Crea una CA privata in AWS Private CA - AWS Private Certificate Authority
Esempi di CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una CA privata in AWS Private CA

È possibile utilizzare le procedure illustrate in questa sezione per creare CAs una gerarchia di relazioni di fiducia verificabile che soddisfi le esigenze organizzative. CAs È possibile creare una CA utilizzando la parte PCA di AWS Management Console, o. AWS CLI AWS CloudFormation

Per informazioni sull'aggiornamento della configurazione di una CA già creata, vedereAggiorna una CA privata in AWS Private Certificate Authority.

Per informazioni sull'utilizzo di una CA per firmare certificati di entità finale per utenti, dispositivi e applicazioni, vedere. Emettere certificati privati per entità finali

Nota

Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei.

Per le informazioni più recenti CA privata AWS sui prezzi, consulta AWS Private Certificate Authority Prezzi. Puoi anche utilizzare il calcolatore dei AWS prezzi per stimare i costi.

Console
Per creare un'API privata tramite la console

  1. Completa i seguenti passaggi per creare una CA privata utilizzando. AWS Management Console

    Per iniziare a utilizzare la console

    Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzohttps://console.aws.amazon.com/acm-pca/home.

    • Se apri la console in una regione in cui non hai accesso privato CAs, viene visualizzata la pagina introduttiva. Scegli Crea una CA privata.

    • Se apri la console in una regione in cui hai già creato una CA, si apre la pagina Autorità di certificazione private con un elenco delle tue CAs. Scegli Crea CA.

  2. In Opzioni modalità, scegli la modalità di scadenza dei certificati emessi dalla tua CA.

    • Scopo generico: emette certificati che possono essere configurati con qualsiasi data di scadenza. Questa è l'impostazione predefinita.

    • Certificato di breve durata: rilascia certificati con un periodo di validità massimo di sette giorni. Un breve periodo di validità può sostituire in alcuni casi un meccanismo di revoca.

  3. Nella sezione Opzioni di tipo della console, scegli il tipo di autorità di certificazione privata che desideri creare.

    • La scelta di Root stabilisce una nuova gerarchia CA. Questa CA è supportata da un certificato autofirmato. Funge da autorità di firma definitiva per gli altri CAs certificati appartenenti all'entità finale della gerarchia.

    • Scegliendo Subordinate si crea una CA che deve essere firmata da una CA principale che si trova al di sopra di essa nella gerarchia. I certificati subordinati CAs vengono in genere utilizzati per creare altre entità subordinate CAs o per emettere certificati di entità finale a utenti, computer e applicazioni.

      Nota

      CA privata AWS fornisce un processo di firma automatico quando la CA principale della CA subordinata è ospitata anche da. CA privata AWS Tutto ciò che devi fare è scegliere la CA principale da utilizzare.

      Potrebbe essere necessario che la CA subordinata sia firmata da un fornitore di servizi fiduciari esterno. In tal caso, CA privata AWS fornisce una richiesta di firma del certificato (CSR) da scaricare e utilizzare per ottenere un certificato CA firmato. Per ulteriori informazioni, consulta Installa un certificato CA subordinato firmato da una CA principale esterna.

  4. Nelle opzioni Subject Distinguished Name, configura il nome del soggetto della tua CA privata. È necessario immettere un valore per almeno una delle seguenti opzioni:

    • Organizzazione (O): ad esempio, il nome di una società

    • Unità organizzativa (OU): ad esempio, una divisione all'interno di un'azienda

    • Nome del paese (C): un codice del paese di due lettere

    • Nome dello stato o della provincia: nome completo di uno stato o di una provincia

    • Nome località: il nome di una città

    • Nome comune (CN): una stringa leggibile dall'uomo per identificare la CA.

    Nota

    È possibile personalizzare ulteriormente il nome dell'oggetto di un certificato applicando un APIPassthrough modello al momento dell'emissione. Per ulteriori informazioni e un esempio dettagliato, vedereEmetti un certificato con un nome oggetto personalizzato utilizzando un modello APIPassthrough .

    Poiché il certificato di supporto è autofirmato, le informazioni sull'oggetto fornite per una CA privata sono probabilmente più scarse di quelle che conterrebbe una CA pubblica. Per ulteriori informazioni su ciascuno dei valori che compongono il nome distinto del soggetto, vedere RFC 5280.

  5. In Opzioni dell'algoritmo chiave, scegli l'algoritmo chiave e la dimensione in bit della chiave. Il valore predefinito è un algoritmo RSA con una lunghezza di chiave di 2048 bit. Puoi scegliere tra i seguenti algoritmi:

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. In Opzioni di revoca dei certificati, puoi scegliere tra due metodi per condividere lo stato di revoca con i client che utilizzano i tuoi certificati:

    • Attiva la distribuzione CRL

    • Attiva OCSP

    È possibile configurare una, nessuna delle due o entrambe queste opzioni di revoca per la CA. Sebbene facoltativa, la revoca gestita è consigliata come best practice. Prima di completare questo passaggio, consulta AWS Private CA Pianifica il tuo metodo di revoca dei certificati le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.

    Nota

    Se si crea la CA senza configurare la revoca, è sempre possibile configurarla in un secondo momento. Per ulteriori informazioni, consulta Aggiorna una CA privata in AWS Private Certificate Authority.

    Per configurare le opzioni di revoca del certificato, procedi nel seguente modo.

    1. In Opzioni di revoca del certificato, scegli Attiva la distribuzione CRL.

    2. Per creare un bucket Amazon S3 per le voci del CRL, scegli Crea un nuovo bucket S3 e digita un nome di bucket univoco. (Non è necessario includere il percorso del bucket.) Altrimenti, in URI del bucket S3, scegli un bucket esistente dall'elenco.

      Quando crei un nuovo bucket tramite la console, CA privata AWS tenta di allegare al bucket la politica di accesso richiesta e di disabilitare l'impostazione BPA (Block Public Access) predefinita di S3 su di esso. Se invece specifichi un bucket esistente, devi assicurarti che BPA sia disabilitato per l'account e per il bucket. In caso contrario, l'operazione di creazione della CA avrà esito negativo. Se la CA viene creata correttamente, è comunque necessario allegare manualmente una policy prima di iniziare la generazione CRLs. Utilizza uno dei modelli di policy descritti inPolitiche di accesso per CRLs Amazon S3 . Per ulteriori informazioni, consulta Aggiungere una policy sui bucket utilizzando la console Amazon S3.

      Importante

      Un tentativo di creare una CA utilizzando la CA privata AWS console fallisce se si verificano tutte le seguenti condizioni:

      • Stai configurando un CRL.

      • Chiedi di CA privata AWS creare automaticamente un bucket S3.

      • Stai applicando le impostazioni BPA in S3.

      In questa situazione, la console crea un bucket, ma tenta e fallisce di renderlo accessibile al pubblico. Controlla le impostazioni di Amazon S3 se ciò si verifica, disabilita BPA secondo necessità, quindi ripeti la procedura per creare una CA. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

    3. Espandi le impostazioni CRL per ulteriori opzioni di configurazione.

      • Scegliete Abilita il partizionamento per abilitare il partizionamento di. CRLs Se non abiliti il partizionamento, la tua CA è soggetta al numero massimo di certificati revocati. Per ulteriori informazioni, consulta la pagina relativa alle quote di AWS Private Certificate Authority. Per ulteriori informazioni sul CRLs partizionamento, vedere Tipi di CRL.

      • Aggiungi un nome CRL personalizzato per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRL Distribution Points» definita da RFC 5280.

      • Aggiungi un percorso personalizzato per creare un alias DNS per il percorso del file nel tuo bucket Amazon S3.

      • Digita la validità in giorni il tuo CRL rimarrà valido. Il valore predefinito è 7 giorni. Per gli utenti online CRLs, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.

    4. Espandi le impostazioni S3 per la configurazione opzionale del controllo delle versioni di Bucket e della registrazione degli accessi a Bucket.

  7. Per le opzioni di revoca del certificato, scegli Attiva OCSP.

    1. Nel campo Endpoint OCSP personalizzato - opzionale, puoi fornire un nome di dominio completo (FQDN) per un endpoint non Amazon OCSP.

      Quando fornisci un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

      • Utilizza un server proxy per inoltrare il traffico che arriva al tuo FQDN personalizzato al risponditore AWS OCSP.

      • Aggiungi un record CNAME corrispondente al tuo database DNS.

      Suggerimento

      Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Personalizza l'URL OCSP per AWS Private CA

      Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.

      Nome record Tipo Policy di routing Differenziatore Valore/instradamento traffico a

      alternative.example.com

      		 CNAME Semplice - proxy.example.com
      Nota

      Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».

  8. In Aggiungi tag, puoi opzionalmente taggare la tua CA. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse AWS . Per un elenco dei parametri dei CA privata AWS tag e per istruzioni su come aggiungere tag CAs dopo la creazione, consultaAggiungi tag per la tua CA privata.

    Nota

    Per allegare tag a una CA privata durante la procedura di creazione, un amministratore CA deve prima associare una policy IAM in linea all'CreateCertificateAuthorityazione e consentire esplicitamente l'etichettatura. Per ulteriori informazioni, consulta Tag-on-create: Allegare tag a una CA al momento della creazione.

  9. Nelle opzioni di autorizzazione CA, puoi facoltativamente delegare le autorizzazioni di rinnovo automatico al responsabile del servizio. AWS Certificate Manager ACM può rinnovare automaticamente i certificati privati di entità finale generati da questa CA solo se questa autorizzazione viene concessa. Puoi assegnare le autorizzazioni di rinnovo in qualsiasi momento con l' CA privata AWS CreatePermissionAPI o il comando CLI create-permission.

    L'impostazione predefinita consiste nell'abilitare queste autorizzazioni.

    Nota

    AWS Certificate Manager non supporta il rinnovo automatico dei certificati di breve durata.

  10. Nella sezione Prezzi, conferma di aver compreso i prezzi di una CA privata.

    Nota

    Per le informazioni più recenti CA privata AWS sui prezzi, consulta la sezione AWS Private Certificate Authority Prezzi. Puoi anche utilizzare il calcolatore dei AWS prezzi per stimare i costi.

  11. Scegli Crea CA dopo aver verificato l'accuratezza di tutte le informazioni inserite. Si apre la pagina dei dettagli della CA e ne mostra lo stato come Certificato in sospeso.

    Nota

    Nella pagina dei dettagli, è possibile completare la configurazione della CA scegliendo Azioni, Installa certificato CA oppure tornare in un secondo momento all'elenco delle autorità di certificazione private e completare la procedura di installazione applicabile al caso specifico:

CLI

Utilizza il comando create-certificate-authority per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o un CRL) e il tipo di CA (root o subordinato). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.

Se stai configurando un CRL, devi disporre di un bucket Amazon S3 protetto prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per CRLs Amazon S3 .

Il file di configurazione CA specifica le seguenti informazioni:

  • Il nome dell'algoritmo

  • La dimensione della chiave da utilizzare per creare la chiave privata CA

  • Il tipo di algoritmo di firma che la CA utilizza per firmare

  • Informazioni sull'oggetto X.500

La configurazione di revoca per OCSP definisce un OcspConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • (Facoltativo) Un CNAME personalizzato dichiarato come valore perOcspCustomCname.

La configurazione di revoca per un CRL definisce un CrlConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • Il periodo di scadenza del CRL in giorni (periodo di validità del CRL).

  • Il bucket Amazon S3 che conterrà il CRL.

  • (Facoltativo) Un ObjectAcl valore S3 che determina se il CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilita S3 Block Public Access (BPA) con CloudFront.

  • (Facoltativo) Un alias CNAME per il bucket S3 incluso nei certificati emessi dalla CA. Se il CRL non è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.

  • (Facoltativo) Un CrlDistributionPointExtensionConfiguration oggetto con le seguenti informazioni:

    • Il OmitExtension flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'estensione CDP verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'estensione CDP, vedere. Determinazione dell'URI del punto di distribuzione CRL (CDP) A CustomCname non può essere impostato se OmitExtension è «true».

  • (Facoltativo) Un percorso personalizzato per il CRL nel bucket S3.

  • (Facoltativo) Un CrlTypevalore che determina se il CRL sarà completo o partizionato. Se non viene fornito, il CRL verrà completato per impostazione predefinita.

Nota

È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration oggetto che un oggetto. CrlConfiguration Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)

Vedi la sezione seguente per esempi di CLI.

Esempi CLI per la creazione di una CA privata

Gli esempi seguenti presuppongono che la directory di .aws configurazione sia stata configurata con una regione, un endpoint e credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come file JSON nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.

Tutti gli esempi utilizzano il seguente file ca_config.txt di configurazione, salvo diversa indicazione.

File: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Esempio 1: creare una CA con OCSP abilitato

In questo esempio, il file di revoca abilita il supporto OCSP predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato

In questo esempio, il file di revoca abilita il supporto OCSP personalizzato. Il OcspCustomCname parametro accetta come valore un nome di dominio completo (FQDN).

Quando si fornisce un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

  • Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.

  • Aggiungi un record CNAME corrispondente al tuo database DNS.

Suggerimento

Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Personalizza l'URL OCSP per AWS Private CA

Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.

Nome record Tipo Policy di routing Differenziatore Valore/instradamento traffico a

alternative.example.com

 CNAME Semplice - proxy.example.com
Nota

Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Esempio 3: creare una CA con un CRL allegato

In questo esempio, la configurazione di revoca definisce i parametri CRL.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Esempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitato

In questo esempio, la configurazione di revoca definisce i parametri CRL che includono un CNAME personalizzato.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Esempio 5: creare una CA e specificare la modalità di utilizzo

In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è predefinito su GENERAL_PURPOSE. In questo esempio, il parametro è impostato su SHORT_LIVED_CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.

Nota

CA privata AWS non esegue controlli di validità sui certificati CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Esempio 6: creazione di una CA per l'accesso ad Active Directory

È possibile creare una CA privata adatta all'uso nell' NTAuth archivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, consulta Come importare certificati di autorità di certificazione (CA) di terze parti nell'Enterprise Store. NTAuth

Lo strumento Microsoft certutil può essere utilizzato per pubblicare certificati CA in AD richiamando l'opzione. -dspublish Un certificato pubblicato su AD con certutil è considerato affidabile in tutta la foresta. Utilizzando i criteri di gruppo, è inoltre possibile limitare l'attendibilità a un sottoinsieme dell'intera foresta, ad esempio un singolo dominio o un gruppo di computer in un dominio. Affinché l'accesso funzioni, è necessario che anche la CA emittente sia pubblicata nello store. NTAuth Per ulteriori informazioni, consulta Distribuire certificati ai computer client utilizzando criteri di gruppo.

Questo esempio utilizza il seguente file ca_config_AD.txt di configurazione.

File: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Esempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi

È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt definisce una Matter Product Attestation Authority (PAA) con il Vendor ID (VID) impostato su. FFF1

File: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'URL CDP predefinito da tutti i certificati emessi.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...