Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Imposta un CRL per AWS Private CA

PDF
RSS
Modalità Focus
Imposta un CRL per AWS Private CA - AWS Private Certificate Authority
Tipi di CRLstruttura CRLPolitiche di accesso per CRLs Amazon S3 S3 BPA con CloudFrontDeterminazione dell'URI del punto di distribuzione CRL (CDP)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prima di poter configurare un elenco di revoca dei certificati (CRL) come parte del processo di creazione della CA, potrebbe essere necessaria una configurazione preliminare. Questa sezione spiega i prerequisiti e le opzioni da comprendere prima di creare una CA con un CRL allegato.

Per informazioni sull'utilizzo dell'Online Certificate Status Protocol (OCSP) come alternativa o supplemento a un CRL, vedere e. Certificate revocation options Personalizza l'URL OCSP per AWS Private CA

Tipi di CRL

  • Completo: l'impostazione predefinita. CA privata AWS mantiene un unico file CRL non partizionato per tutti i certificati non scaduti emessi da una CA che sono stati revocati. Ogni certificato CA privata AWS emesso è associato a un CRL specifico tramite la relativa estensione del punto di distribuzione CRL (CDP), come definito nella RFC 5280. È possibile avere fino a 1 milione di certificati privati per ogni CA con CRL completo abilitato. Per ulteriori informazioni, consulta le AWS Private CA quote.

  • Partizionato: rispetto a quello completoCRLs, il CRLs partizionamento aumenta notevolmente il numero di certificati che la CA privata può emettere e ti evita di dover cambiare spesso il tuo. CAs

    Importante

    Quando si utilizza partitioned CRLs, è necessario verificare che l'URI IDP (Issuing Distribution Point) associato al CRL corrisponda all'URI CDP del certificato per garantire che sia stato recuperato il CRL corretto. CA privata AWS contrassegna l'estensione IDP come fondamentale, che il client deve essere in grado di elaborare.

struttura CRL

Ogni CRL è un file con codifica DER. Per scaricare il file e utilizzare OpenSSL per visualizzarlo, usa un comando simile al seguente:

openssl crl -inform DER -in path-to-crl-file -text -noout

CRLs hanno il seguente formato:

Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
Nota

Il CRL verrà depositato in Amazon S3 solo dopo l'emissione di un certificato che lo riguarda. In precedenza, nel bucket Amazon S3 sarà visibile solo un acm-pca-permission-test-key file.

Politiche di accesso per CRLs Amazon S3

Se intendi creare un CRL, devi preparare un bucket Amazon S3 in cui archiviarlo. CA privata AWS deposita automaticamente il CRL nel bucket Amazon S3 designato e lo aggiorna periodicamente. Per ulteriori informazioni, consulta Creazione di un bucket.

Il tuo bucket S3 deve essere protetto da una politica di autorizzazioni IAM allegata. Gli utenti e i responsabili del servizio autorizzati richiedono Put l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. Get Durante la procedura della console per la creazione di una CA, puoi scegliere di consentire la CA privata AWS creazione di un nuovo bucket e applicare una politica di autorizzazioni predefinita.

Nota

La configurazione della policy IAM dipende dal soggetto coinvolto. Regioni AWS Le regioni si dividono in due categorie:

  • Regioni abilitate per impostazione predefinita: regioni abilitate per impostazione predefinita per tutti. Account AWS

  • Regioni disabilitate per impostazione predefinita: aree disattivate per impostazione predefinita, ma che possono essere abilitate manualmente dal cliente.

Per ulteriori informazioni e un elenco delle regioni disabilitate per impostazione predefinita, consulta Gestione. Regioni AWS Per una discussione sui principali servizi nel contesto di IAM, consulta AWS Service Principles in opt-in Regions.

Quando configuri CRLs come metodo di revoca del certificato, CA privata AWS crea un CRL e lo pubblica in un bucket S3. Il bucket S3 richiede una policy IAM che consenta al responsabile del CA privata AWS servizio di scrivere nel bucket. Il nome del service principal varia in base alle regioni utilizzate e non tutte le possibilità sono supportate.

PCA S3 Principale del servizio

Entrambi nella stessa regione

acm-pca.amazonaws.com

Abilitato

Abilitato

acm-pca.amazonaws.com
Disabilitato Abilitato

acm-pca.Region.amazonaws.com
Abilitato Disabilitato

Non supportato

La politica predefinita non applica alcuna SourceArn restrizione alla CA. Ti consigliamo di applicare una politica meno permissiva come la seguente, che limita l'accesso sia a un AWS account specifico che a una CA privata specifica. In alternativa, puoi utilizzare la chiave di condizione aws: SourceOrg ID per limitare l'accesso a un'organizzazione specifica in. AWS Organizations Per ulteriori informazioni sulle politiche dei bucket, consulta le politiche dei bucket per Amazon Simple Storage Service.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Se scegli di consentire la politica predefinita, puoi sempre modificarla in un secondo momento.

Abilita S3 Block Public Access (BPA) con CloudFront

I nuovi bucket Amazon S3 sono configurati per impostazione predefinita con la funzionalità Block Public Access (BPA) attivata. Incluso nelle best practice di sicurezza di Amazon S3, BPA è un set di controlli di accesso che i clienti possono utilizzare per ottimizzare l'accesso agli oggetti nei loro bucket S3 e ai bucket nel loro insieme. Quando il BPA è attivo e configurato correttamente, solo AWS gli utenti autorizzati e autenticati hanno accesso a un bucket e al suo contenuto.

AWS consiglia l'uso del BPA su tutti i bucket S3 per evitare l'esposizione di informazioni sensibili a potenziali avversari. Tuttavia, è necessaria una pianificazione aggiuntiva se i client PKI eseguono operazioni di ripristino CRLs tramite Internet pubblico (ovvero senza aver effettuato l'accesso a un account). AWS Questa sezione descrive come configurare una soluzione PKI privata utilizzando Amazon CloudFront, una rete di distribuzione dei contenuti (CDN), per servire CRLs senza richiedere l'accesso client autenticato a un bucket S3.

Nota

L'utilizzo CloudFront comporta costi aggiuntivi per il tuo account. AWS Per ulteriori informazioni, consulta la pagina CloudFront dei prezzi di Amazon.

Se scegli di archiviare il tuo CRL in un bucket S3 con BPA abilitato e non lo usi CloudFront, devi creare un'altra soluzione CDN per garantire che il tuo client PKI abbia accesso al tuo CRL.

Configurazione per BPA CloudFront

Crea una CloudFront distribuzione che abbia accesso al tuo bucket S3 privato e possa servire CRLs client non autenticati.

Per configurare una distribuzione per il CRL CloudFront

  1. Crea una nuova CloudFront distribuzione utilizzando la procedura descritta in Creazione di una distribuzione nell'Amazon CloudFront Developer Guide.

    Durante il completamento della procedura, applica le seguenti impostazioni:

    • In Origin Domain Name, scegli il tuo bucket S3.

    • Scegli per limitare l'accesso ai bucket.

    • Scegli Crea una nuova identità per Origin Access Identity.

    • Scegli Sì, aggiorna la politica del bucket in Concedi autorizzazioni di lettura su Bucket.

      Nota

      In questa procedura, CloudFront modifica la policy del bucket per consentirle di accedere agli oggetti bucket. Valuta la possibilità di modificare questa politica per consentire l'accesso solo agli oggetti all'interno della cartella. crl

  2. Dopo l'inizializzazione della distribuzione, individua il relativo nome di dominio nella CloudFront console e salvalo per la procedura successiva.

    Nota

    Se il tuo bucket S3 è stato appena creato in una regione diversa da us-east-1, potresti ricevere un errore di reindirizzamento temporaneo HTTP 307 quando accedi all'applicazione pubblicata tramite. CloudFront Potrebbero essere necessarie diverse ore prima che l'indirizzo del bucket si propaghi.

Configura la tua CA per BPA

Durante la configurazione della nuova CA, includi l'alias nella distribuzione. CloudFront

Per configurare la tua CA con un CNAME per CloudFront

  • Crea la tua CA utilizzandoCrea una CA privata in AWS Private CA.

    Quando si esegue la procedura, il file di revoca revoke_config.txt deve includere le seguenti righe per specificare un oggetto CRL non pubblico e fornire un URL all'endpoint di distribuzione in: CloudFront

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
	"CustomCname":"abcdef012345.cloudfront.net"

    In seguito, quando si emettono certificati con questa CA, questi conterranno un blocco come il seguente:

    X509v3 CRL Distribution Points: 
	Full Name:
	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
Nota

Se disponi di certificati precedenti emessi da questa CA, non saranno in grado di accedere al CRL.

Determinazione dell'URI del punto di distribuzione CRL (CDP)

Se è necessario utilizzare l'URI CRL Distribution Point (CDP) nel flusso di lavoro, è possibile emettere un certificato utilizzando l'URI CRL su quel certificato o utilizzare il metodo seguente. Funziona solo per intero. CRLs Ai CRLs partizionati viene aggiunto un GUID casuale.

Se utilizzi il bucket S3 come CDP (CRL Distribution Point) per la tua CA, l'URI CDP può avere uno dei seguenti formati.

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

Se hai configurato la tua CA con un CNAME personalizzato, l'URI CDP includerà il CNAME, ad esempio http://alternative.example.com/crl/CA-ID.crl

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.