Crie uma CA privada em AWS Private CA - AWS Private Certificate Authority

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma CA privada em AWS Private CA

Você pode usar os procedimentos desta seção para criar uma raiz CAs ou uma subordinadaCAs, resultando em uma hierarquia auditável de relações de confiança que corresponda às suas necessidades organizacionais. Você pode criar uma CA usando o AWS Management Console, a PCA parte do AWS CLI, ou AWS CloudFormation.

Para obter informações sobre como atualizar a configuração de uma CA que você já criou, consulte Atualizar uma CA privada em AWS Private Certificate Authority.

Para obter informações sobre como usar uma CA para assinar certificados de entidade final para seus usuários, dispositivos e aplicações, consulte Emitir certificados de entidade final privada.

nota

Um preço mensal é cobrado em sua conta por cada CA privada começando no momento em que ela é criada.

Para obter as informações mais recentes sobre CA privada da AWS preços, consulte AWS Private Certificate Authority Preços. Você também pode usar a Calculadora de preços da AWS para estimar os custos.

Console
Como criar uma CA privada usando o console da
  1. Conclua as estas etapas para criar uma CA privada usando o AWS Management Console.

    Para começar a usar o console

    Faça login na sua AWS conta e abra o CA privada da AWS console emhttps://console.aws.amazon.com/acm-pca/home.

    • Se você estiver abrindo o console em uma região sem privacidadeCAs, a página introdutória será exibida. Escolha Criar uma CA privada.

    • Se você estiver abrindo o console em uma região em que já criou uma CA, a página Autoridades de certificação privadas será aberta com uma lista de suasCAs. Escolha Criar CA.

  2. Em Opções de modo, escolha o modo de expiração dos certificados que sua CA emite.

    • Uso geral: emite certificados que podem ser configurados com qualquer data de expiração. Esse é o padrão.

    • Certificado de curta duração: emite certificados com um período máximo de validade de sete dias. Em alguns casos, um curto período de validade pode substituir, um mecanismo de revogação.

  3. Na seção Opções de tipo do console, escolha o tipo de autoridade de certificação privada que você deseja criar.

    • A escolha da Raiz estabelece uma nova hierarquia de CA. Essa CA é baseada em um certificado autoassinado. Ele serve como a autoridade de assinatura definitiva para outros certificados CAs e certificados de entidades finais na hierarquia.

    • A escolha de uma Subordinada cria uma CA que deve ser assinada por uma CA pai acima dela na hierarquia. Normalmente, CAs os subordinados são usados para criar outros subordinados CAs ou emitir certificados de entidade final para usuários, computadores e aplicativos.

      nota

      CA privada da AWS fornece um processo de assinatura automatizado quando a CA principal de sua CA subordinada também é hospedada pela CA privada da AWS. Você só precisa escolher a CA principal a ser usada.

      Talvez sua CA subordinada precise ser assinada por um provedor externo de serviços de confiança. Nesse caso, CA privada da AWS fornece uma solicitação de assinatura de certificado (CSR) que você deve baixar e usar para obter um certificado CA assinado. Para obter mais informações, consulte Instalar um certificado de CA subordinado assinado por uma CA externa principal.

  4. Em Opções de nome distinto do requerente, configure o nome do requerente da CA privada. É necessário inserir um valor para pelo menos uma das seguintes opções:

    • Organização (O): por exemplo, o nome de uma empresa

    • Unidade organizacional (UO): por exemplo, uma divisão dentro de uma empresa

    • Nome do país (C): código do país com duas letras

    • Nome do estado ou província: nome completo de um estado ou província

    • Nome da localidade: o nome de uma cidade

    • Nome comum (CN) — Uma string legível por humanos para identificar a CA.

    nota

    Você pode personalizar ainda mais o nome do assunto de um certificado aplicando um APIPassthrough modelo no momento da emissão. Para obter informações e um exemplo detalhado, consulte Emitir um certificado com um nome de assunto personalizado usando um APIPassthrough modelo.

    Como o certificado de suporte é autoassinado, as informações de requerente que você fornece para uma CA privada provavelmente são mais escassas do que as que uma CA pública conteria. Para obter mais informações sobre cada um dos valores que compõem um nome distinto de assunto, consulte RFC5280.

  5. Em Opções de algoritmos de chave, escolha o algoritmo de chave e o tamanho de bits da chave. O valor padrão é um RSA algoritmo com um comprimento de chave de 2048 bits. É possível escolher entre os seguintes algoritmos:

    • RSA2048

    • RSA4096

    • ECDSAP256

    • ECDSAP384

  6. Em Opções de revogação de certificados, você pode selecionar entre dois métodos de compartilhamento do status de revogação com clientes que usam seus certificados:

    • Ativar CRL distribuição

    • Ativar OCSP

    É possível configurar uma, nenhuma ou ambas as opções de revogação para a sua CA. Embora opcional, a revogação gerenciada é recomendada como melhor prática. Antes de concluir essa etapa, consulte Planeje seu método AWS Private CA de revogação de certificado para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.

    nota

    Se você criar uma CA sem configurar a revogação, sempre poderá configurá-la mais tarde. Para obter mais informações, consulte Atualizar uma CA privada em AWS Private Certificate Authority.

    Para configurar as opções de revogação do certificado, execute as etapas a seguir.

    1. Em Opções de revogação do certificado, escolha Ativar CRL distribuição.

    2. Para criar um bucket do Amazon S3 para suas CRL entradas, escolha Create a new S3 bucket e digite um nome de bucket exclusivo. (Você não precisa incluir o caminho para o bucket.) Caso contrário, em S3 bucket URI, escolha um bucket existente na lista.

      Quando você cria um novo bucket por meio do console, CA privada da AWS tenta anexar a política de acesso necessária ao bucket e desabilitar a configuração padrão do S3 Block Public Access (BPA) nele. Se, em vez disso, você especificar um bucket existente, deverá garantir que ele BPA esteja desativado para a conta e para o bucket. Caso contrário, a operação de criação da CA falhará. Se a CA for criada com êxito, você ainda deverá anexar manualmente uma política a ela antes de começar a gerarCRLs. Use um dos padrões de política descritos em Políticas de acesso para CRLs o Amazon S3 . Para obter mais informações, consulte Adicionar uma política de bucket usando o console do Amazon S3.

      Importante

      Uma tentativa de criar uma CA usando o CA privada da AWS console falhará se todas as condições a seguir se aplicarem:

      • Você está configurando umCRL.

      • Você solicita CA privada da AWS a criação automática de um bucket do S3.

      • Você está aplicando BPA configurações no S3.

      Nessa situação, o console cria um bucket, mas tenta e não consegue torná-lo publicamente acessível. Verifique as configurações do Amazon S3 se isso ocorrer, desative BPA conforme necessário e repita o procedimento para criar uma CA. Para obter mais informações, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3.

    3. Expanda CRLas configurações para obter opções de configuração adicionais.

      • Adicione um CRLnome personalizado para criar um alias para seu bucket do Amazon S3. Esse nome está contido nos certificados emitidos pela CA na extensão “Pontos de CRL Distribuição” definida por RFC 5280.

      • Digite a validade em dias em CRL que você permanecerá válido. O valor padrão é de 7 dias. Para on-lineCRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar o CRL no ponto médio do período especificado.

    4. Expanda Configurações do S3 para a configuração opcional de Versionamento de bucket e Registro em log de acesso ao bucket.

  7. Para opções de revogação de certificado, escolha Ativar. OCSP

    1. No campo OCSPEndpoint personalizado - opcional, você pode fornecer um nome de domínio totalmente qualificado (FQDN) para um endpoint que não seja da AmazonOCSP.

      Quando você fornece um FQDN neste campo, CA privada da AWS insere o FQDN na extensão de Acesso às Informações da Autoridade de cada certificado emitido no lugar do padrão URL para o AWS OCSP respondente. Quando um endpoint recebe um certificado contendo o personalizadoFQDN, ele consulta esse endereço para obter uma OCSP resposta. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:

      • Use um servidor proxy para encaminhar o tráfego que chega ao seu destino FQDN para o AWS OCSP respondente.

      • Adicione um CNAME registro correspondente ao seu DNS banco de dados.

      dica

      Para obter mais informações sobre a implementação de uma OCSP solução completa usando uma solução personalizadaCNAME, consultePersonalize OCSP URL para AWS Private CA.

      Por exemplo, aqui está um CNAME registro personalizado, OCSP como ele apareceria no Amazon Route 53.

      Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para

      alternative.example.com

      CNAME Simples - proxy.example.com
      nota

      O valor do não CNAME deve incluir um prefixo de protocolo como “http://” ou “https://”.

  8. Na página Adicionar etiquetas, é possível marcar sua CA. As tags são pares chave-valor que servem como metadados para identificar e organizar recursos da AWS . Para obter uma lista de parâmetros de CA privada da AWS tags e instruções sobre como adicionar tags CAs após a criação, consulteAdicione tags para sua CA privada.

    nota

    Para anexar tags a uma CA privada durante o procedimento de criação, um administrador de CA deve primeiro associar uma IAM política em linha à CreateCertificateAuthority ação e permitir explicitamente a marcação. Para obter mais informações, consulte Tag-on-create: Anexando tags a uma CA no momento da criação.

  9. Nas opções de permissões da CA, você pode, opcionalmente, delegar permissões de renovação automática ao responsável pelo AWS Certificate Manager serviço. ACMsó pode renovar automaticamente os certificados de entidade final privada gerados por essa CA se essa permissão for concedida. Você pode atribuir permissões de renovação a qualquer momento com o comando CA privada da AWS CreatePermissionAPIou create-permissionCLI.

    O padrão é habilitar essas permissões.

    nota

    AWS Certificate Manager não suporta a renovação automática de certificados de curta duração.

  10. Em Preços, confirme que você entende os preços de uma CA privada.

    nota

    Para obter as informações mais recentes sobre CA privada da AWS preços, consulte AWS Private Certificate Authority Preços. Você também pode usar a Calculadora de preços da AWS para estimar os custos.

  11. Escolha Criar CA depois de verificar a precisão de todas as informações inseridas. A página de detalhes da CA é aberta e exibe seu status como Certificado pendente.

    nota

    Na página de detalhes, você pode concluir a configuração da CA escolhendo Ações, Instalar certificado de CA ou pode retornar posteriormente à lista Autoridades de certificação privadas e concluir o procedimento de instalação aplicável:

CLI

Use o create-certificate-authoritycomando para criar uma CA privada. Você deve especificar a configuração da CA (contendo informações do algoritmo e do nome do assunto), a configuração de revogação (se você planeja usar OCSP e/ou aCRL) e o tipo de CA (raiz ou subordinada). Os detalhes da configuração e da revogação estão contidos em dois arquivos que você fornece como argumentos ao comando. Opcionalmente, você também pode configurar o modo de uso da CA (para emitir certificados padrão ou de curta duração), anexar etiquetas e fornecer um token de idempotência.

Se você estiver configurando umCRL, deverá ter um bucket Amazon S3 protegido antes de emitir create-certificate-authority o comando. Para obter mais informações, consulte Políticas de acesso para CRLs o Amazon S3 .

O arquivo de configuração da CA especifica as seguintes informações:

  • O nome do algoritmo

  • O tamanho da chave a ser usada para criar a chave privada da CA

  • O tipo de algoritmo de assinatura que a CA usa para assinar

  • Informações do assunto X.500

A configuração de revogação para OCSP define um OcspConfiguration objeto com as seguintes informações:

  • O sinalizador Enabled é definido como “true”.

  • (Opcional) Um costume CNAME declarado como um valor paraOcspCustomCname.

A configuração de revogação para a CRL define um CrlConfiguration objeto com as seguintes informações:

  • O sinalizador Enabled é definido como “true”.

  • O período de CRL expiração em dias (o período de validade doCRL).

  • O bucket do Amazon S3 que conterá o. CRL

  • (Opcional) Um ObjectAcl valor S3 que determina se o CRL está acessível ao público. No exemplo apresentado, o acesso público está bloqueado. Para obter mais informações, consulte Habilite o S3 Block Public Access (BPA) com CloudFront.

  • (Opcional) Um CNAME alias para o bucket do S3 incluído nos certificados emitidos pela CA. Se não CRL estiver acessível ao público, isso apontará para um mecanismo de distribuição como o Amazon CloudFront.

  • (Opcional) Um CrlDistributionPointExtensionConfiguration objeto com as seguintes informações:

    • O OmitExtension sinalizador definido como “verdadeiro” ou “falso”. Isso controla se o valor padrão da CDP extensão será gravado em um certificado emitido pela CA. Para obter mais informações sobre a CDP extensão, consulteDeterminando o ponto de CRL distribuição (CDP) URI . A CustomCname não pode ser definido se OmitExtension for “verdadeiro”.

nota

É possível habilitar os dois mecanismos de revogação na mesma CA, definindo um objeto OcspConfiguration e um objeto CrlConfiguration simultaneamente. Se você não fornecer um parâmetro --revocation-configuration, os dois mecanismos serão desabilitados por padrão. Se precisar de suporte para validação de revogação posteriormente, consulte Atualizando uma CA (CLI).

Consulte a seção a seguir para obter CLI exemplos.

CLIexemplos para criar uma CA privada

Os exemplos a seguir pressupõem que você tenha configurado seu diretório de configuração .aws com uma região, um endpoint e credenciais padrão válidos. Para obter informações sobre como configurar seu AWS CLI ambiente, consulte Configuração e configurações do arquivo de credenciais. Para facilitar a leitura, fornecemos a entrada de configuração e revogação da CA como JSON arquivos nos comandos de exemplo. Modifique os arquivos de exemplo conforme necessário para seu uso.

Todos os exemplos usam o arquivo de configuração ca_config.txt a seguir, salvo indicação em contrário.

Arquivo: ca_config.txt

{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"www.example.com" } }

Exemplo 1: Crie uma CA com OCSP habilitado

Neste exemplo, o arquivo de revogação ativa o OCSP suporte padrão, que usa o CA privada da AWS respondente para verificar o status do certificado.

Arquivo: revoke_config.txt para OCSP

{ "OcspConfiguration":{ "Enabled":true } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da nova CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:region:account: certificate-authority/CA_ID" }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-2

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

"RevocationConfiguration": { ... "OcspConfiguration": { "Enabled": true } ... }

Exemplo 2: Crie uma CA com OCSP e uma personalizada CNAME ativada

Neste exemplo, o arquivo de revogação permite suporte personalizadoOCSP. O OcspCustomCname parâmetro usa um nome de domínio totalmente qualificado (FQDN) como seu valor.

Quando você fornece um FQDN neste campo, CA privada da AWS insere o FQDN na extensão de Acesso às Informações da Autoridade de cada certificado emitido no lugar do padrão URL para o AWS OCSP respondente. Quando um endpoint recebe um certificado contendo o personalizadoFQDN, ele consulta esse endereço para obter uma OCSP resposta. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:

  • Use um servidor proxy para encaminhar o tráfego que chega ao seu destino FQDN para o AWS OCSP respondente.

  • Adicione um CNAME registro correspondente ao seu DNS banco de dados.

dica

Para obter mais informações sobre a implementação de uma OCSP solução completa usando uma solução personalizadaCNAME, consultePersonalize OCSP URL para AWS Private CA.

Por exemplo, aqui está um CNAME registro personalizado, OCSP como ele apareceria no Amazon Route 53.

Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para

alternative.example.com

CNAME Simples - proxy.example.com
nota

O valor do não CNAME deve incluir um prefixo de protocolo como “http://” ou “https://”.

Arquivo: revoke_config.txt para OCSP

{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"alternative.example.com" } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-3

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

"RevocationConfiguration": { ... "OcspConfiguration": { "Enabled": true, "OcspCustomCname": "alternative.example.com" } ... }

Exemplo 3: Criar uma CA com um anexo CRL

Neste exemplo, a configuração de revogação define CRL parâmetros.

Arquivo: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "S3BucketName":"amzn-s3-demo-bucket" } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket" }, ... }

Exemplo 4: Crie uma CA com um conectado CRL e um personalizado CNAME habilitado

Neste exemplo, a configuração de revogação define CRL parâmetros que incluem um personalizado. CNAME

Arquivo: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "CustomCname": "alternative.example.com", "S3BucketName":"amzn-s3-demo-bucket" } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "CustomCname": "alternative.example.com", "S3BucketName": "amzn-s3-demo-bucket", ... } }

Exemplo 5: criar uma CA e especificar o modo de uso

Neste exemplo, o modo de uso da CA é especificado ao criar uma CA. Se não for especificado, o parâmetro do modo de uso é padronizado como _. GENERAL PURPOSE Neste exemplo, o parâmetro é definido como SHORT _ LIVED _CERTIFICATE, o que significa que a CA emitirá certificados com um período máximo de validade de sete dias. Em situações em que é inconveniente configurar a revogação, um certificado de curta duração comprometido expira rapidamente como parte das operações normais. Consequentemente, esse exemplo de CA não tem um mecanismo de revogação.

nota

CA privada da AWS não executa verificações de validade em certificados de CA raiz.

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Use o describe-certificate-authoritycomando no AWS CLI para exibir detalhes sobre a CA resultante, conforme mostrado no comando a seguir:

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"www.example.com" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...

Exemplo 6: criar uma CA para login do Active Directory

Você pode criar uma CA privada adequada para uso no NTAuth repositório corporativo do Microsoft Active Directory (AD), onde ela pode emitir certificados de logon de cartão ou de controlador de domínio. Para obter informações sobre a importação de um certificado de CA para o AD, consulte Como importar certificados de autoridade de certificação (CA) de terceiros para o NTAuth repositório corporativo.

A ferramenta certutil da Microsoft pode ser usada para publicar certificados CA no AD invocando a opção -dspublish. Um certificado publicado no AD com certutil é confiável em toda a floresta. Com o uso de uma política de grupo, também é possível limitar a confiança a um subconjunto de toda a floresta, por exemplo, um único domínio ou um grupo de computadores em um domínio. Para que o logon funcione, a CA emissora também deve ser publicada na NTAuth loja. Para obter mais informações, consulte Distribuir certificados para computadores cliente usando a política de grupo.

Esse exemplo usa o arquivo de configuração ca_config_AD.txt a seguir.

Arquivo: ca_config_AD.txt

{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config_AD.txt \ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...

Exemplo 7: Crie um Matter CA com um anexo CRL e a CDP extensão omitida dos certificados emitidos

Você pode criar uma CA privada adequada para emitir certificados para o padrão doméstico inteligente Matter. Neste exemplo, a configuração da CA ca_config_PAA.txt define uma Autoridade de Atestado de Produto Matter (PAA) com a ID do fornecedor (VID) definida como. FFF1

Arquivo: PAA ca_config_ .txt

{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"SmartHome", "State":"WA", "Locality":"Seattle", "CommonName":"Example Corp Matter PAA", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1" } ] } }

A configuração de revogação ativa CRLs e configura a CA para omitir o padrão de qualquer certificado CDP URL emitido.

Arquivo: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "S3BucketName":"amzn-s3-demo-bucket", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }

Comando

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config_PAA.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

Use o comando a seguir para inspecionar a configuração da CA.

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

Essa descrição deve conter a seção a seguir.

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } }, ... } ...