Imposta un per CRL AWS Private CA - AWS Private Certificate Authority
CRLstrutturaPolitiche di accesso per CRLs Amazon S3 S3 con BPA CloudFrontDeterminazione del punto di CRL distribuzione (CDP) URI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta un per CRL AWS Private CA

Prima di poter configurare un elenco di revoca dei certificati (CRL) come parte del processo di creazione della CA, potrebbe essere necessaria una configurazione preventiva. Questa sezione spiega i prerequisiti e le opzioni da comprendere prima di creare una CA con un CRL allegato.

Per informazioni sull'utilizzo di Online Certificate Status Protocol (OCSP) come alternativa o supplemento aCRL, vedere Certificate revocation options ePersonalizza OCSP URL per AWS Private CA.

CRLstruttura

Ciascuno CRL è un file DER codificato. Per scaricare il file e utilizzare Apri SSL per visualizzarlo, utilizzate un comando simile al seguente:

openssl crl -inform DER -in path-to-crl-file -text -noout

CRLshanno il seguente formato:

Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
Nota

CRLVerrà depositato in Amazon S3 solo dopo l'emissione di un certificato che si riferisce ad esso. In precedenza, nel bucket Amazon S3 sarà visibile solo un acm-pca-permission-test-key file.

Politiche di accesso per CRLs Amazon S3

Se intendi creare un bucket Amazon S3CRL, devi preparare un bucket Amazon S3 in cui archiviarlo. CA privata AWS li deposita automaticamente CRL nel bucket Amazon S3 designato e lo aggiorna periodicamente. Per ulteriori informazioni, consulta Creazione di un bucket.

Il tuo bucket S3 deve essere protetto da una politica di autorizzazioni allegata. IAM Gli utenti e i responsabili del servizio autorizzati richiedono Put l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. Get Durante la procedura della console per la creazione di una CA, puoi scegliere di consentire la CA privata AWS creazione di un nuovo bucket e applicare una politica di autorizzazioni predefinita.

Nota

La configurazione IAM della politica dipende dal soggetto coinvolto. Regioni AWS Le regioni si dividono in due categorie:

  • Regioni abilitate per impostazione predefinita: regioni abilitate per impostazione predefinita per tutti. Account AWS

  • Regioni disabilitate per impostazione predefinita: aree disattivate per impostazione predefinita, ma che possono essere abilitate manualmente dal cliente.

Per ulteriori informazioni e un elenco delle regioni disabilitate per impostazione predefinita, consulta Gestione. Regioni AWS Per una discussione sui principali servizi nel contesto diIAM, vedi AWS Service Principles in opt-in Regions.

Quando configuri CRLs come metodo di revoca del certificato, CA privata AWS crea un file CRL e lo pubblica in un bucket S3. Il bucket S3 richiede una IAM policy che consenta al responsabile del CA privata AWS servizio di scrivere nel bucket. Il nome del service principal varia in base alle regioni utilizzate e non tutte le possibilità sono supportate.

PCA S3 Principale del servizio

Entrambi nella stessa regione

acm-pca.amazonaws.com

Abilitato

Abilitato

acm-pca.amazonaws.com
Disabilitato Abilitato

acm-pca.Region.amazonaws.com
Abilitato Disabilitato

Non supportato

La politica predefinita non applica alcuna SourceArn restrizione alla CA. Ti consigliamo di applicare una politica meno permissiva come la seguente, che limita l'accesso sia a un AWS account specifico che a una CA privata specifica. In alternativa, puoi utilizzare la chiave di condizione aws: SourceOrg ID per limitare l'accesso a un'organizzazione specifica in. AWS Organizations Per ulteriori informazioni sulle politiche dei bucket, consulta le politiche dei bucket per Amazon Simple Storage Service.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Se scegli di consentire la politica predefinita, puoi sempre modificarla in un secondo momento.

Abilita S3 Block Public Access (BPA) con CloudFront

I nuovi bucket Amazon S3 sono configurati per impostazione predefinita con la funzionalità Block Public Access (BPA) attivata. Nelle best practice di sicurezza di Amazon S3 BPA è incluso un set di controlli di accesso che i clienti possono utilizzare per ottimizzare l'accesso agli oggetti nei loro bucket S3 e ai bucket nel loro insieme. Se BPA è attivo e configurato correttamente, solo AWS gli utenti autorizzati e autenticati hanno accesso a un bucket e al suo contenuto.

AWS consiglia l'uso di BPA su tutti i bucket S3 per evitare l'esposizione di informazioni sensibili a potenziali avversari. Tuttavia, è necessaria una pianificazione aggiuntiva se i PKI clienti accedono alla CRLs rete Internet pubblica (vale a dire se non hanno effettuato l'accesso a un account). AWS Questa sezione descrive come configurare una PKI soluzione privata utilizzando Amazon CloudFront, una rete per la distribuzione di contenuti (CDN), da servire CRLs senza richiedere l'accesso client autenticato a un bucket S3.

Nota

L'utilizzo CloudFront comporta costi aggiuntivi per il tuo account. AWS Per ulteriori informazioni, consulta la pagina CloudFront dei prezzi di Amazon.

Se scegli di archiviare il tuo CRL dispositivo in un bucket S3 con BPA opzione abilitata e non lo usi CloudFront, devi creare un'altra CDN soluzione per garantire che il PKI cliente abbia accesso al tuo. CRL

Configura per CloudFront BPA

Crea una CloudFront distribuzione che abbia accesso al tuo bucket S3 privato e possa servire client non CRLs autenticati.

Per configurare una distribuzione per CloudFront CRL

  1. Crea una nuova CloudFront distribuzione utilizzando la procedura descritta in Creazione di una distribuzione nell'Amazon CloudFront Developer Guide.

    Durante il completamento della procedura, applica le seguenti impostazioni:

    • In Origin Domain Name, scegli il tuo bucket S3.

    • Scegli per limitare l'accesso ai bucket.

    • Scegli Crea una nuova identità per Origin Access Identity.

    • Scegli Sì, aggiorna la politica del bucket in Concedi autorizzazioni di lettura su Bucket.

      Nota

      In questa procedura, CloudFront modifica la policy del bucket per consentirle di accedere agli oggetti bucket. Valuta la possibilità di modificare questa politica per consentire l'accesso solo agli oggetti all'interno della cartella. crl

  2. Dopo l'inizializzazione della distribuzione, individua il relativo nome di dominio nella CloudFront console e salvalo per la procedura successiva.

    Nota

    Se il tuo bucket S3 è stato appena creato in una regione diversa da us-east-1, potresti ricevere un errore di reindirizzamento temporaneo HTTP 307 quando accedi all'applicazione pubblicata tramite. CloudFront Potrebbero essere necessarie diverse ore prima che l'indirizzo del bucket si propaghi.

Configura la tua CA per BPA

Durante la configurazione della nuova CA, includi l'alias nella CloudFront distribuzione.

Per configurare la tua CA con un CNAME CloudFront

  • Crea la tua CA utilizzandoCrea una CA privata in AWS Private CA.

    Quando si esegue la procedura, il file di revoca revoke_config.txt deve includere le seguenti righe per specificare un CRL oggetto non pubblico e fornire un messaggio all'endpoint URL di distribuzione in: CloudFront

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
	"CustomCname":"abcdef012345.cloudfront.net"

    In seguito, quando si emettono certificati con questa CA, questi conterranno un blocco simile al seguente:

    X509v3 CRL Distribution Points: 
	Full Name:
	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
Nota

Se disponi di certificati precedenti emessi da questa CA, non saranno in grado di accedere a. CRL

Determinazione del punto di CRL distribuzione (CDP) URI

Se utilizzi il bucket S3 come CA, CDP URI può essere in uno dei seguenti formati. CDP

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

Se hai configurato la tua CA con uno personalizzatoCNAME, CDP URI includerà, ad esempioCNAME, http://alternative.example.com/crl/CA-ID.crl