本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用外部簽署的私有 CA 憑證
如果您私有 CA 階層的信任根必須是外部的 CA AWS 私有 CA,您可以建立並自我簽署自己的根 CA。或者,您也可以取得由您組織營運之外部私有 CA 所簽署的私有 CA 憑證。無論來源為何,您都可以使用此外部取得的 CA 來簽署 AWS 私有 CA 管理的私有下級 CA 憑證。
注意
建立或取得外部信任服務提供者的程序不在本指南的範圍內。
使用外部父 CA 搭配 AWS 私有 CA 可讓您強制執行 CA 名稱限制,如 RFC 5280 的名稱限制
如果您打算使用外部 CA 簽署私有下級 CA 憑證,在您擁有工作 CA 之前,需要完成三個任務 AWS 私有 CA:
-
產生憑證簽署請求 (CSR)。
-
將 CSR 提交至外部簽署授權機構,並傳回已簽章的憑證和憑證鏈。
-
在 中安裝簽署的憑證 AWS 私有 CA。
下列程序說明如何使用 AWS Management Console 或 完成這些任務 AWS CLI。
取得並安裝外部簽署的 CA 憑證 (主控台)
-
(選用) 如果您尚未在 CA 的詳細資訊頁面上,請在 AWS 私有 CA https://console.aws.amazon.com/acm-pca/ 首頁
開啟主控台。在私有憑證授權單位頁面上,選擇狀態為待定憑證、作用中、已停用或已過期的下級 CA。 -
選擇動作、安裝 CA 憑證以開啟安裝下級 CA 憑證頁面。
-
在安裝下級 CA 憑證頁面的選取 CA 類型下,選擇外部私有 CA。
-
在此 CA 的 CSR 下,主控台會顯示 ASCII 的 Base64-encoded CSR 文字。您可以使用複製按鈕複製文字,也可以選擇將 CSR 匯出至檔案,並將其儲存在本機。
注意
複製和貼上時,必須保留 CSR 文字的確切格式。
-
如果您無法立即執行離線步驟,從外部簽署授權機構取得已簽署的憑證,您可以關閉頁面,並在您擁有已簽署的憑證和憑證鏈後返回頁面。
否則,如果您準備好,請執行下列任一動作:
-
將憑證內文和憑證鏈的 Base64-encodedASCII貼到各自的文字方塊中。
-
選擇上傳,將憑證內文和憑證鏈從本機檔案載入各自的文字方塊。
-
-
選擇確認並安裝。
取得並安裝外部簽署的 CA 憑證 (CLI)
-
使用 get-certificate-authority-csr 命令來擷取私有 CA 的憑證簽署請求 (CSR)。如果您想要將 CSR 傳送到顯示器,請使用
--output text
選項,從每行結尾刪除 CR/LF 字元。若要將 CSR 傳送至檔案,請使用重新導向選項 (>),後面接著檔案名稱。$
aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --output text將 CSR 儲存為本機檔案之後,您可以使用下列 OpenSSL
命令來檢查 Word: openssl req -in
path_to_CSR_file
-text -noout此命令會產生類似如下的輸出。請注意,CA 延伸模組是
TRUE
,表示 CSR 適用於 CA 憑證。Certificate Request: Data: Version: 0 (0x0) Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha256WithRSAEncryption c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc: a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d: ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c: ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75: de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a: ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14: 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47: f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f: 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d: 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33: 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7: d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6: 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38: 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18: d1:83:66:40
-
將 CSR 提交至您的外部簽署授權機構,並取得包含 Base64 PEM 編碼簽章憑證和憑證鏈的檔案。
-
使用 import-certificate-authority-certificate 命令將私有 CA 憑證檔案和鏈檔案匯入 AWS 私有 CA。
$
aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:\ certificate-authority/12345678-1234-1234-1234-123456789012
\ --certificate file://C:\example_ca_cert.pem
\ --certificate-chain file://C:\example_ca_cert_chain.pem