As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Crie uma CA privada em CA Privada da AWS
Você pode usar os procedimentos desta seção para criar uma raiz CAs ou uma subordinadaCAs, resultando em uma hierarquia auditável de relações de confiança que corresponda às suas necessidades organizacionais. Você pode criar uma CA usando Console de gerenciamento da AWS a parte PCA do AWS CLI, ou AWS CloudFormation.
Para obter informações sobre como atualizar a configuração de uma CA que você já criou, consulte [Atualizar uma CA privada em Autoridade de Certificação Privada da AWS](PCAUpdateCA.md).
Para obter informações sobre como usar uma CA para assinar certificados de entidade final para seus usuários, dispositivos e aplicações, consulte [Emitir certificados de entidade final privada](PcaIssueCert.md).
**nota**
Um preço mensal é cobrado em sua conta por cada CA privada começando no momento em que ela é criada.
Para obter as informações mais recentes sobre CA privada da AWS preços, consulte [Autoridade de Certificação Privada da AWS Preços](https://aws.amazon.com/private-ca/pricing/). Você também pode usar a [Calculadora de preços da AWS](https://calculator.aws/#/createCalculator/certificateManager) para estimar os custos.
**Topics**
+ [Exemplos de CLI para criar uma CA privada](#create-ca-cli-examples)
------
#### [ Console ]
**Como criar uma CA privada usando o console da**
1. Conclua as estas etapas para criar uma CA privada usando o Console de gerenciamento da AWS.
**Para começar a usar o console**
Faça login na sua AWS conta e abra o CA privada da AWS console em**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**.
+ Se você estiver abrindo o console em uma região sem privacidade CAs, a página introdutória será exibida. Escolha **Criar uma CA privada**.
+ Se você estiver abrindo o console em uma região em que já criou uma CA, a página **Autoridades de certificação privadas** será aberta com uma lista de suas CAs. Escolha **Criar CA**.
1. Em **Opções de modo**, escolha o modo de expiração dos certificados que sua CA emite.
+ **Uso geral**: emite certificados que podem ser configurados com qualquer data de expiração. Esse é o padrão.
+ **Certificado de curta duração**: emite certificados com um período máximo de validade de sete dias. Em alguns casos, um curto período de validade pode substituir, um mecanismo de revogação.
1. Na seção **Opções de tipo** do console, escolha o tipo de autoridade de certificação privada que você deseja criar.
+ A escolha da **Raiz** estabelece uma nova hierarquia de CA. Essa CA é baseada em um certificado autoassinado. Ele serve como a autoridade de assinatura definitiva para outros certificados CAs e certificados de entidades finais na hierarquia.
+ A escolha de uma **Subordinada** cria uma CA que deve ser assinada por uma CA pai acima dela na hierarquia. Normalmente, CAs os subordinados são usados para criar outros subordinados CAs ou emitir certificados de entidade final para usuários, computadores e aplicativos.
**nota**
CA privada da AWS fornece um processo de assinatura automatizado quando a CA principal de sua CA subordinada também é hospedada pela CA privada da AWS. Você só precisa escolher a CA principal a ser usada.
Talvez sua CA subordinada precise ser assinada por um provedor externo de serviços de confiança. Nesse caso, CA privada da AWS fornece uma solicitação de assinatura de certificado (CSR) que você deve baixar e usar para obter um certificado CA assinado. Para obter mais informações, consulte [Instalar um certificado de CA subordinado assinado por uma CA externa principal](PCACertInstall.md#InstallSubordinateExternal).
1. Em **Opções de nome distinto do requerente**, configure o nome do requerente da CA privada. É necessário inserir um valor para pelo menos uma das seguintes opções:
+ **Organização (O)**: por exemplo, o nome de uma empresa
+ **Unidade organizacional (UO)**: por exemplo, uma divisão dentro de uma empresa
+ **Nome do país (C)**: código do país com duas letras
+ **Nome do estado ou província:** nome completo de um estado ou província
+ **Nome da localidade**: o nome de uma cidade
+ **Nome comum (CN)** — Uma string legível por humanos para identificar a CA.
**nota**
Você pode personalizar ainda mais o nome do assunto de um certificado aplicando um APIPassthrough modelo no momento da emissão. Para obter informações e um exemplo detalhado, consulte [Emitir um certificado com um nome de assunto personalizado usando um APIPassthrough modelo](PcaIssueCert.md#custom-subject-1).
Como o certificado de suporte é autoassinado, as informações de requerente que você fornece para uma CA privada provavelmente são mais escassas do que as que uma CA pública conteria. Para obter mais informações sobre cada um dos valores que compõem um nome distinto de objeto, consulte [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4).
1. Em **Opções do algoritmo chave**, escolha o algoritmo chave e a força do algoritmo. O valor padrão é RSA 2048. É possível escolher entre os seguintes algoritmos:
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ ROSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. Em **Opções de revogação de certificados**, você pode selecionar entre dois métodos de compartilhamento do status de revogação com clientes que usam seus certificados:
+ **Ativar distribuição de CRL**
+ **Ativar OCSP**
É possível configurar uma, nenhuma ou ambas as opções de revogação para a sua CA. Embora opcional, a revogação gerenciada é recomendada como [melhor prática](ca-best-practices.md). Antes de concluir essa etapa, consulte [Planeje seu método CA Privada da AWS de revogação de certificado](revocation-setup.md) para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.
**nota**
Se você criar uma CA sem configurar a revogação, sempre poderá configurá-la mais tarde. Para obter mais informações, consulte [Atualizar uma CA privada em Autoridade de Certificação Privada da AWS](PCAUpdateCA.md).
Para configurar as **opções de revogação do certificado**, execute as etapas a seguir.
1. Em **Opções de revogação de certificados**, escolha **Ativar distribuição de CRL**.
1. Em **URI do bucket do S3**, escolha um bucket existente na lista.
Ao especificar um bucket existente, você deve garantir que o BPA esteja desativado para a conta e para o bucket. Caso contrário, a operação de criação da CA falhará. Se a CA for criada com êxito, você ainda deverá anexar manualmente uma política a ela antes de começar a gerar CRLs. Use um dos padrões de política descritos em [Políticas de acesso para CRLs o Amazon S3](crl-planning.md#s3-policies). Para obter mais informações, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
1. Expanda **Configurações de CRL** para obter opções de configuração adicionais.
+ Escolha **Ativar particionamento** para habilitar o particionamento de. CRLs Se você não habilitar o particionamento, sua CA estará sujeita ao número máximo de certificados revogados. Para obter mais informações, consulte as [Autoridade de Certificação Privada da AWS cotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). Para obter mais informações sobre particionado CRLs, consulte Tipos de [CRL.](crl-planning.md#crl-type)
+ Adicione um **Nome de CRL personalizado** para criar um alias para o bucket do Amazon S3. Esse nome está contido em certificados emitidos pela CA na extensão “Pontos de distribuição de CRL” definida pela RFC 5280. [Para usar CRLs over IPv6, defina isso para o endpoint S3 de pilha dupla do seu bucket, conforme descrito em Usando over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Adicione um **caminho personalizado** para criar um alias de DNS para o caminho do arquivo em seu bucket do Amazon S3.
+ Digite a **validade em dias em** que sua CRL permanecerá válida. O valor padrão é de 7 dias. Para on-line CRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar a CRL no ponto médio do período especificado.
1. Para **opções de revogação de certificado**, escolha **Ativar OCSP.**
1. No campo **Endpoint do OCSP personalizado *- opcional***, é possível fornecer um nome de domínio totalmente qualificado (FQDN) para um endpoint do OCSP que não seja da Amazon. [Para usar OCSP over IPv6, defina esse campo como um endpoint de pilha dupla, conforme descrito em Usando OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Quando você fornece um FQDN nesse campo, CA privada da AWS insere o FQDN na extensão *Authority Information Access* de cada certificado emitido no lugar do URL padrão do respondente OCSP. AWS Quando um endpoint recebe um certificado contendo o FQDN personalizado, ele consulta esse endereço para obter uma resposta do OCSP. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
+ Use um servidor proxy para encaminhar o tráfego que chega ao seu FQDN personalizado para o respondente AWS OCSP.
+ Adicionar um registro CNAME correspondente ao seu banco de dados DNS.
**dica**
Para obter mais informações sobre a implementação de uma solução OCSP completa usando um CNAME personalizado, consulte [Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md).
Por exemplo, aqui está um registro CNAME para OCSP personalizado exibido no Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/create-CA.html)
**nota**
O valor do CNAME não deve incluir um prefixo de protocolo como “http://” ou “https://”.
1. Na página **Adicionar etiquetas**, é possível marcar sua CA. As tags são pares chave-valor que servem como metadados para identificar e organizar recursos da AWS . Para obter uma lista de parâmetros de CA privada da AWS tags e instruções sobre como adicionar tags CAs após a criação, consulte[Adicione tags para sua CA privada](PcaCaTagging.md).
**nota**
Para anexar etiquetas a uma CA privada durante o procedimento de criação, um administrador de CA deve primeiro associar uma política do IAM interna à ação `CreateCertificateAuthority` e permitir explicitamente a marcação. Para obter mais informações, consulte [Tag-on-create: Anexando tags a uma CA no momento da criação](auth-InlinePolicies.md#tag-on-create).
1. Nas **opções de permissões da CA**, você pode, opcionalmente, delegar permissões de renovação automática ao responsável pelo AWS Certificate Manager serviço. O ACM só poderá renovar automaticamente os certificados de entidade final privada gerados por essa CA se essa permissão for concedida. Você pode atribuir permissões de renovação a qualquer momento com a CA privada da AWS [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)API ou o comando da CLI [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html).
O padrão é habilitar essas permissões.
**nota**
AWS Certificate Manager não suporta a renovação automática de certificados de curta duração.
1. Em **Preços**, confirme que você entende os preços de uma CA privada.
**nota**
Para obter as informações mais recentes sobre CA privada da AWS preços, consulte [Autoridade de Certificação Privada da AWS Preços](https://aws.amazon.com/private-ca/pricing/). Você também pode usar a [Calculadora de preços da AWS](https://calculator.aws/#/createCalculator/certificateManager) para estimar os custos.
1. Escolha **Criar CA** depois de verificar a precisão de todas as informações inseridas. A página de detalhes da CA é aberta e exibe seu status como **Certificado pendente**.
**nota**
Na página de detalhes, você pode concluir a configuração da CA escolhendo **Ações**, **Instalar certificado de CA** ou pode retornar posteriormente à lista **Autoridades de certificação privadas** e concluir o procedimento de instalação aplicável:
[Instalar um certificado CA raiz](PCACertInstall.md#InstallRoot)
[Instale um certificado CA subordinado hospedado por CA privada da AWS](PCACertInstall.md#InstallSubordinateInternal)
[Instalar um certificado de CA subordinado assinado por uma CA externa principal](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
Use o comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) para criar uma CA privada. Você deve especificar a configuração da CA (contendo informações do algoritmo e do nome do assunto), a configuração de revogação (se você planeja usar OCSP and/or como CRL) e o tipo de CA (raiz ou subordinada). Os detalhes da configuração e da revogação estão contidos em dois arquivos que você fornece como argumentos ao comando. Opcionalmente, você também pode configurar o modo de uso da CA (para emitir certificados padrão ou de curta duração), anexar etiquetas e fornecer um token de idempotência.
Se estiver configurando uma CRL, você deverá ter um bucket Amazon S3 *protegido* antes de emitir o comando **create-certificate-authority**. Para obter mais informações, consulte [Políticas de acesso para CRLs o Amazon S3](crl-planning.md#s3-policies).
O arquivo de configuração da CA especifica as seguintes informações:
+ O nome do algoritmo
+ O tamanho da chave a ser usada para criar a chave privada da CA
+ O tipo de algoritmo de assinatura que a CA usa para assinar seu próprio certificado CRLs, solicitação de assinatura e respostas OCSP.
+ Informações do assunto X.500
A configuração de revogação do OCSP define um objeto `OcspConfiguration` com as seguintes informações:
+ O sinalizador `Enabled` é definido como “true”.
+ (Opcional) Um CNAME personalizado declarado como um valor para `OcspCustomCname`.
A configuração de revogação de uma CRL define um objeto `CrlConfiguration` com as seguintes informações:
+ O sinalizador `Enabled` é definido como “true”.
+ O período de expiração da CRL em dias (o período de validade da CRL).
+ O bucket do Amazon S3 que conterá a CRL.
+ (Opcional) Um ObjectAcl valor [S3](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) que determina se a CRL está acessível publicamente. No exemplo apresentado, o acesso público está bloqueado. Para obter mais informações, consulte [Habilite o S3 Block Public Access (BPA) com CloudFront](crl-planning.md#s3-bpa).
+ (Opcional) Um alias CNAME para o bucket do S3 que é incluído em certificados emitidos pela CA. Se a CRL não estiver acessível ao público, isso apontará para um mecanismo de distribuição como a Amazon CloudFront.
+ (Opcional) Um `CrlDistributionPointExtensionConfiguration` objeto com as seguintes informações:
+ O `OmitExtension` sinalizador definido como “verdadeiro” ou “falso”. Isso controla se o valor padrão da extensão CDP será gravado em um certificado emitido pela CA. Para obter mais informações sobre a extensão CDP, consulte[Determinando o URI do ponto de distribuição da CRL (CDP)](crl-planning.md#crl-url). A CustomCname não pode ser definido se OmitExtension for “verdadeiro”.
+ (Opcional) Um caminho personalizado para a CRL no bucket do S3.
+ (Opcional) Um [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType)valor que determina se a CRL será completa ou particionada. Se não for fornecida, a CRL será concluída como padrão.
**nota**
É possível habilitar os dois mecanismos de revogação na mesma CA, definindo um objeto `OcspConfiguration` e um objeto `CrlConfiguration` simultaneamente. Se você não fornecer um parâmetro **--revocation-configuration**, os dois mecanismos serão desabilitados por padrão. Se precisar de suporte para validação de revogação posteriormente, consulte [Atualizar uma CA (CLI)](PCAUpdateCA.md#ca-update-cli).
Consulte a seção a seguir para ver exemplos de CLI.
------
## Exemplos de CLI para criar uma CA privada
Os exemplos a seguir pressupõem que você tenha configurado seu diretório de configuração `.aws` com uma região, um endpoint e credenciais padrão válidos. Para obter informações sobre como configurar seu AWS CLI ambiente, consulte [Configuração e configurações do arquivo de credenciais](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html). Para facilitar a leitura, fornecemos a entrada de configuração e revogação da CA como arquivos JSON nos comandos de exemplo. Modifique os arquivos de exemplo conforme necessário para seu uso.
Todos os exemplos usam o arquivo de configuração `ca_config.txt` a seguir, salvo indicação em contrário.
**Arquivo: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### Exemplo 1: criar uma CA com o OCSP habilitado
Neste exemplo, o arquivo de revogação ativa o suporte padrão do OCSP, que usa o CA privada da AWS respondente para verificar o status do certificado.
**Arquivo: revoke\$1config.txt para OCSP**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da nova CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### Exemplo 2: criar uma CA com o OCSP e um CNAME personalizado habilitado
Neste exemplo, o arquivo de revogação habilita suporte personalizado ao OCSP. O parâmetro `OcspCustomCname` usa um nome de domínio totalmente qualificado (FQDN) como valor.
Quando você fornece um FQDN nesse campo, CA privada da AWS insere o FQDN na extensão *Authority Information Access* de cada certificado emitido no lugar do URL padrão do respondente OCSP. AWS Quando um endpoint recebe um certificado contendo o FQDN personalizado, ele consulta esse endereço para obter uma resposta do OCSP. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
+ Use um servidor proxy para encaminhar o tráfego que chega ao seu FQDN personalizado para o respondente AWS OCSP.
+ Adicionar um registro CNAME correspondente ao seu banco de dados DNS.
**dica**
Para obter mais informações sobre a implementação de uma solução OCSP completa usando um CNAME personalizado, consulte [Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md).
Por exemplo, aqui está um registro CNAME para OCSP personalizado exibido no Amazon Route 53.
****
| Nome do registro | Tipo | Política de roteamento | Diferenciador | Valor/Encaminhar tráfego para |
| --- | --- | --- | --- | --- |
| alternative.example.com | CNAME | Simples | - | proxy.example.com |
**nota**
O valor do CNAME não deve incluir um prefixo de protocolo como “http://” ou “https://”.
**Arquivo: revoke\$1config.txt para OCSP**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### Exemplo 3: criar uma CA com uma CRL anexada
Neste exemplo, a configuração de revogação define parâmetros da CRL.
**Arquivo: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### Exemplo 4: criar uma CA com uma CRL anexada e um CNAME personalizado habilitado
Neste exemplo, a configuração de revogação define parâmetros de CRL que incluem um CNAME personalizado.
**Arquivo: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### Exemplo 5: criar uma CA e especificar o modo de uso
Neste exemplo, o modo de uso da CA é especificado ao criar uma CA. Se não for especificado, o parâmetro de modo de uso assumirá GENERAL\$1PURPOSE como padrão. Neste exemplo, o parâmetro está definido como SHORT\$1LIVED\$1CERTIFICATE, o que significa que a CA emitirá certificados com um período máximo de validade de sete dias. Em situações em que é inconveniente configurar a revogação, um certificado de curta duração comprometido expira rapidamente como parte das operações normais. Consequentemente, esse exemplo de CA não tem um mecanismo de revogação.
**nota**
CA privada da AWS não executa verificações de validade em certificados de CA raiz.
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
Use o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)comando no AWS CLI para exibir detalhes sobre a CA resultante, conforme mostrado no comando a seguir:
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### Exemplo 6: criar uma CA para login do Active Directory
Você pode criar uma CA privada adequada para uso no NTAuth repositório corporativo do Microsoft Active Directory (AD), onde ela pode emitir certificados de logon de cartão ou de controlador de domínio. Para obter informações sobre a importação de um certificado de CA para o AD, consulte [Como importar certificados de autoridade de certificação (CA) de terceiros para o NTAuth repositório corporativo](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store).
A ferramenta [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) da Microsoft pode ser usada para publicar certificados CA no AD invocando a opção **-dspublish**. Um certificado publicado no AD com certutil é confiável em toda a floresta. Com o uso de uma política de grupo, também é possível limitar a confiança a um subconjunto de toda a floresta, por exemplo, um único domínio ou um grupo de computadores em um domínio. Para que o logon funcione, a CA emissora também deve ser publicada na NTAuth loja. Para obter mais informações, consulte [Distribuir certificados para computadores cliente usando a política de grupo](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy).
Esse exemplo usa o arquivo de configuração `ca_config_AD.txt` a seguir.
**Arquivo: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### Exemplo 7: Crie um Matter CA com uma CRL anexada e a extensão CDP omitida dos certificados emitidos
Você pode criar uma CA privada adequada para emitir certificados para o padrão doméstico inteligente Matter. Neste exemplo, a configuração da CA `ca_config_PAA.txt` define uma Autoridade de Atestado de Produto (PAA) da Matter com a ID do Fornecedor (VID) definida como. FFF1
**Arquivo: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
A configuração de revogação ativa CRLs e configura a CA para omitir a URL padrão do CDP de qualquer certificado emitido.
**Arquivo: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**Comando**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Use o comando a seguir para inspecionar a configuração da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Essa descrição deve conter a seção a seguir.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```