Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Installazione del certificato CA
Completare le procedure seguenti per creare e installare il certificato emesso da una CA privata. La CA sarà quindi pronta per l'uso.
CA privata AWS supporta tre scenari per l'installazione di un certificato CA:
+ Installazione di un certificato per una CA root ospitata da CA privata AWS
+ Installazione di un certificato emesso da una CA subordinata la cui autorità padre è ospitata da CA privata AWS
+ Installazione di un certificato emesso da una CA subordinata la cui autorità padre è ospitata esternamente
Nelle sezioni seguenti vengono descritte le procedure per ogni scenario. Le procedure della console iniziano nella pagina della console **Privata CAs**.
## Algoritmi di firma compatibili
Il supporto dell'algoritmo di firma per i certificati CA dipende dall'algoritmo di firma della CA principale e da. Regione AWS I seguenti vincoli si applicano sia alla console che alle operazioni. AWS CLI
+ Una CA principale con l'algoritmo a chiave RSA può emettere certificati con i seguenti algoritmi di firma:
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ In una versione precedente Regione AWS, una CA principale con l'algoritmo a chiave EDCSA può emettere certificati con i seguenti algoritmi di firma:
+ SHA256 ECDSA
+ SHA384 ECDSA
+ SHA512 ECDSA
L'eredità include Regioni AWS :
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/PCACertInstall.html)
+ In un caso non preesistente Regione AWS, all'EDCSA si applicano le seguenti regole:
+ Una CA principale con l'algoritmo di firma EC\$1Prime256v1 può emettere certificati con ECDSA P256.
+ Una CA principale con l'algoritmo di firma EC\$1SECP384R1 può emettere certificati con ECDSA P384.
+ In ogni caso, all'EDCSA si applicano le seguenti regole: Regione AWS
+ Una CA principale con l'algoritmo di firma EC\$1SECP521R1 può emettere certificati con ECDSA P521.
## Installa un certificato CA root
È possibile installare un certificato CA root da Console di gestione AWS o da AWS CLI.
**Per creare e installare un certificato per la CA (console) root privata**
1. (Facoltativo) Se non sei già nella pagina dei dettagli della CA, apri la CA privata AWS console a [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home). Nella pagina **Autorità di certificazione private**, scegli una CA root con lo stato **Certificato in sospeso** o **Attivo**.
1. Scegli **Azioni**, **Installa certificato CA** per aprire la pagina **Installa certificato CA root**.
1. In **Specificare i parametri del certificato CA principale**, specificare i seguenti parametri del certificato:
+ **Validità**: specifica la data e l'ora di scadenza del certificato CA. Il periodo di validità CA privata AWS predefinito per un certificato CA principale è di 10 anni.
+ **Algoritmo di firma**: specifica l'algoritmo di firma da utilizzare quando la CA principale emette nuovi certificati. Le opzioni disponibili variano a seconda del Regione AWS luogo in cui si crea la CA. Per ulteriori informazioni, vedere [Algoritmi di firma compatibili](#signing_algorithms)[Algoritmi crittografici supportati in AWS Autorità di certificazione privata](PcaWelcome.md#supported-algorithms), e **SigningAlgorithm**in [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html#API_CertificateAuthorityConfiguration_Contents).
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
Verifica la correttezza delle impostazioni, quindi scegli **Conferma e installa**. CA privata AWS esporta una CSR per la tua CA, genera un certificato utilizzando un [modello](UsingTemplates.md) di certificato CA principale e firma automaticamente il certificato. CA privata AWS quindi importa il certificato CA root autofirmato.
1. La pagina dei dettagli della CA mostra lo stato dell'installazione (riuscita o fallita) nella parte superiore. Se l'installazione ha avuto esito positivo, la CA root appena completata visualizza lo stato **Attivo** nel riquadro **Generale**.
**Per creare e installare un certificato per la vostra CA root privata (AWS CLI)**
1. Genera una richiesta di firma del certificato (CSR).
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text \
--region region > ca.csr
```
Il file risultante`ca.csr`, un file PEM codificato in formato base64, ha il seguente aspetto.
```
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
```
Puoi usare [OpenSSL](https://www.openssl.org/) per visualizzare e verificare il contenuto della CSR.
```
openssl req -text -noout -verify -in ca.csr
```
Ciò produce un output simile al seguente.
```
verify OK
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Basic Constraints: critical
CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
e9:75:4a:e4
```
1. Utilizzando la CSR del passaggio precedente come argomento per il `--csr` parametro, emettete il certificato principale.
**Nota**
Se utilizzate la AWS CLI versione 1.6.3 o successiva, utilizzate il prefisso `fileb://` quando specificate il file di input richiesto. Ciò garantisce che i dati codificati in Base64 vengano CA privata AWS analizzati correttamente.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=365,Type=DAYS
```
1. Recupera il certificato principale.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--output text > cert.pem
```
Il file risultante`cert.pem`, un file PEM codificato in formato base64, ha il seguente aspetto.
```
-----BEGIN CERTIFICATE-----
MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw
bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF
U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO
BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt
MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT
YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G
A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7
t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow
cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu
b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU
BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x
bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4
YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E
FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3
DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc
g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2
t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid
Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX
2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W
YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4
-----END CERTIFICATE-----
```
È possibile utilizzare [OpenSSL](https://www.openssl.org/) per visualizzare e verificare il contenuto del certificato.
```
openssl x509 -in cert.pem -text -noout
```
Ciò produce un output simile al seguente.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Validity
Not Before: Mar 8 15:46:27 2021 GMT
Not After : Mar 8 16:46:27 2022 GMT
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
d3:69:5c:38
```
1. Importa il certificato CA principale per installarlo sulla CA.
**Nota**
Se si utilizza la AWS CLI versione 1.6.3 o successiva, utilizzare il prefisso per specificare `fileb://` il file di input richiesto. Ciò garantisce che i dati codificati in Base64 vengano CA privata AWS analizzati correttamente.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--certificate file://cert.pem
```
Ispeziona il nuovo stato della CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output json
```
Lo stato ora appare come ATTIVO.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
## Installa un certificato CA subordinato ospitato da CA privata AWS
È possibile utilizzare il Console di gestione AWS per creare e installare un certificato per la CA subordinata CA privata AWS ospitata.
**Per creare e installare un certificato per la CA subordinata CA privata AWS ospitata**
1. (Facoltativo) Se non sei già nella pagina dei dettagli della CA, apri la CA privata AWS console a [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home). **Nella pagina **Autorità di certificazione private**, scegli una CA subordinata con lo stato **Certificato in sospeso o Attivo**.**
1. Scegli **Azioni**, **Installa certificato CA** per aprire la pagina **Installa certificato CA subordinato**.
1. Nella pagina **Installa certificato CA subordinato**, in **Seleziona il tipo di CA**, scegli **AWS Private CA**di installare un certificato gestito da. CA privata AWS
1. In **Seleziona CA principale**, scegli una CA dall'elenco delle **CA private principali**. L'elenco viene filtrato in modo da visualizzare quelli CAs che soddisfano i seguenti criteri:
+ Hai il permesso di usare la CA.
+ La CA non si firmerebbe da sola.
+ La CA è in stato`ACTIVE`.
+ La modalità CA è`GENERAL_PURPOSE`.
1. In **Specificare i parametri del certificato CA subordinato**, specificare i seguenti parametri del certificato:
+ **Validità**: specifica la data e l'ora di scadenza del certificato CA.
+ **Algoritmo di firma**: specifica l'algoritmo di firma da utilizzare quando la CA principale emette nuovi certificati. Le opzioni sono:
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ **Lunghezza del percorso**: il numero di livelli di fiducia che la CA subordinata può aggiungere quando firma nuovi certificati. Una lunghezza del percorso pari a zero (impostazione predefinita) significa che è possibile creare solo certificati di entità finale e non certificati CA. Una lunghezza del percorso pari a uno o più significa che la CA subordinata può emettere certificati per crearne altri CAs subordinati.
+ **ARN del modello**: visualizza l'ARN del modello di configurazione per questo certificato CA. Il modello cambia se si modifica la **lunghezza del percorso**specificata. Se si crea un certificato utilizzando il comando CLI [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) o l'[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)azione API, è necessario specificare l'ARN manualmente. Per informazioni sui modelli di certificato emessi da una CA disponibili, consulta [Utilizza modelli di certificato AWS Private CA](UsingTemplates.md).
1. **Controlla la correttezza delle impostazioni, quindi scegli Conferma e installa.** CA privata AWS esporta una CSR, genera un certificato utilizzando un [modello](UsingTemplates.md) di certificato CA subordinato e lo firma con la CA principale selezionata. CA privata AWS quindi importa il certificato CA subordinato firmato.
1. La pagina dei dettagli della CA mostra lo stato dell'installazione (riuscita o fallita) nella parte superiore. Se l'installazione ha avuto esito positivo, la CA subordinata appena completata visualizza lo stato **Attivo** nel riquadro **Generale**.
## Installa un certificato CA subordinato firmato da una CA principale esterna
Dopo aver creato una CA privata subordinata come descritto in[Crea una CA privata in AWS Private CA](create-CA.md), è possibile attivarla installando un certificato CA firmato da un'autorità di firma esterna. La firma del certificato CA subordinato con una CA esterna richiede innanzitutto la configurazione di un provider di servizi fiduciari esterno come autorità di firma o l'utilizzo di un provider di terze parti.
**Nota**
Le procedure per creare o ottenere un fornitore esterno di servizi fiduciari non rientrano nell'ambito di questa guida.
Dopo aver creato una CA subordinata e aver avuto accesso a un'autorità di firma esterna, completa le seguenti attività:
1. Ottieni una richiesta di firma del certificato (CSR) da. CA privata AWS
1. Invia la CSR all'autorità di firma esterna e ottieni un certificato CA firmato insieme a tutti i certificati della catena.
1. Importa il certificato CA e la catena in CA privata AWS per attivare la CA subordinata.
Per le procedure dettagliate, consulta [Utilizza certificati CA privati firmati esternamente](PcaExternalRoot.md).