Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 5

PDF
RSS
Modo de foco
Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 5 - AWS CloudHSM
Pré-requisitosCriar CA do Windows ServerAssine uma CSR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Em uma infraestrutura de chave pública (PKI), uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais. Esses certificados digitais vinculam uma chave pública a uma identidade (uma pessoa ou organização) por meio de criptografia de chave pública e assinaturas digitais. Para operar uma CA, é necessário manter a confiança, protegendo as chaves privadas que assinam os certificados emitidos pela CA. Armazene essas chaves privadas no HSM em seu cluster AWS CloudHSM e use-o para executar as operações de assinatura criptográfica.

Neste tutorial, você usa o Windows Server e AWS CloudHSM configura uma CA. Instale o software cliente do AWS CloudHSM para Windows no Windows Server e adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao configurar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster. O KSP é a ponte que conecta o servidor Windows ao AWS CloudHSM cluster. Na última etapa, você assina uma solicitação de assinatura de certificado (CSR) com a CA do Windows Server.

Para obter mais informações, consulte os tópicos a seguir.

Etapa 1: configurar os pré-requisitos

Para configurar o Windows Server como uma autoridade de certificação (CA) com AWS CloudHSM, você precisa do seguinte:

  • Um AWS CloudHSM cluster ativo com pelo menos um HSM.

  • Uma EC2 instância da Amazon executando um sistema operacional Windows Server com o software AWS CloudHSM cliente para Windows instalado. Este tutorial usa o Microsoft Windows Server 2016.

  • Um usuário de criptografia (CU) para possuir e gerenciar a chave privada da CA no HSM.

Para configurar os pré-requisitos para uma CA do Windows Server com AWS CloudHSM

  1. Siga as etapas em Conceitos básicos. Ao iniciar o EC2 cliente Amazon, escolha uma AMI do Windows Server. Este tutorial usa o Microsoft Windows Server 2016. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também tem uma instância EC2 cliente da Amazon executando o Windows Server com o software AWS CloudHSM cliente para Windows instalado.

  2. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Adicionar um HSM a um cluster AWS CloudHSM.

  3. Conecte-se à instância do cliente. Para obter mais informações, consulte Connect to Your Instance no Guia EC2 do usuário da Amazon.

  4. Crie um usuário criptográfico (UC) usando o gerenciamento de usuários do HSM com o CloudHSM CLI ou o gerenciamento de usuários do HSM com o CloudHSM Management Utility (CMU). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

  5. Defina as credenciais de login para o HSM, usando o nome de usuário e a senha do CU que você criou na etapa anterior.

  6. Na etapa 5, se você usou o Gerenciador de Credenciais do Windows para definir as credenciais psexec.exedo HSM, faça o download SysInternals para executar o seguinte comando como NT Authority\ SYSTEM:

    psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Substitua <USERNAME> e <PASSWORD> pelas credenciais do HSM.

Para criar uma CA do Windows Server com AWS CloudHSM, acesseCriar CA do Windows Server.

Etapa 2: Criar uma CA do Windows Server com AWS CloudHSM

Para criar um CA do Windows Server, adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao adicionar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster.

nota

Ao criar a CA do Windows Server, você pode optar por criar uma CA raiz ou uma CA subordinada. Você normalmente toma essa decisão com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

Para adicionar a função AD CS ao Windows Server e criar a chave privada da CA

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Connect to Your Instance no Guia EC2 do usuário da Amazon.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, escolha Add roles and features.

  4. Leia as informações de Before you begin e escolha Next.

  5. Em Installation Type (Tipo de instalação), escolha Role-based or feature-based installation (Instalação com base na função ou no recurso). Em seguida, escolha Next (Próximo).

  6. Em Server Selection, escolha Select a server from the server pool. Escolha Próximo.

  7. Em Server Roles, faça o seguinte:

    1. Selecione Active Directory Certificate Services.

    2. Em Add features that are required for Active Directory Certificate Services, escolha Add Features.

    3. Escolha Next para terminar de selecionar funções de servidor.

  8. Em Recursos, aceite os padrões e escolha Next.

  9. Em AD CS, faça o seguinte:

    1. Escolha Próximo.

    2. Selecione Certification Authority e escolha Next.

  10. Em Confirmation, leia as informações de confirmação e escolha Install. Não feche a janela.

  11. Escolha o link destacado Configurar Active Directory Certificate Services no servidor de destino.

  12. Em Credentials, verifique ou altere as credenciais exibidas. Escolha Próximo.

  13. Em Role Services, selecione Certification Authority. Escolha Próximo.

  14. Em Setup Type, selecione Standalone CA. Escolha Próximo.

  15. Em CA Type, selecione Root CA. Escolha Próximo.

    nota

    Você pode optar por criar uma CA raiz ou uma CA subordinada com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

  16. Em Private Key, selecione Create a new private key. Escolha Próximo.

  17. Em Cryptography, faça o seguinte:

    1. Em Selecionar um provedor criptográfico, escolha uma das opções do CloudHSM Key Storage Provider no menu. Esses são os provedores de armazenamento de chaves do AWS CloudHSM . Por exemplo, você pode escolher o RSA #CloudHSM Key Storage Provider.

    2. Em Key length, escolha uma das opções de tamanho de chave.

    3. Em Select the hash algorithm for signing certificates issued by this CA, escolha uma das opções de algoritmo hash.

    Escolha Próximo.

  18. Em CA Name, faça o seguinte:

    1. (Opcional) Edite o nome comum.

    2. (Opcional) Digite um sufixo de nome distinto.

    Escolha Próximo.

  19. Em Validity Period, especifique um período em anos, meses, semanas ou dias. Escolha Próximo.

  20. Em Certificate Database, aceite os valores padrão ou, se desejar, altere o local do banco de dados e do log do banco de dados. Escolha Próximo.

  21. Em Confirmation, analise as informações sobre a CA e escolha Configure.

  22. Escolha Close e, em seguida, escolha Close novamente.

Agora você tem uma CA do Windows Server com AWS CloudHSM. Para saber como assinar uma solicitação de assinatura de certificado (CSR) com a CA, vá para Assine uma CSR.

Etapa 3: Assine uma solicitação de assinatura de certificado (CSR) com sua CA do Windows Server com AWS CloudHSM

Você pode usar sua CA do Windows Server com AWS CloudHSM para assinar uma solicitação de assinatura de certificado (CSR). Para concluir estas etapas, você precisa de uma CSR válida. Você pode criar uma CSR de várias formas:

  • Usando o OpenSSL

  • Usando o Gerenciador do Serviços de Informações da Internet (IIS) do Windows Server

  • Usando o snap-in de certificados no Microsoft Management Console

  • Usando o utilitário de linha de comando certreq no Windows

As etapas de criação de uma CSR estão fora do escopo deste tutorial. Quando você tiver uma CSR, poderá assiná-lo com a CA do Windows Server.

Para assinar uma CSR com a CA do Windows Server

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Connect to Your Instance no Guia EC2 do usuário da Amazon.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, no canto superior direito, escolha Tools, Certification Authority.

  4. Na janela Autoridade de Certificação, escolha o nome do computador.

  5. No menu Action, escolha All Tasks, Submit new request.

  6. Selecione o arquivo CSR e escolha Open.

  7. Na janela Certification Authority, clique duas vezes em Pending Requests.

  8. Selecione a solicitação pendente. No menu Action, escolha All Tasks, Issue.

  9. Na janela Certification Authority, clique duas vezes em Issued Requests para visualizar o certificado assinado.

  10. (Opcional) Para exportar o certificado assinado para um arquivo, execute as seguintes etapas:

    1. Na janela Certification Authority, clique duas vezes no certificado.

    2. Escolha a guia Details e escolha Copy to File.

    3. Siga as instruções no Certificate Export Wizard.

Agora você tem uma CA do Windows Server com AWS CloudHSM, e um certificado válido assinado pela CA do Windows Server.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.