Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat CA pribadi di AWS Private CA
Anda dapat menggunakan prosedur di bagian ini untuk membuat root CAs atau bawahanCAs, menghasilkan hierarki hubungan kepercayaan yang dapat diaudit yang sesuai dengan kebutuhan organisasi Anda. Anda dapat membuat CA menggunakan Konsol Manajemen AWS, bagian PCA dari AWS CLI, atau AWS CloudFormation.
Untuk informasi tentang memperbarui konfigurasi CA yang telah Anda buat, lihat[Perbarui CA pribadi di AWS Private Certificate Authority](PCAUpdateCA.md).
Untuk informasi tentang cara menggunakan CA untuk menandatangani sertifikat entitas akhir untuk pengguna, perangkat, dan aplikasi, lihat [Menerbitkan sertifikat entitas akhir pribadi](PcaIssueCert.md).
**catatan**
Akun Anda akan dikenakan harga bulanan untuk setiap CA privat mulai sejak Anda membuatnya.
Untuk informasi AWS Private CA harga terbaru, lihat [AWS Private Certificate Authority Harga](https://aws.amazon.com/private-ca/pricing/). Anda juga dapat menggunakan [kalkulator AWS harga](https://calculator.aws/#/createCalculator/certificateManager) untuk memperkirakan biaya.
**Topics**
+ [Contoh CLI untuk membuat CA pribadi](#create-ca-cli-examples)
------
#### [ Console ]
**Untuk membuat CA privat menggunakan konsol**
1. Selesaikan langkah-langkah berikut untuk membuat CA pribadi menggunakan Konsol Manajemen AWS.
**Untuk mulai menggunakan konsol**
Masuk ke AWS akun Anda dan buka AWS Private CA konsol di**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**.
+ Jika Anda membuka konsol di Wilayah di mana Anda tidak memiliki pribadi CAs, halaman pengantar akan muncul. Pilih **Buat CA pribadi**.
+ Jika Anda membuka konsol di Wilayah tempat Anda telah membuat CA, halaman **otoritas sertifikat pribadi** terbuka dengan daftar Anda CAs. Pilih **Buat CA**.
1. Di bawah **Opsi mode**, pilih mode kedaluwarsa sertifikat yang diterbitkan CA Anda.
+ **Tujuan umum - Mengeluarkan** sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun. Ini adalah opsi default.
+ **Sertifikat berumur pendek** - Menerbitkan sertifikat dengan masa berlaku maksimum tujuh hari. Periode validitas yang singkat dapat menggantikan dalam beberapa kasus untuk mekanisme pencabutan.
1. Pada bagian **Opsi jenis** konsol, pilih jenis otoritas sertifikat pribadi yang ingin Anda buat.
+ Memilih **Root** menetapkan hierarki CA baru. CA ini didukung dengan sertifikat yang ditandatangani sendiri. Ini berfungsi sebagai otoritas penandatanganan utama untuk sertifikat entitas lain CAs dan akhir dalam hierarki.
+ Memilih **Bawahan** menciptakan CA yang harus ditandatangani oleh CA induk di atasnya dalam hierarki. Bawahan CAs biasanya digunakan untuk membuat bawahan lain CAs atau untuk mengeluarkan sertifikat entitas akhir kepada pengguna, komputer, dan aplikasi.
**catatan**
AWS Private CA menyediakan proses penandatanganan otomatis ketika CA induk CA bawahan Anda juga di-host oleh AWS Private CA. Yang Anda lakukan hanyalah memilih CA induk untuk digunakan.
CA bawahan Anda mungkin perlu ditandatangani oleh penyedia layanan kepercayaan eksternal. Jika demikian, AWS Private CA memberi Anda permintaan penandatanganan sertifikat (CSR) yang harus Anda unduh dan gunakan untuk mendapatkan sertifikat CA yang ditandatangani. Untuk informasi selengkapnya, lihat [Instal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal](PCACertInstall.md#InstallSubordinateExternal).
1. Di bawah **Opsi nama yang dibedakan Subjek**, konfigurasikan nama subjek CA pribadi Anda. Anda harus memasukkan nilai untuk setidaknya satu dari opsi berikut:
+ **Organisasi (O)** — Misalnya, nama perusahaan
+ **Unit Organisasi (OU)** — Misalnya, divisi dalam perusahaan
+ **Nama negara (C)** — Kode negara dua huruf
+ **Nama negara bagian atau provinsi** — Nama lengkap negara bagian atau provinsi
+ **Nama lokalitas** — Nama kota
+ **Common Name (CN)** — String yang dapat dibaca manusia untuk mengidentifikasi CA.
**catatan**
Anda dapat lebih lanjut menyesuaikan nama subjek sertifikat dengan menerapkan APIPassthrough templat pada saat penerbitan. Untuk informasi lebih lanjut dan contoh terperinci, lihat[Menerbitkan sertifikat dengan nama subjek kustom menggunakan APIPassthrough templat](PcaIssueCert.md#custom-subject-1).
Karena sertifikat dukungan ditandatangani sendiri, informasi subjek yang Anda berikan untuk CA pribadi mungkin lebih jarang daripada yang dikandung CA publik. Untuk informasi selengkapnya tentang masing-masing nilai yang membentuk nama subjek yang dibedakan, lihat [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4).
1. Di bawah **opsi Algoritma kunci**, pilih algoritma kunci dan kekuatan algoritma. Nilai defaultnya adalah RSA 2048. Anda dapat memilih dari algoritma berikut:
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. Di bawah **opsi pencabutan sertifikat**, Anda dapat memilih dari dua metode berbagi status pencabutan dengan klien yang menggunakan sertifikat Anda:
+ **Aktifkan distribusi CRL**
+ **Nyalakan OCSP**
Anda dapat mengonfigurasi salah satu, keduanya, atau kedua opsi pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik [terbaik](ca-best-practices.md). Sebelum menyelesaikan langkah ini, lihat [Rencanakan metode pencabutan AWS Private CA sertifikat Anda](revocation-setup.md) informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.
**catatan**
Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat [Perbarui CA pribadi di AWS Private Certificate Authority](PCAUpdateCA.md).
Untuk mengonfigurasi **opsi pencabutan Sertifikat**, lakukan langkah-langkah berikut.
1. Di bawah **opsi pencabutan sertifikat**, pilih **Aktifkan distribusi CRL**.
1. Di bawah **URI bucket S3**, pilih bucket yang ada dari daftar.
Saat menentukan bucket yang ada, Anda harus memastikan bahwa BPA dinonaktifkan untuk akun dan bucket. Jika tidak, operasi untuk membuat CA gagal. Jika CA berhasil dibuat, Anda harus tetap melampirkan kebijakan secara manual sebelum Anda dapat mulai membuat CRLs. Gunakan salah satu pola kebijakan yang dijelaskan dalam [Kebijakan akses untuk CRLs di Amazon S3](crl-planning.md#s3-policies). Untuk informasi selengkapnya, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
1. Perluas **pengaturan CRL** untuk opsi konfigurasi tambahan.
+ Pilih **Aktifkan partisi** untuk mengaktifkan partisi. CRLs Jika Anda tidak mengaktifkan partisi, CA Anda tunduk pada jumlah maksimum sertifikat yang dicabut. Untuk informasi lebih lanjut, lihat [AWS Private Certificate Authority kuota](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). Untuk informasi selengkapnya tentang dipartisi CRLs, lihat tipe [CRL](crl-planning.md#crl-type).
+ Tambahkan **Nama CRL Kustom** untuk membuat alias untuk bucket Amazon S3. Nama ini ada dalam sertifikat yang diterbitkan oleh CA di ekstensi “CRL Distribution Points” yang ditentukan oleh RFC 5280. [Untuk menggunakan CRLs over IPv6, setel ini ke titik akhir S3 dualstack bucket Anda seperti yang dijelaskan dalam Using over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Tambahkan **jalur Kustom** untuk membuat alias DNS untuk jalur file di bucket Amazon S3 Anda.
+ Ketik **Validitas dalam beberapa hari** CRL Anda akan tetap valid. Nilai default-nya adalah 7 hari. Untuk online CRLs, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba meregenerasi CRL pada titik tengah periode yang ditentukan.
1. Untuk **opsi pencabutan Sertifikat**, pilih **Aktifkan** OCSP.
1. Di bidang **endpoint OCSP Kustom *- opsional***, Anda dapat memberikan nama domain yang memenuhi syarat (FQDN) untuk titik akhir OCSP non-Amazon. [Untuk menggunakan OCSP di atas IPv6, atur bidang ini ke titik akhir dualstack seperti yang dijelaskan dalam Menggunakan OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi *Akses Informasi Otoritas* dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:
+ Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS
+ Tambahkan catatan CNAME yang sesuai ke database DNS Anda.
**Tip**
Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. [Kustomisasi URL OCSP untuk AWS Private CA](ocsp-customize.md)
Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/create-CA.html)
**catatan**
Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.
1. Di bawah **Tambahkan tag**, Anda dapat menandai CA Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter AWS Private CA tag dan petunjuk tentang cara menambahkan tag CAs setelah pembuatan, lihat[Tambahkan tag untuk CA pribadi Anda](PcaCaTagging.md).
**catatan**
Untuk melampirkan tag ke CA pribadi selama prosedur pembuatan, administrator CA harus terlebih dahulu mengaitkan kebijakan IAM sebaris dengan `CreateCertificateAuthority` tindakan dan secara eksplisit mengizinkan penandaan. Untuk informasi selengkapnya, lihat [Tag-on-create: Melampirkan tag ke CA pada saat pembuatan](auth-InlinePolicies.md#tag-on-create).
1. Di bawah **opsi izin CA**, Anda dapat secara opsional mendelegasikan izin perpanjangan otomatis ke kepala layanan. AWS Certificate Manager ACM hanya dapat memperbarui sertifikat entitas akhir privat secara otomatis yang dibuat oleh CA ini, jika izin ini diberikan. [Anda dapat menetapkan izin perpanjangan kapan saja dengan AWS Private CA[CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)API atau perintah CLI create-permission.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html)
Dafault-nya adalah untuk mengaktifkan izin ini.
**catatan**
AWS Certificate Manager tidak mendukung pembaruan otomatis sertifikat berumur pendek.
1. Di bawah **Harga**, konfirmasikan bahwa Anda memahami harga untuk CA pribadi.
**catatan**
Untuk informasi AWS Private CA harga terbaru, lihat [AWS Private Certificate Authority Harga](https://aws.amazon.com/private-ca/pricing/). Anda juga dapat menggunakan [kalkulator AWS harga](https://calculator.aws/#/createCalculator/certificateManager) untuk memperkirakan biaya.
1. Pilih **Buat CA** setelah Anda memeriksa semua informasi yang dimasukkan untuk akurasi. Halaman detail untuk CA terbuka dan menampilkan statusnya sebagai **sertifikat Tertunda**.
**catatan**
Saat berada di halaman detail, Anda dapat menyelesaikan konfigurasi CA Anda dengan memilih **Tindakan**, **Instal sertifikat CA**, atau Anda dapat kembali nanti ke daftar **otoritas sertifikat pribadi** dan menyelesaikan prosedur instalasi yang berlaku dalam kasus Anda:
[Instal sertifikat CA root](PCACertInstall.md#InstallRoot)
[Instal sertifikat CA bawahan yang dihosting oleh AWS Private CA](PCACertInstall.md#InstallSubordinateInternal)
[Instal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
Gunakan [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html)perintah untuk membuat CA pribadi. Anda harus menentukan konfigurasi CA (berisi algoritma dan informasi nama subjek), konfigurasi pencabutan (jika Anda berencana untuk menggunakan OCSP CRL), dan and/or jenis CA (root atau bawahan). Rincian konfigurasi konfigurasi dan pencabutan terkandung dalam dua file yang Anda berikan sebagai argumen ke perintah. Secara opsional, Anda juga dapat mengonfigurasi mode penggunaan CA (untuk menerbitkan sertifikat standar atau jangka pendek), melampirkan tag, dan menyediakan token idempotensi.
Jika mengkonfigurasi CRL, Anda harus membuat bucket Amazon S3 aman yang siap digunakan *sebelum* Anda menerbitkan perintah **create-certificate-authority**. Untuk informasi lebih lanjut, lihat [Kebijakan akses untuk CRLs di Amazon S3](crl-planning.md#s3-policies).
File konfigurasi CA menentukan informasi berikut:
+ Nama algoritme
+ Ukuran kunci yang akan digunakan untuk membuat kunci privat CA
+ Jenis algoritma penandatanganan yang digunakan CA untuk menandatangani Permintaan Penandatanganan Sertifikat sendiri, CRLs, dan tanggapan OCSP
+ Informasi subjek X.500
Konfigurasi pencabutan untuk OCSP mendefinisikan `OcspConfiguration` objek dengan informasi berikut:
+ `Enabled`Bendera diatur ke “true”.
+ (Opsional) CNAME kustom dideklarasikan sebagai nilai untuk`OcspCustomCname`.
Konfigurasi pencabutan untuk CRL mendefinisikan `CrlConfiguration` objek dengan informasi berikut:
+ `Enabled`Bendera diatur ke “true”.
+ Periode kedaluwarsa CRL dalam beberapa hari (masa berlaku CRL).
+ Bucket Amazon S3 yang akan berisi CRL.
+ (Opsional) ObjectAcl Nilai [S3](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) yang menentukan apakah CRL dapat diakses publik. Dalam contoh yang disajikan di sini, akses publik diblokir. Untuk informasi selengkapnya, lihat [Aktifkan S3 Block Public Access (BPA) dengan CloudFront](crl-planning.md#s3-bpa).
+ (Opsional) Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA. Jika CRL tidak dapat diakses publik, ini akan mengarah ke mekanisme distribusi seperti Amazon. CloudFront
+ (Opsional) `CrlDistributionPointExtensionConfiguration` Objek dengan informasi berikut:
+ `OmitExtension`Bendera disetel ke “true” atau “false”. Ini mengontrol apakah nilai default untuk ekstensi CDP akan ditulis ke sertifikat yang dikeluarkan oleh CA. Untuk informasi selengkapnya tentang ekstensi CDP, lihat[Menentukan URI Titik Distribusi CRL (CDP)](crl-planning.md#crl-url). A CustomCname tidak dapat OmitExtension diatur jika “benar”.
+ (Opsional) Jalur khusus untuk CRL di bucket S3.
+ (Opsional) [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType)Nilai yang menentukan apakah CRL akan lengkap atau dipartisi. Jika tidak disediakan, CRL akan default untuk menyelesaikan.
**catatan**
Anda dapat mengaktifkan kedua mekanisme pencabutan pada CA yang sama dengan mendefinisikan `OcspConfiguration` objek dan objek. `CrlConfiguration` Jika Anda tidak memberikan **--revocation-configuration** parameter, kedua mekanisme dinonaktifkan secara default. Jika Anda memerlukan dukungan validasi pencabutan nanti, lihat. [Memperbarui CA (CLI)](PCAUpdateCA.md#ca-update-cli)
Lihat bagian berikut untuk contoh CLI.
------
## Contoh CLI untuk membuat CA pribadi
Contoh berikut mengasumsikan bahwa Anda telah menyiapkan direktori `.aws` konfigurasi dengan Region, endpoint, dan kredensial default yang valid. Untuk informasi tentang mengonfigurasi AWS CLI lingkungan Anda, lihat [Konfigurasi dan pengaturan file kredenal](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html). Untuk keterbacaan, kami menyediakan konfigurasi CA dan input pencabutan sebagai file JSON dalam perintah contoh. Ubah file contoh sesuai kebutuhan untuk Anda gunakan.
Semua contoh menggunakan file `ca_config.txt` konfigurasi berikut kecuali dinyatakan lain.
**Berkas: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### Contoh 1: Buat CA dengan OCSP diaktifkan
Dalam contoh ini, file pencabutan mengaktifkan dukungan OCSP default, yang menggunakan AWS Private CA responden untuk memeriksa status sertifikat.
**File: revoke\$1config.txt untuk OCSP**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
Jika berhasil, perintah ini akan menghasilkan Amazon Resource Name (ARN) dari CA baru.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan
Dalam contoh ini, file pencabutan memungkinkan dukungan OCSP yang disesuaikan. `OcspCustomCname`Parameter mengambil nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai nilainya.
Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi *Akses Informasi Otoritas* dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:
+ Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS
+ Tambahkan catatan CNAME yang sesuai ke database DNS Anda.
**Tip**
Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. [Kustomisasi URL OCSP untuk AWS Private CA](ocsp-customize.md)
Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.
****
| Nama catatan | Tipe | Kebijakan perutean | Pembeda | Nilai/Rutekan lalu lintas ke |
| --- | --- | --- | --- | --- |
| alternatif.example.com | CNAME | Sederhana | - | proxy.example.com |
**catatan**
Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.
**File: revoke\$1config.txt untuk OCSP**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### Contoh 3: Buat CA dengan CRL terlampir
Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL.
**Berkas: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### Contoh 4: Buat CA dengan CRL terlampir dan CNAME khusus diaktifkan
Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL yang menyertakan CNAME kustom.
**Berkas: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### Contoh 5: Buat CA dan tentukan mode penggunaan
Dalam contoh ini, mode penggunaan CA ditentukan saat membuat CA. Jika tidak ditentukan, parameter mode penggunaan default ke GENERAL\$1PURPOSE. Dalam contoh ini, parameter diatur ke SHORT\$1LIVED\$1CERTIFICATE, yang berarti bahwa CA akan mengeluarkan sertifikat dengan masa berlaku maksimum tujuh hari. Dalam situasi di mana tidak nyaman untuk mengonfigurasi pencabutan, sertifikat berumur pendek yang telah dikompromikan dengan cepat kedaluwarsa sebagai bagian dari operasi normal. Akibatnya, contoh CA ini tidak memiliki mekanisme pencabutan.
**catatan**
AWS Private CA tidak melakukan pemeriksaan validitas pada sertifikat CA root.
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)perintah di AWS CLI untuk menampilkan rincian tentang CA yang dihasilkan, seperti yang ditunjukkan pada perintah berikut:
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### Contoh 6: Buat CA untuk login Active Directory
Anda dapat membuat CA pribadi yang cocok untuk digunakan di NTAuth toko Enterprise Microsoft Active Directory (AD), di mana ia dapat mengeluarkan sertifikat card-logon atau domain-controller. Untuk informasi tentang mengimpor sertifikat CA ke AD, lihat [Cara mengimpor sertifikat otoritas sertifikasi pihak ketiga (CA) ke dalam NTAuth toko Perusahaan](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store).
Alat Microsoft [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) dapat digunakan untuk mempublikasikan sertifikat CA di AD dengan menjalankan opsi. **-dspublish** Sertifikat yang diterbitkan untuk AD dengan certutil dipercaya di seluruh hutan. Dengan menggunakan kebijakan grup, Anda juga dapat membatasi kepercayaan pada subset dari seluruh hutan, misalnya, satu domain atau sekelompok komputer dalam domain. Agar logon berfungsi, CA penerbit juga harus dipublikasikan di toko. NTAuth Untuk informasi selengkapnya, lihat [Mendistribusikan Sertifikat ke Komputer Klien dengan Menggunakan Kebijakan Grup](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy).
Contoh ini menggunakan file `ca_config_AD.txt` konfigurasi berikut.
**Berkas: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### Contoh 7: Buat CA Materi dengan CRL terlampir dan ekstensi CDP dihilangkan dari sertifikat yang diterbitkan
Anda dapat membuat CA pribadi yang cocok untuk menerbitkan sertifikat untuk standar rumah pintar Matter. Dalam contoh ini, konfigurasi CA dalam `ca_config_PAA.txt` mendefinisikan Matter Product Attestation Authority (PAA) dengan Vendor ID (VID) disetel ke. FFF1
**Berkas: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
Konfigurasi pencabutan memungkinkan CRLs, dan mengonfigurasi CA untuk menghilangkan URL CDP default dari sertifikat yang dikeluarkan.
**Berkas: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**Perintah**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Deskripsi ini harus berisi bagian berikut.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```