Configure um CRL para AWS Private CA - AWS Private Certificate Authority

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure um CRL para AWS Private CA

Antes de configurar uma lista de revogação de certificados (CRL) como parte do processo de criação da CA, talvez seja necessária alguma configuração prévia. Esta seção explica os pré-requisitos e as opções que você deve entender antes de criar uma CA com um anexo. CRL

Para obter informações sobre como usar o Online Certificate Status Protocol (OCSP) como alternativa ou suplemento a umCRL, consulte Certificate revocation options Personalize OCSP URL para AWS Private CA e.

CRLestrutura

Cada um CRL é um arquivo DER codificado. Para baixar o arquivo e usar Abrir SSL para visualizá-lo, use um comando semelhante ao seguinte:

openssl crl -inform DER -in path-to-crl-file -text -noout

CRLstêm o seguinte formato:

Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com Last Update: Feb 26 19:28:25 2018 GMT Next Update: Feb 26 20:28:25 2019 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65 X509v3 CRL Number: 1519676905984 Revoked Certificates: Serial Number: E8CBD2BEDB122329F97706BCFEC990F8 Revocation Date: Feb 26 20:00:36 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: F7D7A3FD88B82C6776483467BBF0B38C Revocation Date: Jan 30 21:21:31 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf: c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f: 9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f: 49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6: c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88: e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94: 62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80: 1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89: 2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a: 57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44: 53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7: 83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f: 97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94: 58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73: 5a:2c:88:85
nota

Eles só CRL serão depositados no Amazon S3 após a emissão de um certificado referente a ele. Antes disso, só haverá um arquivo acm-pca-permission-test-key visível no bucket do Amazon S3.

Políticas de acesso para CRLs o Amazon S3

Se você planeja criar umCRL, você precisa preparar um bucket Amazon S3 para armazená-lo. CA privada da AWS deposita automaticamente o CRL no bucket do Amazon S3 que você designar e o atualiza periodicamente. Para mais informações, consulte Criar um bucket.

Seu bucket do S3 deve ser protegido por uma política de IAM permissões anexada. Usuários autorizados e entidades principais de serviços precisam da permissão Put para permitir que o CA privada da AWS coloque objetos no bucket e da permissão Get para recuperá-los. Durante o procedimento do console para criar uma CA, você pode optar por deixar CA privada da AWS criar um novo bucket e aplicar uma política de permissões padrão.

nota

A configuração da IAM política depende dos Regiões da AWS envolvidos. Regiões se encaixam em duas categorias:

  • Regiões habilitadas por padrão — Regiões que são habilitadas por padrão para todos. Contas da AWS

  • Regiões desabilitadas por padrão: regiões que estão desabilitadas por padrão, mas que podem ser manualmente habilitadas pelo cliente.

Para obter mais informações e uma lista das regiões desativadas por padrão, consulte Gerenciando. Regiões da AWS Para uma discussão sobre os princípios de serviço no contexto deIAM, consulte os diretores de AWS serviço em regiões opcionais.

Quando você configura CRLs como método de revogação de certificado, CA privada da AWS cria um CRL e o publica em um bucket do S3. O bucket do S3 exige uma IAM política que permita que o responsável pelo CA privada da AWS serviço grave no bucket. O nome da entidade principal de serviço varia de acordo com as regiões usadas, e não há suporte para todas as possibilidades.

PCA S3 Entidade principal do serviço

Ambos na mesma região

acm-pca.amazonaws.com

Habilitado

Habilitado

acm-pca.amazonaws.com

Desabilitado Habilitado

acm-pca.Region.amazonaws.com

Habilitado Desabilitado

Sem compatibilidade

A política padrão não aplica restrição de SourceArn à CA. Recomendamos que você aplique uma política menos permissiva, como a seguinte, que restringe o acesso a uma AWS conta específica e a uma CA privada específica. Como alternativa, você pode usar a chave de condição aws: SourceOrg ID para restringir o acesso a uma organização específica em AWS Organizations. Para obter mais informações sobre políticas de bucket, consulte Políticas de bucket para o Amazon Simple Storage Service.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket1" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"111122223333", "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID" } } } ] }

Se você optar por permitir a política padrão, sempre poderá modificá-la mais tarde.

Habilite o S3 Block Public Access (BPA) com CloudFront

Os novos buckets do Amazon S3 são configurados por padrão com o recurso Block Public Access (BPA) ativado. Incluído nas melhores práticas de segurança do Amazon S3, BPA está um conjunto de controles de acesso que os clientes podem usar para ajustar o acesso aos objetos em seus buckets do S3 e aos buckets como um todo. Quando BPA está ativo e configurado corretamente, somente AWS usuários autorizados e autenticados têm acesso a um bucket e seu conteúdo.

AWS recomenda o uso de BPA em todos os buckets do S3 para evitar a exposição de informações confidenciais a possíveis adversários. No entanto, um planejamento adicional é necessário se seus PKI clientes acessarem CRLs pela Internet pública (ou seja, sem estarem conectados a uma AWS conta). Esta seção descreve como configurar uma PKI solução privada usando a Amazon CloudFront, uma rede de entrega de conteúdo (CDN), para servir CRLs sem exigir acesso autenticado do cliente a um bucket do S3.

nota

O uso CloudFront incorre em custos adicionais em sua AWS conta. Para obter mais informações, consulte Amazon CloudFront Pricing.

Se você optar por armazenar seu CRL em um bucket do S3 com BPA ativado e não usar CloudFront, deverá criar outra CDN solução para garantir que seu PKI cliente tenha acesso ao seuCRL.

Configurado CloudFront para BPA

Crie uma CloudFront distribuição que tenha acesso ao seu bucket S3 privado e possa servir CRLs para clientes não autenticados.

Para configurar uma CloudFront distribuição para o CRL
  1. Crie uma nova CloudFront distribuição usando o procedimento em Criar uma distribuição no Amazon CloudFront Developer Guide.

    Ao concluir o procedimento, aplique as configurações a seguir:

    • Em Nome de domínio de origem, escolha o bucket do S3.

    • Escolha Sim para Restringir acesso ao bucket.

    • Escolha Criar uma nova identidade para Identidade de acesso à origem.

    • Escolha Sim, atualizar política do bucket em Conceder permissões de leitura no bucket.

      nota

      Neste procedimento, CloudFront modifica sua política de bucket para permitir que ela acesse objetos de bucket. Considere editar essa política para permitir o acesso somente aos objetos na pasta crl.

  2. Depois que a distribuição for inicializada, localize seu nome de domínio no CloudFront console e salve-o para o próximo procedimento.

    nota

    Se seu bucket do S3 foi criado recentemente em uma região diferente de us-east-1, você pode receber HTTP um erro de redirecionamento temporário 307 ao acessar seu aplicativo publicado por meio de. CloudFront Pode demorar várias horas para que o endereço do bucket se propague.

Configure sua CA para BPA

Ao configurar sua nova CA, inclua o alias em sua CloudFront distribuição.

Para configurar sua CA com um CNAME para CloudFront
  • Crie sua CA usando a Crie uma CA privada em AWS Private CA.

    Quando você executa o procedimento, o arquivo de revogação revoke_config.txt deve incluir as seguintes linhas para especificar um CRL objeto não público e fornecer um URL ao endpoint de distribuição em: CloudFront

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL", "CustomCname":"abcdef012345.cloudfront.net"

    Mais tarde, quando você emitir certificados com essa CA, eles conterão um bloco como o seguinte:

    X509v3 CRL Distribution Points: Full Name: URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
nota

Se você tiver certificados mais antigos emitidos por essa CA, eles não conseguirão acessar CRL o.

Determinando o ponto de CRL distribuição (CDP) URI

Se você usar o bucket do S3 como o da CDP sua CA, ele CDP URI pode estar em um dos formatos a seguir.

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

Se você configurou sua CA com um personalizadoCNAME, o CDP URI incluiráCNAME, por exemplo, http://alternative.example.com/crl/CA-ID.crl