Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Siapkan CRL untuk AWS Private CA
Sebelum Anda dapat mengonfigurasi daftar pencabutan sertifikat (CRL) sebagai bagian dari proses pembuatan CA, beberapa penyiapan sebelumnya mungkin diperlukan. Bagian ini menjelaskan prasyarat dan opsi yang harus Anda pahami sebelum membuat CA dengan terlampir. CRL
Untuk informasi tentang penggunaan Online Certificate Status Protocol (OCSP) sebagai alternatif atau suplemen untukCRL, lihat Certificate revocation options danSesuaikan OCSP URL untuk AWS Private CA.
Topik
CRLstruktur
Masing-masing CRL adalah file yang DER dikodekan. Untuk mengunduh file dan menggunakan Open SSL
openssl crl -inform DER -in
path-to-crl-file
-text -noout
CRLsmemiliki format berikut:
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
catatan
Hanya CRL akan disimpan di Amazon S3 setelah sertifikat dikeluarkan yang merujuk padanya. Sebelum itu, hanya akan ada file acm-pca-permission-test-key
yang terlihat di bucket Amazon S3.
Kebijakan akses untuk CRLs di Amazon S3
Jika Anda berencana untuk membuatCRL, Anda perlu menyiapkan ember Amazon S3 untuk menyimpannya. AWS Private CA secara otomatis CRL menyetor di ember Amazon S3 yang Anda tentukan dan perbarui secara berkala. Untuk informasi selengkapnya, lihat Membuat bucket.
Bucket S3 Anda harus diamankan dengan kebijakan IAM izin terlampir. Pengguna resmi dan kepala layanan memerlukan Put
izin AWS Private CA
untuk mengizinkan menempatkan objek di ember, dan Get
izin untuk mengambilnya. Selama prosedur konsol untuk membuat CA, Anda dapat memilih untuk mengizinkan AWS Private CA membuat bucket baru dan menerapkan kebijakan izin default.
catatan
Konfigurasi IAM kebijakan tergantung pada yang Wilayah AWS terlibat. Wilayah terbagi dalam dua kategori:
-
Default-enabled Regions — Wilayah yang diaktifkan secara default untuk semua. Akun AWS
-
Wilayah yang dinonaktifkan default — Wilayah yang dinonaktifkan secara default, tetapi dapat diaktifkan secara manual oleh pelanggan.
Untuk informasi selengkapnya dan daftar Wilayah yang dinonaktifkan default, lihat Mengelola. Wilayah AWS Untuk diskusi tentang prinsip layanan dalam konteks, lihat prinsip layanan di Wilayah IAM AWS keikutsertaan.
Saat Anda mengonfigurasi CRLs sebagai metode pencabutan sertifikat, AWS Private CA buat CRL dan terbitkan ke bucket S3. Bucket S3 memerlukan IAM kebijakan yang memungkinkan kepala AWS Private CA layanan untuk menulis ke bucket. Nama kepala layanan bervariasi sesuai dengan Wilayah yang digunakan, dan tidak semua kemungkinan didukung.
PCA | S3 | Pemimpin layanan |
---|---|---|
Keduanya di wilayah yang sama |
|
|
Diaktifkan |
Diaktifkan |
|
Dinonaktifkan | Diaktifkan |
|
Diaktifkan | Dinonaktifkan |
Tidak didukung |
Kebijakan default tidak berlaku SourceArn
pembatasan pada CA. Kami menyarankan Anda menerapkan kebijakan yang kurang permisif seperti berikut ini, yang membatasi akses ke AWS akun tertentu dan CA pribadi tertentu. Atau, Anda dapat menggunakan kunci kondisi aws: SourceOrg ID untuk membatasi akses ke organisasi tertentu di AWS Organizations. Untuk informasi selengkapnya tentang kebijakan bucket, lihat Kebijakan Bucket untuk Amazon Simple Storage Service.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "arn:aws:s3:::amzn-s3-demo-bucket1
" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"111122223333
", "aws:SourceArn":"arn:partition:acm-pca:region:111122223333
:certificate-authority/CA_ID
" } } } ] }
Jika Anda memilih untuk mengizinkan kebijakan default, Anda selalu dapat memodifikasinya nanti.
Aktifkan S3 Block Public Access (BPA) dengan CloudFront
Bucket Amazon S3 baru dikonfigurasi secara default dengan fitur Blokir Akses Publik (BPA) diaktifkan. Termasuk dalam praktik terbaik keamanan Amazon S3, BPA adalah seperangkat kontrol akses yang dapat digunakan pelanggan untuk menyempurnakan akses ke objek di bucket S3 mereka dan ke ember secara keseluruhan. Ketika BPA aktif dan dikonfigurasi dengan benar, hanya AWS pengguna yang berwenang dan diautentikasi yang memiliki akses ke ember dan isinya.
AWS merekomendasikan penggunaan BPA pada semua bucket S3 untuk menghindari paparan informasi sensitif ke musuh potensial. Namun, perencanaan tambahan diperlukan jika PKI klien Anda mengambil CRLs di internet publik (yaitu, saat tidak masuk ke AWS akun). Bagian ini menjelaskan cara mengonfigurasi PKI solusi pribadi menggunakan Amazon CloudFront, jaringan pengiriman konten (CDN), untuk melayani CRLs tanpa memerlukan akses klien yang diautentikasi ke bucket S3.
catatan
Menggunakan CloudFront menimbulkan biaya tambahan pada akun Anda AWS . Untuk informasi selengkapnya, lihat CloudFront Harga Amazon
Jika Anda memilih untuk menyimpan CRL di bucket S3 dengan BPA diaktifkan, dan Anda tidak menggunakannya CloudFront, Anda harus membuat CDN solusi lain untuk memastikan bahwa PKI klien Anda memiliki akses ke AndaCRL.
Siapkan CloudFront untuk BPA
Buat CloudFront distribusi yang akan memiliki akses ke bucket S3 pribadi Anda, dan dapat melayani CRLs klien yang tidak diautentikasi.
Untuk mengkonfigurasi CloudFront distribusi untuk CRL
-
Buat CloudFront distribusi baru menggunakan prosedur dalam Membuat Distribusi di Panduan CloudFront Pengembang Amazon.
Saat menyelesaikan prosedur, terapkan pengaturan berikut:
-
Di Nama Domain Asal, pilih bucket S3 Anda.
-
Pilih Ya untuk Batasi Akses Bucket.
-
Pilih Buat Identitas Baru untuk Identitas Akses Asal.
-
Pilih Ya, Perbarui Kebijakan Bucket di bawah Berikan Izin Baca pada Bucket.
catatan
Dalam prosedur ini, CloudFront ubah kebijakan bucket Anda agar dapat mengakses objek bucket. Pertimbangkan mengedit kebijakan ini untuk hanya mengizinkan akses ke objek di bawah folder
crl
.
-
-
Setelah distribusi diinisialisasi, cari nama domainnya di CloudFront konsol dan simpan untuk prosedur selanjutnya.
catatan
Jika bucket S3 Anda baru dibuat di Wilayah selain us-east-1, Anda mungkin mendapatkan kesalahan pengalihan sementara 307 saat HTTP mengakses aplikasi yang dipublikasikan. CloudFront Mungkin perlu beberapa jam agar alamat ember menyebar.
Siapkan CA Anda untuk BPA
Saat mengonfigurasi CA baru Anda, sertakan alias ke distribusi Anda CloudFront.
Untuk mengonfigurasi CA Anda dengan CNAME for CloudFront
-
Buat CA Anda menggunakan Buat CA pribadi di AWS Private CA.
Saat Anda melakukan prosedur, file pencabutan
revoke_config.txt
harus menyertakan baris berikut untuk menentukan CRL objek non-publik dan untuk memberikan titik akhir URL distribusi di: CloudFront"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL", "CustomCname":"
abcdef012345.cloudfront.net
"Setelah itu, ketika Anda mengeluarkan sertifikat dengan CA ini, sertifikat tersebut akan berisi blok seperti berikut:
X509v3 CRL Distribution Points: Full Name: URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
catatan
Jika Anda memiliki sertifikat lama yang dikeluarkan oleh CA ini, mereka tidak akan dapat mengaksesCRL.
Menentukan Titik CRL Distribusi (CDP) URI
Jika Anda menggunakan bucket S3 sebagai CDP untuk CA Anda, CDP URI bisa dalam salah satu format berikut.
http://
amzn-s3-demo-bucket
.s3.region-code
.amazonaws.com/crl/CA-ID
.crlhttp://s3.
region-code
.amazonaws.com/amzn-s3-demo-bucket
/crl/CA-ID
.crl
Jika Anda telah mengonfigurasi CA Anda dengan kustomCNAME, CDP URI akan menyertakanCNAME, misalnya, http://
alternative.example.com
/crl/CA-ID
.crl