Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea una CA privata in AWS Private CA
È possibile utilizzare le procedure illustrate in questa sezione per creare CAs una gerarchia di relazioni di fiducia verificabile che soddisfi le esigenze organizzative. CAs È possibile creare una CA utilizzando la parte PCA di AWS Management Console, o. AWS CLI AWS CloudFormation
Per informazioni sull'aggiornamento della configurazione di una CA già creata, vedereAggiorna una CA privata in AWS Private Certificate Authority.
Per informazioni sull'utilizzo di una CA per firmare certificati di entità finale per utenti, dispositivi e applicazioni, vedere. Emettere certificati privati per entità finali
Nota
Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei.
Per le informazioni più recenti CA privata AWS sui prezzi, consulta AWS Private Certificate Authority Prezzi.
Esempi CLI per la creazione di una CA privata
Gli esempi seguenti presuppongono che la directory di .aws
configurazione sia stata configurata con una regione, un endpoint e credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come file JSON nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.
Tutti gli esempi utilizzano il seguente file ca_config.txt
di configurazione, salvo diversa indicazione.
File: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Esempio 1: creare una CA con OCSP abilitato
In questo esempio, il file di revoca abilita il supporto OCSP predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato
In questo esempio, il file di revoca abilita il supporto OCSP personalizzato. Il OcspCustomCname
parametro accetta come valore un nome di dominio completo (FQDN).
Quando si fornisce un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
-
Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.
-
Aggiungi un record CNAME corrispondente al tuo database DNS.
Suggerimento
Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Personalizza l'URL OCSP per AWS Private CA
Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.
Nome record | Tipo | Policy di routing | Differenziatore | Valore/instradamento traffico a |
---|---|---|---|---|
alternative.example.com |
CNAME | Semplice | - | proxy.example.com |
Nota
Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Esempio 3: creare una CA con un CRL allegato
In questo esempio, la configurazione di revoca definisce i parametri CRL.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
Esempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitato
In questo esempio, la configurazione di revoca definisce i parametri CRL che includono un CNAME personalizzato.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
Esempio 5: creare una CA e specificare la modalità di utilizzo
In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è predefinito su GENERAL_PURPOSE. In questo esempio, il parametro è impostato su SHORT_LIVED_CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.
Nota
CA privata AWS non esegue controlli di validità sui certificati CA root.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Esempio 6: creazione di una CA per l'accesso ad Active Directory
È possibile creare una CA privata adatta all'uso nell' NTAuth archivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, consulta Come importare certificati di autorità di certificazione (CA) di terze parti
Lo strumento Microsoft certutil
Questo esempio utilizza il seguente file ca_config_AD.txt
di configurazione.
File: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Esempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi
È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt
definisce una Matter Product Attestation Authority (PAA) con il Vendor ID (VID) impostato su. FFF1
File: ca_config_PAA.txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'URL CDP predefinito da tutti i certificati emessi.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...