Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea una CA privata in AWS Private CA
È possibile utilizzare le procedure illustrate in questa sezione per creare CAs una gerarchia di relazioni di fiducia verificabile che soddisfi le esigenze organizzative. CAs È possibile creare una CA utilizzando la parte PCA di Console di gestione AWS, o. AWS CLI AWS CloudFormation
Per informazioni sull'aggiornamento della configurazione di una CA già creata, vedere[Aggiorna una CA privata in AWS Autorità di certificazione privata](PCAUpdateCA.md).
Per informazioni sull'utilizzo di una CA per firmare certificati di entità finale per utenti, dispositivi e applicazioni, vedere. [Emettere certificati privati per entità finali](PcaIssueCert.md)
**Nota**
Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei.
[Per le informazioni più recenti CA privata AWS sui prezzi, consulta AWS Autorità di certificazione privata Prezzi.](https://aws.amazon.com/private-ca/pricing/) Puoi anche utilizzare il [calcolatore dei AWS prezzi](https://calculator.aws/#/createCalculator/certificateManager) per stimare i costi.
**Topics**
+ [Esempi CLI per la creazione di una CA privata](#create-ca-cli-examples)
------
#### [ Console ]
**Per creare un'API privata tramite la console**
1. Completa i seguenti passaggi per creare una CA privata utilizzando. Console di gestione AWS
**Per iniziare a utilizzare la console**
Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzo**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**.
+ Se apri la console in una regione in cui non hai accesso privato CAs, viene visualizzata la pagina introduttiva. Scegli **Crea una CA privata**.
+ Se apri la console in una regione in cui hai già creato una CA, si apre la pagina **Autorità di certificazione private** con un elenco delle tue CAs. Scegli **Crea CA**.
1. In **Opzioni modalità**, scegli la modalità di scadenza dei certificati emessi dalla tua CA.
+ **Scopo generico**: emette certificati che possono essere configurati con qualsiasi data di scadenza. Questa è l’impostazione predefinita.
+ **Certificato di breve durata**: rilascia certificati con un periodo di validità massimo di sette giorni. Un breve periodo di validità può sostituire in alcuni casi un meccanismo di revoca.
1. Nella sezione **Opzioni di tipo** della console, scegli il tipo di autorità di certificazione privata che desideri creare.
+ La scelta di **Root** stabilisce una nuova gerarchia CA. Questa CA è supportata da un certificato autofirmato. Funge da autorità di firma definitiva per altri certificati CAs e per le entità finali della gerarchia.
+ Scegliendo **Subordinate** si crea una CA che deve essere firmata da una CA principale che si trova al di sopra di essa nella gerarchia. I certificati subordinati CAs vengono in genere utilizzati per creare altre entità subordinate CAs o per emettere certificati di entità finale a utenti, computer e applicazioni.
**Nota**
CA privata AWS fornisce un processo di firma automatico quando la CA principale della CA subordinata è ospitata anche da. CA privata AWS Tutto ciò che devi fare è scegliere la CA principale da utilizzare.
Potrebbe essere necessario che la CA subordinata sia firmata da un fornitore di servizi fiduciari esterno. In tal caso, CA privata AWS fornisce una richiesta di firma del certificato (CSR) da scaricare e utilizzare per ottenere un certificato CA firmato. Per ulteriori informazioni, consulta [Installa un certificato CA subordinato firmato da una CA principale esterna](PCACertInstall.md#InstallSubordinateExternal).
1. Nelle **opzioni Subject Distinguished Name**, configura il nome del soggetto della tua CA privata. È necessario immettere un valore per almeno una delle seguenti opzioni:
+ **Organizzazione (O)**: ad esempio, il nome di una società
+ **Unità organizzativa (OU)**: ad esempio, una divisione all'interno di un'azienda
+ **Nome del paese (C)**: un codice del paese di due lettere
+ Nome **dello stato o della provincia: nome** completo di uno stato o di una provincia
+ **Nome della località**: il nome di una città
+ **Nome comune (CN)**: una stringa leggibile dall'uomo per identificare la CA.
**Nota**
È possibile personalizzare ulteriormente il nome dell'oggetto di un certificato applicando un APIPassthrough modello al momento dell'emissione. Per ulteriori informazioni e un esempio dettagliato, vedere[Emetti un certificato con un nome oggetto personalizzato utilizzando un modello APIPassthrough](PcaIssueCert.md#custom-subject-1).
Poiché il certificato di supporto è autofirmato, le informazioni sull'oggetto fornite per una CA privata sono probabilmente più scarse di quelle che conterrebbe una CA pubblica. [Per ulteriori informazioni su ciascuno dei valori che compongono il nome distinto del soggetto, vedere RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4)
1. In **Opzioni dell'algoritmo chiave**, scegli l'algoritmo chiave e la forza dell'algoritmo. Il valore predefinito è RSA 2048. È possibile scegliere tra i seguenti algoritmi:
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. In **Opzioni di revoca dei certificati**, puoi scegliere tra due metodi per condividere lo stato di revoca con i client che utilizzano i tuoi certificati:
+ **Attiva la distribuzione CRL**
+ **Attiva OCSP**
È possibile configurare una, nessuna delle due o entrambe queste opzioni di revoca per la CA. Sebbene facoltativa, la revoca gestita è consigliata come [best](ca-best-practices.md) practice. Prima di completare questo passaggio, consulta [AWS Private CA Pianifica il tuo metodo di revoca dei certificati](revocation-setup.md) le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.
**Nota**
Se si crea la CA senza configurare la revoca, è sempre possibile configurarla in un secondo momento. Per ulteriori informazioni, consulta [Aggiorna una CA privata in AWS Autorità di certificazione privata](PCAUpdateCA.md).
Per configurare le **opzioni di revoca del certificato, procedi** nel seguente modo.
1. In **Opzioni di revoca del certificato**, scegli **Attiva la distribuzione CRL**.
1. In **URI del bucket S3**, scegli un bucket esistente dall'elenco.
Quando specifichi un bucket esistente, devi assicurarti che BPA sia disabilitato per l'account e per il bucket. In caso contrario, l'operazione di creazione della CA avrà esito negativo. Se la CA viene creata correttamente, è comunque necessario allegare manualmente una policy prima di iniziare la generazione CRLs. Utilizza uno dei modelli di policy descritti in[Politiche di accesso per CRLs Amazon S3](crl-planning.md#s3-policies). Per ulteriori informazioni, consulta [Aggiungere una policy sui bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
1. Espandi **le impostazioni CRL** per ulteriori opzioni di configurazione.
+ Scegliete **Abilita il partizionamento per abilitare il partizionamento** di. CRLs Se non abiliti il partizionamento, la tua CA è soggetta al numero massimo di certificati revocati. Per ulteriori informazioni, consulta la pagina relativa alle [quote di AWS Autorità di certificazione privata](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). [Per ulteriori informazioni sul CRLs partizionamento, vedere Tipi di CRL.](crl-planning.md#crl-type)
+ Aggiungi un **nome CRL personalizzato** per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRL Distribution Points» definita da RFC 5280. [Per riutilizzarlo IPv6, impostalo CRLs sull'endpoint S3 dualstack del tuo bucket come descritto in Using over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Aggiungi un **percorso personalizzato** per creare un alias DNS per il percorso del file nel tuo bucket Amazon S3.
+ Digita la **validità in giorni** il tuo CRL rimarrà valido. Il valore predefinito è 7 giorni. Per gli utenti online CRLs, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.
1. **Per le **opzioni di revoca del certificato**, scegli Attiva OCSP.**
1. Nel campo **Endpoint OCSP personalizzato *- opzionale***, puoi fornire un nome di dominio completo (FQDN) per un endpoint non Amazon OCSP. [Per utilizzare OCSP over IPv6, imposta questo campo su un endpoint dualstack come descritto in Uso di OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Quando fornisci un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione *Authority Information Access di ogni certificato emesso al posto* dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
+ Utilizza un server proxy per inoltrare il traffico che arriva al tuo FQDN personalizzato al risponditore AWS OCSP.
+ Aggiungi un record CNAME corrispondente al tuo database DNS.
**Suggerimento**
Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. [Personalizza l'URL OCSP per AWS Private CA](ocsp-customize.md)
Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/create-CA.html)
**Nota**
Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».
1. In **Aggiungi tag**, puoi opzionalmente taggare la tua CA. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse AWS . Per un elenco dei parametri dei CA privata AWS tag e per istruzioni su come aggiungere tag CAs dopo la creazione, consulta[Aggiungi tag per la tua CA privata](PcaCaTagging.md).
**Nota**
Per allegare tag a una CA privata durante la procedura di creazione, un amministratore CA deve prima associare una policy IAM in linea all'`CreateCertificateAuthority`azione e consentire esplicitamente l'etichettatura. Per ulteriori informazioni, consulta [Tag-on-create: Allegare tag a una CA al momento della creazione](auth-InlinePolicies.md#tag-on-create).
1. Nelle **opzioni di autorizzazione CA, puoi facoltativamente delegare le autorizzazioni** di rinnovo automatico al responsabile del servizio. AWS Certificate Manager ACM può rinnovare automaticamente i certificati privati di entità finale generati da questa CA solo se questa autorizzazione viene concessa. Puoi assegnare le autorizzazioni di rinnovo in qualsiasi momento con l' CA privata AWS [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)API o il comando CLI [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html).
L'impostazione predefinita consiste nell'abilitare queste autorizzazioni.
**Nota**
AWS Certificate Manager non supporta il rinnovo automatico dei certificati di breve durata.
1. Nella sezione **Prezzi**, conferma di aver compreso i prezzi di una CA privata.
**Nota**
Per le informazioni più recenti CA privata AWS sui prezzi, consulta la sezione [AWS Autorità di certificazione privata Prezzi](https://aws.amazon.com/private-ca/pricing/). Puoi anche utilizzare il [calcolatore dei AWS prezzi](https://calculator.aws/#/createCalculator/certificateManager) per stimare i costi.
1. Scegli **Crea CA** dopo aver verificato l'accuratezza di tutte le informazioni inserite. Si apre la pagina dei dettagli della CA e ne mostra lo stato come **Certificato in sospeso**.
**Nota**
Nella pagina dei dettagli, è possibile completare la configurazione della CA scegliendo **Azioni**, **Installa certificato CA** oppure tornare in un secondo momento all'elenco **delle autorità di certificazione private** e completare la procedura di installazione applicabile al caso specifico:
[Installa un certificato CA root](PCACertInstall.md#InstallRoot)
[Installa un certificato CA subordinato ospitato da CA privata AWS](PCACertInstall.md#InstallSubordinateInternal)
[Installa un certificato CA subordinato firmato da una CA principale esterna](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
Utilizza il comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome del soggetto), la configurazione di revoca (se si prevede di utilizzare OCSP, and/or un CRL) e il tipo di CA (root o subordinato). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.
*Se stai configurando un CRL, devi disporre di un bucket Amazon S3 protetto prima di emettere il comando.* **create-certificate-authority** Per ulteriori informazioni, consulta [Politiche di accesso per CRLs Amazon S3](crl-planning.md#s3-policies).
Il file di configurazione CA specifica le seguenti informazioni:
+ Il nome dell'algoritmo
+ La dimensione della chiave da utilizzare per creare la chiave privata CA
+ Il tipo di algoritmo di firma utilizzato dalla CA per firmare la propria richiesta di firma del certificato e CRLs le risposte OCSP
+ Informazioni sull'oggetto X.500
La configurazione di revoca per OCSP definisce un `OcspConfiguration` oggetto con le seguenti informazioni:
+ Il `Enabled` flag impostato su «true».
+ (Facoltativo) Un CNAME personalizzato dichiarato come valore per`OcspCustomCname`.
La configurazione di revoca per un CRL definisce un `CrlConfiguration` oggetto con le seguenti informazioni:
+ Il `Enabled` flag impostato su «true».
+ Il periodo di scadenza del CRL in giorni (periodo di validità del CRL).
+ Il bucket Amazon S3 che conterrà il CRL.
+ (Facoltativo) Un ObjectAcl valore [S3](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) che determina se il CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta [Abilita S3 Block Public Access (BPA) con CloudFront](crl-planning.md#s3-bpa).
+ (Facoltativo) Un alias CNAME per il bucket S3 incluso nei certificati emessi dalla CA. Se il CRL non è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.
+ (Facoltativo) Un `CrlDistributionPointExtensionConfiguration` oggetto con le seguenti informazioni:
+ Il `OmitExtension` flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'estensione CDP verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'estensione CDP, vedere. [Determinazione dell'URI del punto di distribuzione CRL (CDP)](crl-planning.md#crl-url) A CustomCname non può essere impostato se OmitExtension è «true».
+ (Facoltativo) Un percorso personalizzato per il CRL nel bucket S3.
+ (Facoltativo) Un [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType)valore che determina se il CRL sarà completo o partizionato. Se non viene fornito, il CRL verrà completato per impostazione predefinita.
**Nota**
È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un `OcspConfiguration` oggetto che un oggetto. `CrlConfiguration` Se non si fornisce alcun **--revocation-configuration** parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. [Aggiornamento di una CA (CLI)](PCAUpdateCA.md#ca-update-cli)
Vedi la sezione seguente per esempi di CLI.
------
## Esempi CLI per la creazione di una CA privata
Gli esempi seguenti presuppongono che la directory di `.aws` configurazione sia stata configurata con una regione, un endpoint e credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta [Configurazione e impostazioni dei file di credenziali](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html). Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come file JSON nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.
Tutti gli esempi utilizzano il seguente file `ca_config.txt` di configurazione, salvo diversa indicazione.
**File: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### Esempio 1: creare una CA con OCSP abilitato
In questo esempio, il file di revoca abilita il supporto OCSP predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.
**File: revoke\$1config.txt per OCSP**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato
In questo esempio, il file di revoca abilita il supporto OCSP personalizzato. Il `OcspCustomCname` parametro accetta come valore un nome di dominio completo (FQDN).
Quando si fornisce un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione *Authority Information Access* di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
+ Utilizza un server proxy per inoltrare il traffico che arriva al tuo FQDN personalizzato al risponditore AWS OCSP.
+ Aggiungi un record CNAME corrispondente al tuo database DNS.
**Suggerimento**
Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. [Personalizza l'URL OCSP per AWS Private CA](ocsp-customize.md)
Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.
****
| Nome record | Tipo | Policy di routing | Differenziatore | Valore/instradamento traffico a |
| --- | --- | --- | --- | --- |
| alternative.example.com | CNAME | Semplice | - | proxy.example.com |
**Nota**
Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».
**File: revoke\$1config.txt per OCSP**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### Esempio 3: creare una CA con un CRL allegato
In questo esempio, la configurazione di revoca definisce i parametri CRL.
**File: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### Esempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitato
In questo esempio, la configurazione di revoca definisce i parametri CRL che includono un CNAME personalizzato.
**File: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### Esempio 5: creare una CA e specificare la modalità di utilizzo
In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è predefinito su GENERAL\$1PURPOSE. In questo esempio, il parametro è impostato su SHORT\$1LIVED\$1CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.
**Nota**
CA privata AWS non esegue controlli di validità sui certificati CA root.
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
Utilizzare il [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)comando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### Esempio 6: creazione di una CA per l'accesso ad Active Directory
È possibile creare una CA privata adatta all'uso nell' NTAuth archivio Enterprise di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, vedi [Come importare certificati di autorità di certificazione (CA) di terze parti](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store) nell'Enterprise Store. NTAuth
Lo strumento Microsoft [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) può essere utilizzato per pubblicare certificati CA in AD richiamando l'opzione. **-dspublish** Un certificato pubblicato su AD con certutil è considerato affidabile in tutta la foresta. Utilizzando i criteri di gruppo, è inoltre possibile limitare l'attendibilità a un sottoinsieme dell'intera foresta, ad esempio un singolo dominio o un gruppo di computer in un dominio. Affinché l'accesso funzioni, è necessario che anche la CA emittente sia pubblicata nello store. NTAuth Per ulteriori informazioni, consulta [Distribuire certificati ai computer client utilizzando criteri di gruppo](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy).
Questo esempio utilizza il seguente file `ca_config_AD.txt` di configurazione.
**File: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### Esempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi
È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in `ca_config_PAA.txt` definisce una Matter Product Attestation Authority (PAA) con il Vendor ID (VID) impostato su. FFF1
**File: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
La configurazione di revoca abilita CRLs e configura la CA in modo da omettere l'URL CDP predefinito da tutti i certificati emessi.
**File: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Usa il seguente comando per controllare la configurazione della tua CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Questa descrizione deve contenere la sezione seguente.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```