Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Procedura per creare una CA () CLI
Usa il create-certificate-authoritycomando per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o aCRL) e il tipo di CA (radice o subordinata). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.
Se stai configurando unCRL, devi disporre di un bucket Amazon S3 sicuro prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per CRLs Amazon S3 .
Il file di configurazione CA specifica le seguenti informazioni:
-
Il nome dell'algoritmo
-
La dimensione della chiave da utilizzare per creare la chiave privata CA
-
Il tipo di algoritmo di firma che la CA utilizza per firmare
-
Informazioni sull'oggetto X.500
La configurazione di revoca per OCSP definisce un OcspConfiguration
oggetto con le seguenti informazioni:
-
Il
Enabled
flag impostato su «true». -
(Facoltativo) Un'abitudine CNAME dichiarata come valore per
OcspCustomCname
.
La configurazione di revoca per a CRL definisce un CrlConfiguration
oggetto con le seguenti informazioni:
-
Il
Enabled
flag impostato su «true». -
Il periodo di CRL scadenza in giorni (il periodo di validità delCRL).
-
Il bucket Amazon S3 che conterrà il. CRL
-
(Facoltativo) Un ObjectAcl valore S3 che determina se CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilitazione di S3 Block Public Access (BPA) con CloudFront.
-
(Facoltativo) Un CNAME alias per il bucket S3 incluso nei certificati emessi dalla CA. Se non CRL è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.
-
(Facoltativo) Un
CrlDistributionPointExtensionConfiguration
oggetto con le seguenti informazioni:-
Il
OmitExtension
flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'CDPestensione verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'CDPestensione, vedereDeterminazione del punto di CRL distribuzione (CDP) URI . A CustomCname non può essere impostato se OmitExtension è «true».
-
Nota
È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration
oggetto che un CrlConfiguration
oggetto. Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)
Gli esempi seguenti presuppongono che la directory di .aws
configurazione sia stata configurata con una regione, un endpoint e delle credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come JSON file nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.
Tutti gli esempi utilizzano il seguente file ca_config.txt
di configurazione, salvo diversa indicazione.
File: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Esempio 1: creare una CA con OCSP abilitato
In questo esempio, il file di revoca abilita il OCSP supporto predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Esempio 2: creare una CA con OCSP e una personalizzata CNAME abilitata
In questo esempio, il file di revoca abilita il OCSP supporto personalizzato. Il OcspCustomCname
parametro accetta come valore un nome di dominio completo (FQDN).
Quando si fornisce un FQDN in questo campo, lo CA privata AWS FQDN inserisce nell'estensione Authority Information Access di ogni certificato emesso al posto del valore predefinito URL per il AWS OCSP risponditore. Quando un endpoint riceve un certificato contenente il codice personalizzatoFQDN, richiede all'indirizzo una risposta. OCSP Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
-
Utilizzate un server proxy per inoltrare al AWS OCSP risponditore il traffico che arriva FQDN secondo le vostre esigenze.
-
Aggiungi un CNAME record corrispondente al tuo DNS database.
Suggerimento
Per ulteriori informazioni sull'implementazione di una OCSP soluzione completa utilizzando una soluzione personalizzataCNAME, vedereConfigurazione di una versione personalizzata per URL CA privata AWS OCSP.
Ad esempio, ecco un CNAME record personalizzato OCSP così come apparirebbe in Amazon Route 53.
Nome record | Type | Policy di routing | Differenziatore | Valore/instradamento traffico a |
---|---|---|---|---|
alternative.example.com |
CNAME | Semplice | - | proxy.example.com |
Nota
Il valore di non CNAME deve includere un prefisso di protocollo come «http://» o «https://».
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Esempio 3: creare una CA con un allegato CRL
In questo esempio, la configurazione di revoca definisce CRL i parametri.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
Esempio 4: creare una CA con un allegato CRL e uno personalizzato CNAME abilitati
In questo esempio, la configurazione di revoca definisce CRL parametri che includono una configurazione personalizzataCNAME.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
Esempio 5: creare una CA e specificare la modalità di utilizzo
In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è impostato come valore predefinito su _. GENERAL PURPOSE In questo esempio, il parametro è impostato su SHORT _ LIVED _CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.
Nota
CA privata AWS non esegue controlli di validità sui certificati CA root.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Esempio 6: creazione di una CA per l'accesso ad Active Directory
È possibile creare una CA privata adatta all'uso nell'NTAutharchivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, vedi Come importare certificati di autorità di certificazione (CA) di terze parti
Lo strumento Microsoft certutil
Questo esempio utilizza il seguente file ca_config_AD.txt
di configurazione.
File: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Esempio 7: creazione di una CA Matter con un'estensione allegata CRL e l'CDPestensione omessa dai certificati emessi
È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt
definisce una Matter Product Attestation Authority (PAA) con l'ID del fornitore (VID) impostato su. FFF1
File: ca_config_ .txt PAA
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'impostazione predefinita da tutti i certificati emessi. CDP URL
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...