Procedura per creare una CA () CLI - AWS Private Certificate Authority
Esempio 1: creare una CA con OCSP abilitatoEsempio 2: creare una CA con OCSP e una personalizzata CNAME abilitataEsempio 3: creare una CA con un allegato CRLEsempio 4: creare una CA con un allegato CRL e uno personalizzato CNAME abilitatiEsempio 5: creare una CA e specificare la modalità di utilizzoEsempio 6: creazione di una CA per l'accesso ad Active DirectoryEsempio 7: creazione di una CA Matter con un'estensione allegata CRL e l'CDPestensione omessa dai certificati emessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedura per creare una CA () CLI

Usa il create-certificate-authoritycomando per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o aCRL) e il tipo di CA (radice o subordinata). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.

Se stai configurando unCRL, devi disporre di un bucket Amazon S3 sicuro prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per CRLs Amazon S3 .

Il file di configurazione CA specifica le seguenti informazioni:

  • Il nome dell'algoritmo

  • La dimensione della chiave da utilizzare per creare la chiave privata CA

  • Il tipo di algoritmo di firma che la CA utilizza per firmare

  • Informazioni sull'oggetto X.500

La configurazione di revoca per OCSP definisce un OcspConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • (Facoltativo) Un'abitudine CNAME dichiarata come valore perOcspCustomCname.

La configurazione di revoca per a CRL definisce un CrlConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • Il periodo di CRL scadenza in giorni (il periodo di validità delCRL).

  • Il bucket Amazon S3 che conterrà il. CRL

  • (Facoltativo) Un ObjectAcl valore S3 che determina se CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilitazione di S3 Block Public Access (BPA) con CloudFront.

  • (Facoltativo) Un CNAME alias per il bucket S3 incluso nei certificati emessi dalla CA. Se non CRL è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.

  • (Facoltativo) Un CrlDistributionPointExtensionConfiguration oggetto con le seguenti informazioni:

    • Il OmitExtension flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'CDPestensione verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'CDPestensione, vedereDeterminazione del punto di CRL distribuzione (CDP) URI . A CustomCname non può essere impostato se OmitExtension è «true».

Nota

È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration oggetto che un CrlConfiguration oggetto. Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)

Gli esempi seguenti presuppongono che la directory di .aws configurazione sia stata configurata con una regione, un endpoint e delle credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come JSON file nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.

Tutti gli esempi utilizzano il seguente file ca_config.txt di configurazione, salvo diversa indicazione.

File: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Esempio 1: creare una CA con OCSP abilitato

In questo esempio, il file di revoca abilita il OCSP supporto predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Esempio 2: creare una CA con OCSP e una personalizzata CNAME abilitata

In questo esempio, il file di revoca abilita il OCSP supporto personalizzato. Il OcspCustomCname parametro accetta come valore un nome di dominio completo (FQDN).

Quando si fornisce un FQDN in questo campo, lo CA privata AWS FQDN inserisce nell'estensione Authority Information Access di ogni certificato emesso al posto del valore predefinito URL per il AWS OCSP risponditore. Quando un endpoint riceve un certificato contenente il codice personalizzatoFQDN, richiede all'indirizzo una risposta. OCSP Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

  • Utilizzate un server proxy per inoltrare al AWS OCSP risponditore il traffico che arriva FQDN secondo le vostre esigenze.

  • Aggiungi un CNAME record corrispondente al tuo DNS database.

Suggerimento

Per ulteriori informazioni sull'implementazione di una OCSP soluzione completa utilizzando una soluzione personalizzataCNAME, vedereConfigurazione di una versione personalizzata per URL CA privata AWS OCSP.

Ad esempio, ecco un CNAME record personalizzato OCSP così come apparirebbe in Amazon Route 53.

Nome record Type Policy di routing Differenziatore Valore/instradamento traffico a

alternative.example.com

 CNAME Semplice - proxy.example.com
Nota

Il valore di non CNAME deve includere un prefisso di protocollo come «http://» o «https://».

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Esempio 3: creare una CA con un allegato CRL

In questo esempio, la configurazione di revoca definisce CRL i parametri.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Esempio 4: creare una CA con un allegato CRL e uno personalizzato CNAME abilitati

In questo esempio, la configurazione di revoca definisce CRL parametri che includono una configurazione personalizzataCNAME.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Esempio 5: creare una CA e specificare la modalità di utilizzo

In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è impostato come valore predefinito su _. GENERAL PURPOSE In questo esempio, il parametro è impostato su SHORT _ LIVED _CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.

Nota

CA privata AWS non esegue controlli di validità sui certificati CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Esempio 6: creazione di una CA per l'accesso ad Active Directory

È possibile creare una CA privata adatta all'uso nell'NTAutharchivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, vedi Come importare certificati di autorità di certificazione (CA) di terze parti nell'Enterprise Store. NTAuth

Lo strumento Microsoft certutil può essere utilizzato per pubblicare certificati CA in AD richiamando l'opzione. -dspublish Un certificato pubblicato su AD con certutil è considerato affidabile in tutta la foresta. Utilizzando i criteri di gruppo, è inoltre possibile limitare l'attendibilità a un sottoinsieme dell'intera foresta, ad esempio un singolo dominio o un gruppo di computer in un dominio. Affinché l'accesso funzioni, è necessario che anche la CA emittente sia pubblicata nello store. NTAuth Per ulteriori informazioni, consulta Distribuire certificati ai computer client utilizzando criteri di gruppo.

Questo esempio utilizza il seguente file ca_config_AD.txt di configurazione.

File: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Esempio 7: creazione di una CA Matter con un'estensione allegata CRL e l'CDPestensione omessa dai certificati emessi

È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt definisce una Matter Product Attestation Authority (PAA) con l'ID del fornitore (VID) impostato su. FFF1

File: ca_config_ .txt PAA

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'impostazione predefinita da tutti i certificati emessi. CDP URL

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...