本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用外部簽署的私有 CA 憑證
如果您私有 CA 階層的信任根必須是 外部的 CA AWS 私有 CA,您可以建立並自我簽署自己的根 CA。或者,您也可以取得由您組織營運之外部私有 CA 所簽署的私有 CA 憑證。無論來源為何,您都可以使用此外部取得的 CA 來簽署 AWS 私有 CA 管理的私有下級 CA 憑證。
注意
建立或取得外部信任服務提供者的程序不在本指南的範圍內。
使用外部父 CA 搭配 AWS 私有 CA 可讓您強制執行 CA RFC 名稱限制,如 5280 的名稱限制
如果您計劃使用外部 CA 簽署私有下級 CA 憑證,在 中擁有工作 CA 之前,需要完成三個任務 AWS 私有 CA:
-
產生憑證簽署請求 (CSR)。
-
將 CSR提交至外部簽署授權機構,並連同已簽章的憑證和憑證鏈一起傳回 。
-
在 中安裝已簽署的憑證 AWS 私有 CA。
下列程序說明如何使用 AWS Management Console 或 完成這些任務 AWS CLI。
取得並安裝外部簽署的 CA 憑證 (主控台)
-
(選用) 如果您尚未在 CA 的詳細資訊頁面上,請 AWS 私有 CA 開啟位於 https://console.aws.amazon.com/acm-pca/
首頁的主控台。在私有憑證授權單位頁面上,選擇狀態為待定憑證 、作用中 、已停用 或已過期 的下級 CA。 -
選擇動作 ,安裝 CA 憑證以開啟安裝下級 CA 憑證頁面。
-
在安裝下級 CA 憑證頁面上,在選取 CA 類型 下,選擇外部私有 CA 。
-
CSR 在此 CA 的 下,主控台會顯示 Base64-encodedASCII文字CSR。您可以使用複製按鈕複製文字,也可以選擇匯出CSR至檔案,並將其儲存在本機。
注意
複製和貼上時,必須保留CSR文字的確切格式。
-
如果您無法立即執行離線步驟,從外部簽署機構取得已簽署的憑證,您可以關閉頁面,並在您擁有已簽署的憑證和憑證鏈後返回頁面。
否則,如果您準備好,請執行下列任一動作:
-
將憑證主體和憑證鏈的 Base64-encodedASCII文字貼到各自的文字方塊中。
-
選擇上傳,將憑證內文和憑證鏈從本機檔案載入各自的文字方塊。
-
-
選擇確認並安裝 。
若要取得並安裝外部簽署的 CA 憑證 (CLI)
-
使用 get-certificate-authority-csr命令來擷取私有 CA 的憑證簽署請求 (CSR)。如果您想要將 CSR傳送至顯示器,請使用
--output text選項,從每行結尾刪除 CR/LF 字元。若要將 CSR 傳送至檔案,請使用重新導向選項 (>),後面接著檔案名稱。$aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --output text將 儲存CSR為本機檔案後,您可以使用下列 OpenSSL
命令來檢查它: openssl req -inpath_to_CSR_file-text -noout此命令會產生類似如下的輸出。請注意,CA 延伸模組是
TRUE,表示 CSR 適用於 CA 憑證。Certificate Request: Data: Version: 0 (0x0) Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha256WithRSAEncryption c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc: a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d: ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c: ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75: de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a: ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14: 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47: f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f: 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d: 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33: 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7: d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6: 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38: 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18: d1:83:66:40 -
將 CSR提交給您的外部簽署授權機構,並取得包含 Base64 PEM編碼簽章憑證和憑證鏈的檔案。
-
使用 import-certificate-authority-certificate命令將私有 CA 憑證檔案和鏈檔案匯入 AWS 私有 CA。
$aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012\ --certificate file://C:\example_ca_cert.pem\ --certificate-chain file://C:\example_ca_cert_chain.pem
