menetapkan izin perpanjangan kapan saja dengan perintah AWS Private CACreatePermissionAPIatau create-permission. CLI

    Dafault-nya adalah untuk mengaktifkan izin ini.

    catatan

    AWS Certificate Manager tidak mendukung pembaruan otomatis sertifikat berumur pendek.

  10. Di bawah Harga, konfirmasikan bahwa Anda memahami harga untuk CA pribadi.

    catatan

    Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.

  11. Pilih Buat CA setelah Anda memeriksa semua informasi yang dimasukkan untuk akurasi. Halaman detail untuk CA terbuka dan menampilkan statusnya sebagai sertifikat Tertunda.

    catatan

    Saat berada di halaman detail, Anda dapat menyelesaikan konfigurasi CA Anda dengan memilih Tindakan, Instal sertifikat CA, atau Anda dapat kembali nanti ke daftar otoritas sertifikat pribadi dan menyelesaikan prosedur instalasi yang berlaku dalam kasus Anda:

CLI

Gunakan create-certificate-authorityperintah untuk membuat CA pribadi. Anda harus menentukan konfigurasi CA (berisi algoritme dan informasi nama subjek), konfigurasi pencabutan (jika Anda berencana untuk menggunakan OCSP dan/atau aCRL), dan jenis CA (root atau bawahan). Rincian konfigurasi konfigurasi dan pencabutan terkandung dalam dua file yang Anda berikan sebagai argumen ke perintah. Secara opsional, Anda juga dapat mengonfigurasi mode penggunaan CA (untuk menerbitkan sertifikat standar atau jangka pendek), melampirkan tag, dan menyediakan token idempotensi.

Jika Anda mengonfigurasi aCRL, Anda harus memiliki bucket Amazon S3 yang aman sebelum mengeluarkan perintah. create-certificate-authority Untuk informasi selengkapnya, lihat Kebijakan akses untuk CRLs di Amazon S3 .

File konfigurasi CA menentukan informasi berikut:

  • Nama algoritme

  • Ukuran kunci yang akan digunakan untuk membuat kunci privat CA

  • Jenis algoritme penandatanganan yang CA gunakan untuk menandatangan

  • Informasi subjek X.500

Konfigurasi pencabutan untuk OCSP mendefinisikan OcspConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • (Opsional) Kustom yang CNAME dideklarasikan sebagai nilai untukOcspCustomCname.

Konfigurasi pencabutan untuk CRL mendefinisikan CrlConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • Masa CRL kedaluwarsa dalam beberapa hari (masa berlaku). CRL

  • Bucket Amazon S3 yang akan berisi file. CRL

  • (Opsional) ObjectAcl Nilai S3 yang menentukan CRL apakah dapat diakses publik. Dalam contoh yang disajikan di sini, akses publik diblokir. Untuk informasi selengkapnya, lihat Aktifkan S3 Block Public Access (BPA) dengan CloudFront.

  • (Opsional) CNAME Alias untuk bucket S3 yang disertakan dalam sertifikat yang dikeluarkan oleh CA. Jika CRL tidak dapat diakses publik, ini akan mengarah ke mekanisme distribusi seperti Amazon CloudFront.

  • (Opsional) CrlDistributionPointExtensionConfiguration Objek dengan informasi berikut:

    • OmitExtensionBendera disetel ke “true” atau “false”. Ini mengontrol apakah nilai default untuk CDP ekstensi akan ditulis ke sertifikat yang dikeluarkan oleh CA. Untuk informasi selengkapnya tentang CDP ekstensi, lihatMenentukan Titik CRL Distribusi (CDP) URI . A CustomCname tidak dapat OmitExtension diatur jika “benar”.

catatan

Anda dapat mengaktifkan kedua mekanisme pencabutan pada CA yang sama dengan mendefinisikan OcspConfiguration objek dan objek. CrlConfiguration Jika Anda tidak memberikan --revocation-configuration parameter, kedua mekanisme dinonaktifkan secara default. Jika Anda memerlukan dukungan validasi pencabutan nanti, lihat. Memperbarui CA (CLI)

Lihat bagian berikut untuk CLI contoh.

CLIcontoh untuk membuat CA pribadi

Contoh berikut mengasumsikan bahwa Anda telah menyiapkan direktori .aws konfigurasi dengan Region, endpoint, dan kredensial default yang valid. Untuk informasi tentang mengonfigurasi AWS CLI lingkungan Anda, lihat Konfigurasi dan pengaturan file kredenal. Untuk keterbacaan, kami menyediakan konfigurasi CA dan input pencabutan sebagai JSON file dalam perintah contoh. Ubah file contoh sesuai kebutuhan untuk Anda gunakan.

Semua contoh menggunakan file ca_config.txt konfigurasi berikut kecuali dinyatakan lain.

Berkas: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Contoh 1: Buat CA dengan OCSP diaktifkan

Dalam contoh ini, file pencabutan mengaktifkan OCSP dukungan default, yang menggunakan AWS Private CA responden untuk memeriksa status sertifikat.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA baru.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Contoh 2: Buat CA dengan OCSP dan kustom CNAME diaktifkan

Dalam contoh ini, file pencabutan memungkinkan dukungan yang disesuaikanOCSP. OcspCustomCnameParameter mengambil nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai nilainya.

Ketika Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke dalam ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti default URL untuk AWS OCSP responden. Ketika titik akhir menerima sertifikat yang berisi kustomFQDN, ia menanyakan alamat tersebut untuk responsOCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

  • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di kustom Anda FQDN ke AWS OCSP responden.

  • Tambahkan CNAME catatan yang sesuai ke DNS database Anda.

Tip

Untuk informasi selengkapnya tentang penerapan OCSP solusi lengkap menggunakan kustomCNAME, lihatSesuaikan OCSP URL untuk AWS Private CA.

Misalnya, berikut adalah CNAME catatan untuk disesuaikan OCSP seperti yang akan muncul di Amazon Route 53.

Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

alternatif.example.com

 CNAME Sederhana - proxy.example.com
catatan

Nilai tidak CNAME boleh menyertakan awalan protokol seperti “http://” atau “https://”.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Contoh 3: Buat CA dengan terlampir CRL

Dalam contoh ini, konfigurasi pencabutan mendefinisikan CRL parameter.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Contoh 4: Buat CA dengan lampiran CRL dan kustom CNAME diaktifkan

Dalam contoh ini, konfigurasi pencabutan mendefinisikan CRL parameter yang menyertakan kustom. CNAME

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Contoh 5: Buat CA dan tentukan mode penggunaan

Dalam contoh ini, mode penggunaan CA ditentukan saat membuat CA. Jika tidak ditentukan, parameter mode penggunaan default ke _. GENERAL PURPOSE Dalam contoh ini, parameter diatur ke SHORT _ LIVED _CERTIFICATE, yang berarti bahwa CA akan mengeluarkan sertifikat dengan masa berlaku maksimum tujuh hari. Dalam situasi di mana tidak nyaman untuk mengonfigurasi pencabutan, sertifikat berumur pendek yang telah dikompromikan dengan cepat kedaluwarsa sebagai bagian dari operasi normal. Akibatnya, contoh CA ini tidak memiliki mekanisme pencabutan.

catatan

AWS Private CA tidak melakukan pemeriksaan validitas pada sertifikat CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Gunakan describe-certificate-authorityperintah di AWS CLI untuk menampilkan rincian tentang CA yang dihasilkan, seperti yang ditunjukkan pada perintah berikut:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Contoh 6: Buat CA untuk login Active Directory

Anda dapat membuat CA pribadi yang cocok untuk digunakan di NTAuth toko Enterprise Microsoft Active Directory (AD), di mana ia dapat mengeluarkan sertifikat card-logon atau domain-controller. Untuk informasi tentang mengimpor sertifikat CA ke AD, lihat Cara mengimpor sertifikat otoritas sertifikasi pihak ketiga (CA) ke dalam NTAuth toko Perusahaan.

Alat Microsoft certutil dapat digunakan untuk mempublikasikan sertifikat CA di AD dengan menjalankan opsi. -dspublish Sertifikat yang diterbitkan untuk AD dengan certutil dipercaya di seluruh hutan. Dengan menggunakan kebijakan grup, Anda juga dapat membatasi kepercayaan pada subset dari seluruh hutan, misalnya, satu domain atau sekelompok komputer dalam domain. Agar logon berfungsi, CA penerbit juga harus dipublikasikan di toko. NTAuth Untuk informasi selengkapnya, lihat Mendistribusikan Sertifikat ke Komputer Klien dengan Menggunakan Kebijakan Grup.

Contoh ini menggunakan file ca_config_AD.txt konfigurasi berikut.

Berkas: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Contoh 7: Buat CA Materi dengan lampiran CRL dan CDP ekstensi dihilangkan dari sertifikat yang diterbitkan

Anda dapat membuat CA pribadi yang cocok untuk menerbitkan sertifikat untuk standar rumah pintar Matter. Dalam contoh ini, konfigurasi CA dalam ca_config_PAA.txt mendefinisikan Matter Product Attestation Authority (PAA) dengan Vendor ID (VID) disetel ke. FFF1

Berkas: PAA ca_config_ .txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

Konfigurasi pencabutan memungkinkanCRLs, dan mengonfigurasi CA untuk menghilangkan default CDP URL dari sertifikat yang dikeluarkan.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...