Buat CA pribadi di AWS Private CA - AWS Private Certificate Authority
Contoh-contoh CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat CA pribadi di AWS Private CA

Anda dapat menggunakan prosedur di bagian ini untuk membuat root CAs atau bawahanCAs, menghasilkan hierarki hubungan kepercayaan yang dapat diaudit yang sesuai dengan kebutuhan organisasi Anda. Anda dapat membuat CA menggunakan AWS Management Console, bagian PCA dari AWS CLI, atau AWS CloudFormation.

Untuk informasi tentang memperbarui konfigurasi CA yang telah Anda buat, lihatPerbarui CA pribadi di AWS Private Certificate Authority.

Untuk informasi tentang cara menggunakan CA untuk menandatangani sertifikat entitas akhir untuk pengguna, perangkat, dan aplikasi, lihat Menerbitkan sertifikat entitas akhir pribadi.

catatan

Akun Anda akan dikenakan harga bulanan untuk setiap CA privat mulai sejak Anda membuatnya.

Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.

Console
Untuk membuat CA privat menggunakan konsol

  1. Selesaikan langkah-langkah berikut untuk membuat CA pribadi menggunakan file AWS Management Console.

    Untuk mulai menggunakan konsol

    Masuk ke AWS akun Anda dan buka AWS Private CA konsol dihttps://console.aws.amazon.com/acm-pca/home.

    • Jika Anda membuka konsol di Wilayah di mana Anda tidak memiliki pribadi CAs, halaman pengantar akan muncul. Pilih Buat CA pribadi.

    • Jika Anda membuka konsol di Wilayah tempat Anda telah membuat CA, halaman otoritas sertifikat pribadi terbuka dengan daftar Anda CAs. Pilih Buat CA.

  2. Di bawah Opsi mode, pilih mode kedaluwarsa sertifikat yang diterbitkan CA Anda.

    • Tujuan umum - Mengeluarkan sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun. Ini adalah opsi default.

    • Sertifikat berumur pendek - Menerbitkan sertifikat dengan masa berlaku maksimum tujuh hari. Periode validitas yang singkat dapat menggantikan dalam beberapa kasus untuk mekanisme pencabutan.

  3. Pada bagian Opsi jenis konsol, pilih jenis otoritas sertifikat pribadi yang ingin Anda buat.

    • Memilih Root menetapkan hierarki CA baru. CA ini didukung dengan sertifikat yang ditandatangani sendiri. Ini berfungsi sebagai otoritas penandatanganan utama untuk sertifikat entitas lain CAs dan akhir dalam hierarki.

    • Memilih Bawahan menciptakan CA yang harus ditandatangani oleh CA induk di atasnya dalam hierarki. Bawahan CAs biasanya digunakan untuk membuat bawahan lain CAs atau untuk mengeluarkan sertifikat entitas akhir kepada pengguna, komputer, dan aplikasi.

      catatan

      AWS Private CA menyediakan proses penandatanganan otomatis ketika CA induk CA bawahan Anda juga di-host oleh AWS Private CA. Yang Anda lakukan hanyalah memilih CA induk untuk digunakan.

      CA bawahan Anda mungkin perlu ditandatangani oleh penyedia layanan kepercayaan eksternal. Jika demikian, AWS Private CA memberi Anda permintaan penandatanganan sertifikat (CSR) yang harus Anda unduh dan gunakan untuk mendapatkan sertifikat CA yang ditandatangani. Untuk informasi selengkapnya, lihat Instal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal.

  4. Di bawah Opsi nama yang dibedakan Subjek, konfigurasikan nama subjek CA pribadi Anda. Anda harus memasukkan nilai untuk setidaknya satu dari opsi berikut:

    • Organisasi (O) — Misalnya, nama perusahaan

    • Unit Organisasi (OU) — Misalnya, divisi dalam perusahaan

    • Nama negara (C) — Kode negara dua huruf

    • Nama negara bagian atau provinsi — Nama lengkap negara bagian atau provinsi

    • Nama lokalitas — Nama kota

    • Common Name (CN) — String yang dapat dibaca manusia untuk mengidentifikasi CA.

    catatan

    Anda dapat lebih lanjut menyesuaikan nama subjek sertifikat dengan menerapkan APIPassthrough templat pada saat penerbitan. Untuk informasi lebih lanjut dan contoh terperinci, lihatMenerbitkan sertifikat dengan nama subjek kustom menggunakan APIPassthrough templat.

    Karena sertifikat dukungan ditandatangani sendiri, informasi subjek yang Anda berikan untuk CA pribadi mungkin lebih jarang daripada yang dikandung CA publik. Untuk informasi selengkapnya tentang masing-masing nilai yang membentuk nama subjek yang dibedakan, lihat RFC 5280.

  5. Di bawah opsi Algoritma kunci, pilih algoritma kunci dan ukuran bit kunci. Nilai default adalah algoritme RSA dengan panjang kunci 2048 bit. Anda dapat memilih dari algoritma berikut:

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. Di bawah opsi pencabutan sertifikat, Anda dapat memilih dari dua metode berbagi status pencabutan dengan klien yang menggunakan sertifikat Anda:

    • Aktifkan distribusi CRL

    • Nyalakan OCSP

    Anda dapat mengonfigurasi salah satu, keduanya, atau kedua opsi pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik terbaik. Sebelum menyelesaikan langkah ini, lihat Rencanakan metode pencabutan AWS Private CA sertifikat Anda informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.

    catatan

    Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat Perbarui CA pribadi di AWS Private Certificate Authority.

    Untuk mengonfigurasi opsi pencabutan Sertifikat, lakukan langkah-langkah berikut.

    1. Di bawah opsi pencabutan sertifikat, pilih Aktifkan distribusi CRL.

    2. Untuk membuat bucket Amazon S3 untuk entri CRL Anda, pilih Buat bucket S3 baru dan ketikkan nama bucket unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak, di bawah URI bucket S3, pilih bucket yang ada dari daftar.

      Saat Anda membuat bucket baru melalui konsol, AWS Private CA coba lampirkan kebijakan akses yang diperlukan ke bucket, dan nonaktifkan pengaturan Blokir Akses Publik (BPA) default S3 di dalamnya. Jika Anda menentukan bucket yang ada, Anda harus memastikan bahwa BPA dinonaktifkan untuk akun dan bucket. Jika tidak, operasi untuk membuat CA gagal. Jika CA berhasil dibuat, Anda harus tetap melampirkan kebijakan secara manual sebelum Anda dapat mulai membuat CRLs. Gunakan salah satu pola kebijakan yang dijelaskan dalam Kebijakan akses untuk CRLs di Amazon S3 . Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3.

      penting

      Upaya untuk membuat CA menggunakan AWS Private CA konsol gagal jika semua kondisi berikut berlaku:

      • Anda sedang menyiapkan CRL.

      • Anda meminta AWS Private CA untuk membuat bucket S3 secara otomatis.

      • Anda menegakkan pengaturan BPA di S3.

      Dalam situasi ini, konsol membuat ember, tetapi mencoba dan gagal membuatnya dapat diakses publik. Periksa pengaturan Amazon S3 Anda jika ini terjadi, nonaktifkan BPA sesuai kebutuhan, lalu ulangi prosedur untuk membuat CA. Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda.

    3. Perluas pengaturan CRL untuk opsi konfigurasi tambahan.

      • Pilih Aktifkan partisi untuk mengaktifkan partisi. CRLs Jika Anda tidak mengaktifkan partisi, CA Anda tunduk pada jumlah maksimum sertifikat yang dicabut. Untuk informasi lebih lanjut, lihat AWS Private Certificate Authority kuota. Untuk informasi selengkapnya tentang dipartisi CRLs, lihat tipe CRL.

      • Tambahkan Nama CRL Kustom untuk membuat alias untuk bucket Amazon S3. Nama ini ada dalam sertifikat yang diterbitkan oleh CA di ekstensi “CRL Distribution Points” yang ditentukan oleh RFC 5280.

      • Tambahkan jalur Kustom untuk membuat alias DNS untuk jalur file di bucket Amazon S3 Anda.

      • Ketik Validitas dalam beberapa hari CRL Anda akan tetap valid. Nilai default-nya adalah 7 hari. Untuk online CRLs, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba meregenerasi CRL pada titik tengah periode yang ditentukan.

    4. Perluas pengaturan S3 untuk konfigurasi opsional versi Bucket dan pencatatan akses Bucket.

  7. Untuk opsi pencabutan Sertifikat, pilih Aktifkan OCSP.

    1. Di bidang endpoint OCSP Kustom - opsional, Anda dapat memberikan nama domain yang memenuhi syarat (FQDN) untuk titik akhir OCSP non-Amazon.

      Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

      • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS

      • Tambahkan catatan CNAME yang sesuai ke database DNS Anda.

      Tip

      Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. Kustomisasi URL OCSP untuk AWS Private CA

      Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.

      Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

      alternatif.example.com

      		 CNAME Sederhana - proxy.example.com
      catatan

      Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.

  8. Di bawah Tambahkan tag, Anda dapat menandai CA Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter AWS Private CA tag dan petunjuk tentang cara menambahkan tag CAs setelah pembuatan, lihatTambahkan tag untuk CA pribadi Anda.

    catatan

    Untuk melampirkan tag ke CA pribadi selama prosedur pembuatan, administrator CA harus terlebih dahulu mengaitkan kebijakan IAM sebaris dengan CreateCertificateAuthority tindakan dan secara eksplisit mengizinkan penandaan. Untuk informasi selengkapnya, lihat Tag-on-create: Melampirkan tag ke CA pada saat pembuatan.

  9. Di bawah opsi izin CA, Anda dapat secara opsional mendelegasikan izin perpanjangan otomatis ke kepala layanan. AWS Certificate Manager ACM hanya dapat memperbarui sertifikat entitas akhir privat secara otomatis yang dibuat oleh CA ini, jika izin ini diberikan. Anda dapat menetapkan izin perpanjangan kapan saja dengan AWS Private CACreatePermissionAPI atau perintah CLI create-permission.

    Dafault-nya adalah untuk mengaktifkan izin ini.

    catatan

    AWS Certificate Manager tidak mendukung pembaruan otomatis sertifikat berumur pendek.

  10. Di bawah Harga, konfirmasikan bahwa Anda memahami harga untuk CA pribadi.

    catatan

    Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.

  11. Pilih Buat CA setelah Anda memeriksa semua informasi yang dimasukkan untuk akurasi. Halaman detail untuk CA terbuka dan menampilkan statusnya sebagai sertifikat Tertunda.

    catatan

    Saat berada di halaman detail, Anda dapat menyelesaikan konfigurasi CA Anda dengan memilih Tindakan, Instal sertifikat CA, atau Anda dapat kembali nanti ke daftar otoritas sertifikat pribadi dan menyelesaikan prosedur instalasi yang berlaku dalam kasus Anda:

CLI

Gunakan create-certificate-authorityperintah untuk membuat CA pribadi. Anda harus menentukan konfigurasi CA (berisi algoritme dan informasi nama subjek), konfigurasi pencabutan (jika Anda berencana menggunakan OCSP dan/atau CRL), dan jenis CA (root atau bawahan). Rincian konfigurasi konfigurasi dan pencabutan terkandung dalam dua file yang Anda berikan sebagai argumen ke perintah. Secara opsional, Anda juga dapat mengonfigurasi mode penggunaan CA (untuk menerbitkan sertifikat standar atau jangka pendek), melampirkan tag, dan menyediakan token idempotensi.

Jika mengkonfigurasi CRL, Anda harus membuat bucket Amazon S3 aman yang siap digunakan sebelum Anda menerbitkan perintah create-certificate-authority. Untuk informasi lebih lanjut, lihat Kebijakan akses untuk CRLs di Amazon S3 .

File konfigurasi CA menentukan informasi berikut:

  • Nama algoritme

  • Ukuran kunci yang akan digunakan untuk membuat kunci privat CA

  • Jenis algoritme penandatanganan yang CA gunakan untuk menandatangan

  • Informasi subjek X.500

Konfigurasi pencabutan untuk OCSP mendefinisikan OcspConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • (Opsional) CNAME kustom dideklarasikan sebagai nilai untukOcspCustomCname.

Konfigurasi pencabutan untuk CRL mendefinisikan CrlConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • Periode kedaluwarsa CRL dalam beberapa hari (masa berlaku CRL).

  • Bucket Amazon S3 yang akan berisi CRL.

  • (Opsional) ObjectAcl Nilai S3 yang menentukan apakah CRL dapat diakses publik. Dalam contoh yang disajikan di sini, akses publik diblokir. Untuk informasi selengkapnya, lihat Aktifkan Akses Publik Blok S3 (BPA) dengan CloudFront.

  • (Opsional) Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA. Jika CRL tidak dapat diakses publik, ini akan mengarah ke mekanisme distribusi seperti Amazon. CloudFront

  • (Opsional) CrlDistributionPointExtensionConfiguration Objek dengan informasi berikut:

    • OmitExtensionBendera diatur ke “true” atau “false”. Ini mengontrol apakah nilai default untuk ekstensi CDP akan ditulis ke sertifikat yang dikeluarkan oleh CA. Untuk informasi selengkapnya tentang ekstensi CDP, lihatMenentukan URI Titik Distribusi CRL (CDP) . A CustomCname tidak dapat OmitExtension diatur jika “benar”.

  • (Opsional) Jalur khusus untuk CRL di bucket S3.

  • (Opsional) CrlTypeNilai yang menentukan apakah CRL akan lengkap atau dipartisi. Jika tidak disediakan, CRL akan default untuk menyelesaikan.

catatan

Anda dapat mengaktifkan kedua mekanisme pencabutan pada CA yang sama dengan mendefinisikan OcspConfiguration objek dan objek. CrlConfiguration Jika Anda tidak memberikan --revocation-configuration parameter, kedua mekanisme dinonaktifkan secara default. Jika Anda memerlukan dukungan validasi pencabutan nanti, lihat. Memperbarui CA (CLI)

Lihat bagian berikut untuk contoh CLI.

Contoh CLI untuk membuat CA pribadi

Contoh berikut mengasumsikan bahwa Anda telah menyiapkan direktori .aws konfigurasi dengan Region, endpoint, dan kredensial default yang valid. Untuk informasi tentang mengonfigurasi AWS CLI lingkungan Anda, lihat Konfigurasi dan pengaturan file kredenal. Untuk keterbacaan, kami menyediakan konfigurasi CA dan input pencabutan sebagai file JSON dalam perintah contoh. Ubah file contoh sesuai kebutuhan untuk Anda gunakan.

Semua contoh menggunakan file ca_config.txt konfigurasi berikut kecuali dinyatakan lain.

Berkas: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Contoh 1: Buat CA dengan OCSP diaktifkan

Dalam contoh ini, file pencabutan mengaktifkan dukungan OCSP default, yang menggunakan AWS Private CA responden untuk memeriksa status sertifikat.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Jika berhasil, perintah ini akan menghasilkan Amazon Resource Name (ARN) dari CA baru.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan

Dalam contoh ini, file pencabutan memungkinkan dukungan OCSP yang disesuaikan. OcspCustomCnameParameter mengambil nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai nilainya.

Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

  • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS

  • Tambahkan catatan CNAME yang sesuai ke database DNS Anda.

Tip

Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. Kustomisasi URL OCSP untuk AWS Private CA

Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.

Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

alternatif.example.com

 CNAME Sederhana - proxy.example.com
catatan

Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Contoh 3: Buat CA dengan CRL terlampir

Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Contoh 4: Buat CA dengan CRL terlampir dan CNAME khusus diaktifkan

Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL yang menyertakan CNAME kustom.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Contoh 5: Buat CA dan tentukan mode penggunaan

Dalam contoh ini, mode penggunaan CA ditentukan saat membuat CA. Jika tidak ditentukan, parameter mode penggunaan default ke GENERAL_PURPOSE. Dalam contoh ini, parameter diatur ke SHORT_LIVED_CERTIFICATE, yang berarti bahwa CA akan mengeluarkan sertifikat dengan masa berlaku maksimum tujuh hari. Dalam situasi di mana tidak nyaman untuk mengonfigurasi pencabutan, sertifikat berumur pendek yang telah dikompromikan dengan cepat kedaluwarsa sebagai bagian dari operasi normal. Akibatnya, contoh CA ini tidak memiliki mekanisme pencabutan.

catatan

AWS Private CA tidak melakukan pemeriksaan validitas pada sertifikat CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Gunakan describe-certificate-authorityperintah di AWS CLI untuk menampilkan rincian tentang CA yang dihasilkan, seperti yang ditunjukkan pada perintah berikut:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Contoh 6: Buat CA untuk login Active Directory

Anda dapat membuat CA pribadi yang cocok untuk digunakan di NTAuth toko Enterprise Microsoft Active Directory (AD), di mana ia dapat mengeluarkan sertifikat card-logon atau domain-controller. Untuk informasi tentang mengimpor sertifikat CA ke AD, lihat Cara mengimpor sertifikat otoritas sertifikasi pihak ketiga (CA) ke dalam NTAuth toko Perusahaan.

Alat Microsoft certutil dapat digunakan untuk mempublikasikan sertifikat CA di AD dengan menjalankan opsi. -dspublish Sertifikat yang diterbitkan untuk AD dengan certutil dipercaya di seluruh hutan. Dengan menggunakan kebijakan grup, Anda juga dapat membatasi kepercayaan pada subset dari seluruh hutan, misalnya, satu domain atau sekelompok komputer dalam domain. Agar logon berfungsi, CA penerbit juga harus dipublikasikan di toko. NTAuth Untuk informasi selengkapnya, lihat Mendistribusikan Sertifikat ke Komputer Klien dengan Menggunakan Kebijakan Grup.

Contoh ini menggunakan file ca_config_AD.txt konfigurasi berikut.

Berkas: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Contoh 7: Buat CA Materi dengan CRL terlampir dan ekstensi CDP dihilangkan dari sertifikat yang diterbitkan

Anda dapat membuat CA pribadi yang cocok untuk menerbitkan sertifikat untuk standar rumah pintar Matter. Dalam contoh ini, konfigurasi CA dalam ca_config_PAA.txt mendefinisikan Matter Product Attestation Authority (PAA) dengan Vendor ID (VID) disetel ke. FFF1

Berkas: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

Konfigurasi pencabutan memungkinkan CRLs, dan mengonfigurasi CA untuk menghilangkan URL CDP default dari sertifikat yang dikeluarkan.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...