Utilizza certificati CA privati firmati esternamente - AWS Private Certificate Authority

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza certificati CA privati firmati esternamente

Se la radice di fiducia della tua gerarchia CA privata deve essere una CA esterna CA privata AWS, puoi creare e firmare autonomamente la tua CA principale. In alternativa, è possibile ottenere un certificato emesso da una CA privato firmato da una CA privata esterna gestita dall'organizzazione. Qualunque sia la fonte, puoi utilizzare questa CA ottenuta esternamente per firmare un certificato CA privato subordinato che gestisca. CA privata AWS

Nota

Le procedure per creare o ottenere un fornitore esterno di servizi fiduciari non rientrano nell'ambito di questa guida.

L'utilizzo di una CA principale esterna CA privata AWS consente di applicare i vincoli relativi ai nomi CA come definito nella sezione Name Constraints del documento 5280. RFC I vincoli di nome consentono agli amministratori della CA di limitare i nomi dei soggetti nei certificati.

Se si prevede di firmare un certificato CA privato subordinato con una CA esterna, ci sono tre attività da completare prima di avere una CA funzionante in: CA privata AWS

  1. Genera una richiesta di firma del certificato (CSR).

  2. Invialo CSR all'autorità di firma esterna e restituiscilo con un certificato firmato e una catena di certificati.

  3. Installa un certificato firmato in CA privata AWS.

Le procedure seguenti descrivono come completare queste attività utilizzando AWS Management Console o AWS CLI.

Per ottenere e installare un certificato CA con firma esterna (console)

  1. (Facoltativo) Se non sei già nella pagina dei dettagli della CA, apri la CA privata AWS console a casahttps://console.aws.amazon.com/acm-pca/. Nella pagina Autorità di certificazione private, scegli una CA subordinata con lo stato Certificato in sospeso, Attivo, Disabilitato o Scaduto.

  2. Scegli Azioni, Installa certificato CA per aprire la pagina Installa certificato CA subordinato.

  3. Nella pagina Installa certificato CA subordinato, in Seleziona il tipo di CA, scegli CA privata esterna.

  4. In CSRPer questa CA, la console visualizza il testo codificato in Base64 diASCII. CSR È possibile copiare il testo utilizzando il pulsante Copia oppure scegliere Esporta in un file e CSR salvarlo localmente.

    Nota

    Il formato esatto del CSR testo deve essere preservato durante il copia e incolla.

  5. Se non è possibile eseguire immediatamente i passaggi offline per ottenere un certificato firmato dall'autorità di firma esterna, è possibile chiudere la pagina e tornare alla pagina dopo aver ottenuto un certificato firmato e una catena di certificati.

    Altrimenti, se sei pronto, esegui una delle seguenti operazioni:

    • Incolla il ASCII testo codificato in Base64 dell'ente di certificazione e della catena di certificati nelle rispettive caselle di testo.

    • Scegliete Carica per caricare l'ente del certificato e la catena di certificati dai file locali nelle rispettive caselle di testo.

  6. Scegli Conferma e installa.

Per ottenere e installare un certificato CA firmato esternamente () CLI

  1. Utilizzate il get-certificate-authority-csrcomando per recuperare la richiesta di firma del certificato (CSR) per la vostra CA privata. Se vuoi inviarlo CSR al tuo display, usa l'--output textopzione per eliminare i caratteri CR/LF dalla fine di ogni riga. Per inviarli CSR a un file, utilizzate l'opzione di reindirizzamento (>) seguita da un nome di file. 

    $ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text

    Dopo aver salvato un file CSR come file locale, potete esaminarlo utilizzando il seguente comando Apri SSL: 

    openssl req -in path_to_CSR_file -text -noout

    Il comando precedente genera un output simile al seguente. Si noti che l'estensione CA indica che si CSR tratta di un certificato CA. TRUE 

    Certificate Request:
Data:
Version: 0 (0x0)
Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
        Public-Key: (2048 bit)
        Modulus:
            00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
            1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
            7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
            c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
            ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
            46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
            f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
            38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
            b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
            a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
            a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
            b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
            1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
            8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
            14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
            3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
            68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
            f6:27
        Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
    X509v3 Basic Constraints:
        CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
 c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
 a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
 ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
 ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
 de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
 ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
 f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
 d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
 d1:83:66:40

  2. Invialo CSR all'autorità di firma esterna e ottieni i file contenenti il certificato firmato e la catena di certificati PEM con codifica Base64.

  3. Usa il import-certificate-authority-certificatecomando per importare il file di certificato CA privato e il file chain in. CA privata AWS

    $ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://C:\example_ca_cert.pem \
--certificate-chain file://C:\example_ca_cert_chain.pem