安裝 CA 憑證 - AWS Private Certificate Authority
相容簽署演算法安裝根 CA 憑證安裝由 託管的下級 CA 憑證 AWS 私有 CA安裝由外部父 CA 簽署的下級 CA 憑證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安裝 CA 憑證

完成下列程序來建立及安裝您的私有 CA 憑證。您的 CA 接著便會準備好可供使用。

AWS 私有 CA 支援三種安裝 CA 憑證的案例:

  • 安裝由 託管的根 CA 憑證 AWS 私有 CA

  • 安裝父系授權單位是由 AWS 私有 CA託管的次級 CA 憑證

  • 安裝父系授權單位是於外部進行託管的次級 CA 憑證

下列各節說明每個案例的程序。主控台程序從主控台頁面私有 CAs開始。

相容簽署演算法

簽署 CA 憑證的演算法支援取決於父 CA 的簽署演算法和 AWS 區域。下列限制適用於主控台和 AWS CLI 操作。

  • 具有RSA簽署演算法的父 CA 可以使用下列演算法發行憑證:

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • 在舊版 中 AWS 區域,具有EDCSA簽署演算法的父 CA 可以使用下列演算法發行憑證:

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    舊版 AWS 區域 包括:

    區域名稱

    地理位置

    eu-north-1

    歐洲 (斯德哥爾摩)

    me-south-1

    Middle East (Bahrain)

    ap-south-1

    亞太區域 (孟買)

    eu-west-3

    Europe (Paris)

    us-east-2

    美國東部 (俄亥俄)

    af-south-1

    非洲 (開普敦)

    eu-west-1

    歐洲 (愛爾蘭)

    eu-central-1

    歐洲 (法蘭克福)

    sa-east-1

    南美洲 (聖保羅)

    ap-east-1

    亞太區域 (香港)

    us-east-1

    美國東部 (維吉尼亞北部)

    ap-northeast-2

    亞太區域 (首爾)

    eu-west-2

    歐洲 (倫敦)

    ap-northeast-1

    亞太區域 (東京)

    us-gov-east-1

    AWS GovCloud (美國東部)

    us-gov-west-1

    AWS GovCloud (美國西部)

    us-west-2

    美國西部 (奧勒岡)

    us-west-1

    美國西部 (加利佛尼亞北部)

    ap-southeast-1

    亞太區域 (新加坡)

    ap-southeast-2

    亞太區域 (悉尼)

  • 在非舊版 中 AWS 區域,下列規則適用於 EDCSA:

    • 具有 EC_prime256v1 簽署演算法的父 CA 可以發行 ECDSA P256 的憑證。

    • 具有 EC_secp384r1 簽署演算法的父 CA 可以發行 ECDSA P384 的憑證。

安裝根 CA 憑證

您可以從 AWS Management Console 或 安裝根 CA 憑證 AWS CLI。

為您的私有根 CA 建立和安裝憑證 (主控台)

  1. (選用) 如果您尚未在 CA 的詳細資訊頁面上,請開啟位於 https://console.aws.amazon.com/acm-pca/首頁的 AWS 私有 CA 主控台。在私有憑證授權單位頁面上,選擇狀態為待定憑證作用中的根 CA。

  2. 選擇動作 安裝 CA 憑證以開啟安裝根 CA 憑證頁面。

  3. 指定根 CA 憑證參數 下,指定下列憑證參數:

    檢查您的設定是否正確,然後選擇確認並安裝 . AWS 私有 CA exports CSR for your CA,使用根 CA 憑證範本 產生憑證,然後自我簽署憑證。 AWS 私有 CA 然後匯入自我簽署根 CA 憑證。

  4. CA 的詳細資訊頁面會在頂端顯示安裝狀態 (成功或失敗)。如果安裝成功,新完成的根 CA 會在一般窗格中顯示作用中狀態。

為您的私有根 CA 建立和安裝憑證 (AWS CLI)

  1. 產生憑證簽署請求 (CSR)。

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    產生的檔案 ca.csr是以 base64 格式編碼PEM的檔案,其外觀如下。

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    您可以使用 OpenSSL 來檢視和驗證 的內容CSR。

    openssl req -text -noout -verify -in ca.csr

    這會產生類似下列的輸出。

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. 使用上一個步驟CSR中的 作為 --csr 參數的引數,發出根憑證。

    注意

    如果您使用的是 1 AWS CLI .6.3 版或更新版本,請在指定所需的輸入檔案fileb://時使用 字首。這可確保正確 AWS 私有 CA 剖析 Base64-encoded的資料。

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. 擷取根憑證。

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    產生的檔案 cert.pem是以 base64 格式編碼PEM的檔案,其外觀如下。

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    您可以使用 OpenSSL 來檢視和驗證憑證的內容。

    openssl x509 -in cert.pem -text -noout

    這會產生類似下列的輸出。

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. 匯入根 CA 憑證以將其安裝在 CA 上。

    注意

    如果您使用的是 1 AWS CLI .6.3 版或更新版本,請在指定所需的輸入檔案fileb://時使用 字首。這可確保正確 AWS 私有 CA 剖析 Base64-encoded的資料。

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

檢查 CA 的新狀態。

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

狀態現在顯示為 ACTIVE。

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

安裝由 託管的下級 CA 憑證 AWS 私有 CA

您可以使用 AWS Management Console 來建立和安裝託管 AWS 私有 CA 下級 CA 的憑證。

為您的 AWS 私有 CA 託管下級 CA 建立和安裝憑證

  1. (選用) 如果您尚未在 CA 的詳細資訊頁面上,請開啟位於 https://console.aws.amazon.com/acm-pca/首頁 的 AWS 私有 CA 主控台。在私有憑證授權單位頁面上,選擇狀態為待定憑證作用中的下級 CA。

  2. 選擇動作 安裝 CA 憑證以開啟安裝下級 CA 憑證頁面。

  3. 安裝下級 CA 憑證頁面的選取 CA 類型 下,選擇AWS Private CA安裝由 管理的憑證 AWS 私有 CA。

  4. 選取父 CA 下,從父私有 CA 清單中選擇 CA。系統會篩選清單,以顯示CAs符合下列條件:

    • 您有使用 CA 的許可。

    • CA 不會自行簽署。

    • CA 處於 狀態ACTIVE

    • CA 模式為 GENERAL_PURPOSE

  5. 指定下級 CA 憑證參數 下,指定下列憑證參數:

    • 有效性 — 指定 CA 憑證的到期日期和時間。

    • 簽章演算法 — 指定根 CA 發出新憑證時要使用的簽章演算法。選項為:

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • 路徑長度 — 下級 CA 在簽署新憑證時可以新增的信任層數目。路徑長度為零 (預設) 表示只能建立終端實體憑證,而不是 CA 憑證。一或多個路徑長度表示下級 CA 可能會發出憑證,以建立額外的CAs下級。

    • 範本 ARN — 顯示此 CA 憑證組態範本ARN的 。如果您變更了指定的 Path length (路徑長度),範本也會變更。如果您使用 CLI issue-certificate 命令或APIIssueCertificate動作建立憑證,則必須ARN手動指定 。如需可用 CA 憑證範本的資訊,請參閱 使用 AWS Private CA 憑證範本

  6. 檢閱您的設定是否正確,然後選擇確認並安裝 . AWS 私有 CA exportsCSR,使用下級 CA 憑證範本 產生憑證,然後使用選取的父 CA 簽署憑證。 AWS 私有 CA 然後匯入已簽署的下級 CA 憑證。

  7. CA 的詳細資訊頁面會在頂端顯示安裝狀態 (成功或失敗)。如果安裝成功,新完成的下級 CA 會在一般窗格中顯示作用中狀態。

安裝由外部父 CA 簽署的下級 CA 憑證

如 中所述建立從屬私有 CA 後在 中建立私有 CA AWS Private CA,您可以選擇安裝外部簽署授權機構簽署的 CA 憑證來啟用它。使用外部 CA 簽署附屬 CA 憑證需要您先將外部信任服務提供者設定為簽署授權,或安排使用第三方供應商。

注意

建立或取得外部信任服務供應商的程序不在本指南的範圍內。

建立下級 CA 並有權存取外部簽署授權之後,請完成下列任務:

  1. 從 取得憑證簽署請求 (CSR) AWS 私有 CA。

  2. 將 提交CSR至您的外部簽署授權機構,並取得簽署的 CA 憑證以及任何鏈狀憑證。

  3. 將 CA 憑證和鏈匯入 AWS 私有 CA 以啟用您的下級 CA。

如需詳細程序,請參閱使用外部簽署的私有 CA 憑證