As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie uma CA privada em AWS Private CA
Você pode usar os procedimentos desta seção para criar uma raiz CAs ou uma subordinadaCAs, resultando em uma hierarquia auditável de relações de confiança que corresponda às suas necessidades organizacionais. Você pode criar uma CA usando o AWS Management Console, a PCA parte do AWS CLI, ou AWS CloudFormation.
Para obter informações sobre como atualizar a configuração de uma CA que você já criou, consulte Atualizar uma CA privada em AWS Private Certificate Authority.
Para obter informações sobre como usar uma CA para assinar certificados de entidade final para seus usuários, dispositivos e aplicações, consulte Emitir certificados de entidade final privada.
nota
Um preço mensal é cobrado em sua conta por cada CA privada começando no momento em que ela é criada.
Para obter as informações mais recentes sobre CA privada da AWS preços, consulte AWS Private Certificate Authority Preços
CLIexemplos para criar uma CA privada
Os exemplos a seguir pressupõem que você tenha configurado seu diretório de configuração .aws
com uma região, um endpoint e credenciais padrão válidos. Para obter informações sobre como configurar seu AWS CLI ambiente, consulte Configuração e configurações do arquivo de credenciais. Para facilitar a leitura, fornecemos a entrada de configuração e revogação da CA como JSON arquivos nos comandos de exemplo. Modifique os arquivos de exemplo conforme necessário para seu uso.
Todos os exemplos usam o arquivo de configuração ca_config.txt
a seguir, salvo indicação em contrário.
Arquivo: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Exemplo 1: Crie uma CA com OCSP habilitado
Neste exemplo, o arquivo de revogação ativa o OCSP suporte padrão, que usa o CA privada da AWS respondente para verificar o status do certificado.
Arquivo: revoke_config.txt para OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da nova CA.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Exemplo 2: Crie uma CA com OCSP e uma personalizada CNAME ativada
Neste exemplo, o arquivo de revogação permite suporte personalizadoOCSP. O OcspCustomCname
parâmetro usa um nome de domínio totalmente qualificado (FQDN) como seu valor.
Quando você fornece um FQDN neste campo, CA privada da AWS insere o FQDN na extensão de Acesso às Informações da Autoridade de cada certificado emitido no lugar do padrão URL para o AWS OCSP respondente. Quando um endpoint recebe um certificado contendo o personalizadoFQDN, ele consulta esse endereço para obter uma OCSP resposta. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
-
Use um servidor proxy para encaminhar o tráfego que chega ao seu destino FQDN para o AWS OCSP respondente.
-
Adicione um CNAME registro correspondente ao seu DNS banco de dados.
dica
Para obter mais informações sobre a implementação de uma OCSP solução completa usando uma solução personalizadaCNAME, consultePersonalize OCSP URL para AWS Private CA.
Por exemplo, aqui está um CNAME registro personalizado, OCSP como ele apareceria no Amazon Route 53.
Nome de registro | Tipo | Política de roteamento | Diferenciador | Valor/Encaminhar tráfego para |
---|---|---|---|---|
alternative.example.com |
CNAME | Simples | - | proxy.example.com |
nota
O valor do não CNAME deve incluir um prefixo de protocolo como “http://” ou “https://”.
Arquivo: revoke_config.txt para OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Exemplo 3: Criar uma CA com um anexo CRL
Neste exemplo, a configuração de revogação define CRL parâmetros.
Arquivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
Exemplo 4: Crie uma CA com um conectado CRL e um personalizado CNAME habilitado
Neste exemplo, a configuração de revogação define CRL parâmetros que incluem um personalizado. CNAME
Arquivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
Exemplo 5: criar uma CA e especificar o modo de uso
Neste exemplo, o modo de uso da CA é especificado ao criar uma CA. Se não for especificado, o parâmetro do modo de uso é padronizado como _. GENERAL PURPOSE Neste exemplo, o parâmetro é definido como SHORT _ LIVED _CERTIFICATE, o que significa que a CA emitirá certificados com um período máximo de validade de sete dias. Em situações em que é inconveniente configurar a revogação, um certificado de curta duração comprometido expira rapidamente como parte das operações normais. Consequentemente, esse exemplo de CA não tem um mecanismo de revogação.
nota
CA privada da AWS não executa verificações de validade em certificados de CA raiz.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Use o describe-certificate-authoritycomando no AWS CLI para exibir detalhes sobre a CA resultante, conforme mostrado no comando a seguir:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Exemplo 6: criar uma CA para login do Active Directory
Você pode criar uma CA privada adequada para uso no NTAuth repositório corporativo do Microsoft Active Directory (AD), onde ela pode emitir certificados de logon de cartão ou de controlador de domínio. Para obter informações sobre a importação de um certificado de CA para o AD, consulte Como importar certificados de autoridade de certificação (CA) de terceiros para o NTAuth repositório corporativo
A ferramenta certutil
Esse exemplo usa o arquivo de configuração ca_config_AD.txt
a seguir.
Arquivo: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Exemplo 7: Crie um Matter CA com um anexo CRL e a CDP extensão omitida dos certificados emitidos
Você pode criar uma CA privada adequada para emitir certificados para o padrão doméstico inteligente Matter. Neste exemplo, a configuração da CA ca_config_PAA.txt
define uma Autoridade de Atestado de Produto Matter (PAA) com a ID do fornecedor (VID) definida como. FFF1
Arquivo: PAA ca_config_ .txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
A configuração de revogação ativa CRLs e configura a CA para omitir o padrão de qualquer certificado CDP URL emitido.
Arquivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Use o comando a seguir para inspecionar a configuração da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Essa descrição deve conter a seção a seguir.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...