Crea una CA privata in AWS Private CA - AWS Private Certificate Authority
CLIesempi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una CA privata in AWS Private CA

È possibile utilizzare le procedure illustrate in questa sezione per creare CAs una gerarchia di relazioni di fiducia verificabile che soddisfi le esigenze organizzative. CAs È possibile creare una CA utilizzando la AWS Management Console, la PCA parte di, o. AWS CLI AWS CloudFormation

Per informazioni sull'aggiornamento della configurazione di una CA già creata, vedereAggiorna una CA privata in AWS Private Certificate Authority.

Per informazioni sull'utilizzo di una CA per firmare certificati di entità finale per utenti, dispositivi e applicazioni, vedere. Emettere certificati privati per entità finali

Nota

Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei.

Per le informazioni più recenti CA privata AWS sui prezzi, consulta AWS Private Certificate Authority Prezzi. Puoi anche utilizzare il calcolatore dei AWS prezzi per stimare i costi.

Console
Per creare un'API privata tramite la console

  1. Completa i seguenti passaggi per creare una CA privata utilizzando. AWS Management Console

    Per iniziare a utilizzare la console

    Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzohttps://console.aws.amazon.com/acm-pca/home.

    • Se apri la console in una regione in cui non hai accesso privatoCAs, viene visualizzata la pagina introduttiva. Scegli Crea una CA privata.

    • Se apri la console in una regione in cui hai già creato una CA, si apre la pagina Autorità di certificazione private con un elenco delle tueCAs. Scegli Crea CA.

  2. In Opzioni modalità, scegli la modalità di scadenza dei certificati emessi dalla tua CA.

    • Scopo generico: emette certificati che possono essere configurati con qualsiasi data di scadenza. Questa è l'impostazione predefinita.

    • Certificato di breve durata: rilascia certificati con un periodo di validità massimo di sette giorni. Un breve periodo di validità può sostituire in alcuni casi un meccanismo di revoca.

  3. Nella sezione Opzioni di tipo della console, scegli il tipo di autorità di certificazione privata che desideri creare.

    • La scelta di Root stabilisce una nuova gerarchia CA. Questa CA è supportata da un certificato autofirmato. Funge da autorità di firma definitiva per altri certificati CAs e per quelli appartenenti all'entità finale della gerarchia.

    • Scegliendo Subordinate si crea una CA che deve essere firmata da una CA principale che si trova al di sopra di essa nella gerarchia. I certificati subordinati CAs vengono in genere utilizzati per creare altre entità subordinate CAs o per emettere certificati di entità finale a utenti, computer e applicazioni.

      Nota

      CA privata AWS fornisce un processo di firma automatico quando la CA principale della CA subordinata è ospitata anche da. CA privata AWS Tutto ciò che devi fare è scegliere la CA principale da utilizzare.

      Potrebbe essere necessario che la CA subordinata sia firmata da un fornitore di servizi fiduciari esterno. In tal caso, ti CA privata AWS fornisce una richiesta di firma del certificato (CSR) che devi scaricare e utilizzare per ottenere un certificato CA firmato. Per ulteriori informazioni, consulta Installa un certificato CA subordinato firmato da una CA principale esterna.

  4. In Subject Distinguished Name options, configura il nome del soggetto della tua CA privata. È necessario immettere un valore per almeno una delle seguenti opzioni:

    • Organizzazione (O): ad esempio, il nome di una società

    • Unità organizzativa (OU): ad esempio, una divisione all'interno di un'azienda

    • Nome del paese (C): un codice del paese di due lettere

    • Nome dello stato o della provincia: nome completo di uno stato o provincia

    • Nome della località: il nome di una città

    • Nome comune (CN): una stringa leggibile dall'uomo per identificare la CA.

    Nota

    È possibile personalizzare ulteriormente il nome dell'oggetto di un certificato applicando un APIPassthrough modello al momento dell'emissione. Per ulteriori informazioni e un esempio dettagliato, vedereEmetti un certificato con un nome oggetto personalizzato utilizzando un APIPassthrough modello.

    Poiché il certificato di supporto è autofirmato, le informazioni sull'oggetto fornite per una CA privata sono probabilmente più scarse di quelle che conterrebbe una CA pubblica. Per ulteriori informazioni su ciascuno dei valori che compongono il nome distinto di un soggetto, vedere 5280. RFC

  5. In Opzioni dell'algoritmo chiave, scegliete l'algoritmo chiave e la dimensione in bit della chiave. Il valore predefinito è un RSA algoritmo con una lunghezza di chiave di 2048 bit. È possibile scegliere tra i seguenti algoritmi:

    • RSA2048

    • RSA4096

    • ECDSAP 256

    • ECDSAP384

  6. In Opzioni di revoca dei certificati, puoi scegliere tra due metodi per condividere lo stato di revoca con i client che utilizzano i tuoi certificati:

    • Attiva la distribuzione CRL

    • Accendere OCSP

    Puoi configurare una, nessuna delle due o entrambe queste opzioni di revoca per la tua CA. Sebbene facoltativa, la revoca gestita è consigliata come best practice. Prima di completare questo passaggio, consulta AWS Private CA Pianifica il tuo metodo di revoca dei certificati le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.

    Nota

    Se si crea la CA senza configurare la revoca, è sempre possibile configurarla in un secondo momento. Per ulteriori informazioni, consulta Aggiorna una CA privata in AWS Private Certificate Authority.

    Per configurare le opzioni di revoca del certificato, procedi nel seguente modo.

    1. In Opzioni di revoca del certificato, scegli Attiva CRL distribuzione.

    2. Per creare un bucket Amazon S3 per i tuoi CRL dati, scegli Crea un nuovo bucket S3 e digita un nome di bucket univoco. (Non è necessario includere il percorso del bucket.) Altrimenti, in S3 bucket, scegli un bucket esistente dall'URIelenco.

      Quando crei un nuovo bucket tramite la console, CA privata AWS tenta di allegare la politica di accesso richiesta al bucket e di disabilitare l'impostazione predefinita di S3 Block Public Access () su di esso. BPA Se invece specifichi un bucket esistente, devi assicurarti che BPA sia disabilitato per l'account e per il bucket. In caso contrario, l'operazione di creazione della CA avrà esito negativo. Se la CA viene creata correttamente, è comunque necessario allegare manualmente una policy prima di iniziare la generazioneCRLs. Utilizza uno dei modelli di policy descritti inPolitiche di accesso per CRLs Amazon S3 . Per ulteriori informazioni, consulta Aggiungere una policy sui bucket utilizzando la console Amazon S3.

      Importante

      Un tentativo di creare una CA utilizzando la CA privata AWS console fallisce se si verificano tutte le seguenti condizioni:

      • Stai configurando unCRL.

      • Chiedi CA privata AWS di creare automaticamente un bucket S3.

      • Stai applicando le BPA impostazioni in S3.

      In questa situazione, la console crea un bucket, ma tenta e fallisce di renderlo accessibile al pubblico. Controlla le impostazioni di Amazon S3 se ciò si verifica, BPA disattivale se necessario, quindi ripeti la procedura per creare una CA. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

    3. Espandi CRLle impostazioni per ulteriori opzioni di configurazione.

      • Aggiungi un CRLnome personalizzato per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRLDistribution Points» definita da 5280. RFC

      • Digita la validità in giorni in cui CRL rimarrà valida. Il valore predefinito è 7 giorni. Per gli utenti onlineCRLs, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.

    4. Espandi le impostazioni S3 per la configurazione opzionale del controllo delle versioni di Bucket e della registrazione degli accessi a Bucket.

  7. Per le opzioni di revoca del certificato, scegli Attiva. OCSP

    1. Nel campo OCSPEndpoint personalizzato - opzionale, puoi fornire un nome di dominio completo (FQDN) per un endpoint non AmazonOCSP.

      Quando fornisci un FQDN in questo campo, CA privata AWS inserisce l'FQDNestensione Authority Information Access di ogni certificato emesso al posto del valore predefinito URL per il risponditore. AWS OCSP Quando un endpoint riceve un certificato contenente il codice personalizzatoFQDN, richiede a quell'indirizzo una risposta. OCSP Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

      • Utilizzate un server proxy per inoltrare al AWS OCSP risponditore il traffico che arriva FQDN secondo le vostre esigenze.

      • Aggiungi un CNAME record corrispondente al tuo DNS database.

      Suggerimento

      Per ulteriori informazioni sull'implementazione di una OCSP soluzione completa utilizzando una soluzione personalizzataCNAME, vederePersonalizza OCSP URL per AWS Private CA.

      Ad esempio, ecco un CNAME record personalizzato OCSP come apparirebbe in Amazon Route 53.

      Nome record Tipo Policy di routing Differenziatore Valore/instradamento traffico a

      alternative.example.com

      		 CNAME Semplice - proxy.example.com
      Nota

      Il valore di non CNAME deve includere un prefisso di protocollo come «http://» o «https://».

  8. In Aggiungi tag, puoi opzionalmente taggare la tua CA. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse AWS . Per un elenco dei parametri dei CA privata AWS tag e per istruzioni su come aggiungere tag CAs dopo la creazione, consultaAggiungi tag per la tua CA privata.

    Nota

    Per allegare tag a una CA privata durante la procedura di creazione, un amministratore della CA deve prima associare una IAM policy in linea all'CreateCertificateAuthorityazione e consentire esplicitamente l'aggiunta di tag. Per ulteriori informazioni, consulta Tag-on-create: Allegare tag a una CA al momento della creazione.

  9. Nelle opzioni di autorizzazione CA, è possibile delegare facoltativamente le autorizzazioni di rinnovo automatico al responsabile del servizio. AWS Certificate Manager ACMpuò rinnovare automaticamente i certificati privati di entità finale generati da questa CA solo se questa autorizzazione viene concessa. È possibile assegnare le autorizzazioni di rinnovo in qualsiasi momento con il comando o create-permission. CA privata AWSCreatePermissionAPICLI

    L'impostazione predefinita consiste nell'abilitare queste autorizzazioni.

    Nota

    AWS Certificate Manager non supporta il rinnovo automatico dei certificati di breve durata.

  10. Nella sezione Prezzi, conferma di aver compreso i prezzi di una CA privata.

    Nota

    Per le informazioni più recenti CA privata AWS sui prezzi, consulta la sezione AWS Private Certificate Authority Prezzi. Puoi anche utilizzare il calcolatore dei AWS prezzi per stimare i costi.

  11. Scegli Crea CA dopo aver verificato l'accuratezza di tutte le informazioni inserite. Si apre la pagina dei dettagli della CA e ne mostra lo stato come Certificato in sospeso.

    Nota

    Nella pagina dei dettagli, è possibile completare la configurazione della CA scegliendo Azioni, Installa certificato CA oppure tornare in un secondo momento all'elenco delle autorità di certificazione private e completare la procedura di installazione applicabile al caso specifico:

CLI

Utilizzare il create-certificate-authoritycomando per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o aCRL) e il tipo di CA (radice o subordinata). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.

Se stai configurando unCRL, devi disporre di un bucket Amazon S3 sicuro prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per CRLs Amazon S3 .

Il file di configurazione CA specifica le seguenti informazioni:

  • Il nome dell'algoritmo

  • La dimensione della chiave da utilizzare per creare la chiave privata CA

  • Il tipo di algoritmo di firma che la CA utilizza per firmare

  • Informazioni sull'oggetto X.500

La configurazione di revoca per OCSP definisce un OcspConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • (Facoltativo) Un'abitudine CNAME dichiarata come valore perOcspCustomCname.

La configurazione di revoca per a CRL definisce un CrlConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • Il periodo di CRL scadenza in giorni (il periodo di validità delCRL).

  • Il bucket Amazon S3 che conterrà il. CRL

  • (Facoltativo) Un ObjectAcl valore S3 che determina se CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilita S3 Block Public Access (BPA) con CloudFront.

  • (Facoltativo) Un CNAME alias per il bucket S3 incluso nei certificati emessi dalla CA. Se non CRL è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.

  • (Facoltativo) Un CrlDistributionPointExtensionConfiguration oggetto con le seguenti informazioni:

    • Il OmitExtension flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'CDPestensione verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'CDPestensione, vedereDeterminazione del punto di CRL distribuzione (CDP) URI . A CustomCname non può essere impostato se OmitExtension è «true».

Nota

È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration oggetto che un CrlConfiguration oggetto. Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)

Vedi la sezione seguente per CLI alcuni esempi.

CLIesempi per la creazione di una CA privata

Gli esempi seguenti presuppongono che la directory di .aws configurazione sia stata configurata con una regione, un endpoint e credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come JSON file nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.

Tutti gli esempi utilizzano il seguente file ca_config.txt di configurazione, salvo diversa indicazione.

File: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Esempio 1: creare una CA con OCSP abilitato

In questo esempio, il file di revoca abilita il OCSP supporto predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Esempio 2: creare una CA con OCSP e una personalizzata CNAME abilitata

In questo esempio, il file di revoca abilita il OCSP supporto personalizzato. Il OcspCustomCname parametro accetta come valore un nome di dominio completo (FQDN).

Quando si fornisce un FQDN in questo campo, lo CA privata AWS FQDN inserisce nell'estensione Authority Information Access di ogni certificato emesso al posto del valore predefinito URL per il AWS OCSP risponditore. Quando un endpoint riceve un certificato contenente il codice personalizzatoFQDN, richiede a quell'indirizzo una risposta. OCSP Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

  • Utilizzate un server proxy per inoltrare al AWS OCSP risponditore il traffico che arriva FQDN secondo le vostre esigenze.

  • Aggiungi un CNAME record corrispondente al tuo DNS database.

Suggerimento

Per ulteriori informazioni sull'implementazione di una OCSP soluzione completa utilizzando una soluzione personalizzataCNAME, vederePersonalizza OCSP URL per AWS Private CA.

Ad esempio, ecco un CNAME record personalizzato OCSP come apparirebbe in Amazon Route 53.

Nome record Tipo Policy di routing Differenziatore Valore/instradamento traffico a

alternative.example.com

 CNAME Semplice - proxy.example.com
Nota

Il valore di non CNAME deve includere un prefisso di protocollo come «http://» o «https://».

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Esempio 3: creare una CA con un allegato CRL

In questo esempio, la configurazione di revoca definisce CRL i parametri.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Esempio 4: creare una CA con un allegato CRL e uno personalizzato CNAME abilitati

In questo esempio, la configurazione di revoca definisce CRL parametri che includono una configurazione personalizzataCNAME.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Esempio 5: creare una CA e specificare la modalità di utilizzo

In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è impostato come valore predefinito su _. GENERAL PURPOSE In questo esempio, il parametro è impostato su SHORT _ LIVED _CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.

Nota

CA privata AWS non esegue controlli di validità sui certificati CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Esempio 6: creazione di una CA per l'accesso ad Active Directory

È possibile creare una CA privata adatta all'uso nell'NTAutharchivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, consulta Come importare certificati di autorità di certificazione (CA) di terze parti nell'Enterprise Store. NTAuth

Lo strumento Microsoft certutil può essere utilizzato per pubblicare certificati CA in AD richiamando l'opzione. -dspublish Un certificato pubblicato su AD con certutil è considerato affidabile in tutta la foresta. Utilizzando i criteri di gruppo, è inoltre possibile limitare l'attendibilità a un sottoinsieme dell'intera foresta, ad esempio un singolo dominio o un gruppo di computer in un dominio. Affinché l'accesso funzioni, è necessario che anche la CA emittente sia pubblicata nello store. NTAuth Per ulteriori informazioni, consulta Distribuire certificati ai computer client utilizzando criteri di gruppo.

Questo esempio utilizza il seguente file ca_config_AD.txt di configurazione.

File: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Esempio 7: creazione di una CA Matter con un'estensione allegata CRL e l'CDPestensione omessa dai certificati emessi

È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt definisce una Matter Product Attestation Authority (PAA) con l'ID del fornitore (VID) impostato su. FFF1

File: ca_config_ .txt PAA

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'impostazione predefinita da tutti i certificati emessi. CDP URL

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...