Erstellen und Installieren des CA-Zertifikats - AWS Private Certificate Authority
Kompatible SignaturalgorithmenInstallation eines Root-CA-ZertifikatsInstallation eines untergeordneten CA-Zertifikats, das von gehostet wird AWS Private CAInstallation eines Zertifikats einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen und Installieren des CA-Zertifikats

Führen Sie die folgenden Verfahren durch, um ein Zertifikat für Ihre private Zertifizierungsstelle (Certificate Authority, CA) zu erstellen und zu installieren. Ihre CA ist dann einsatzbereit.

AWS Private CA unterstützt drei Szenarien für die Installation eines CA-Zertifikats:

  • Installation eines Zertifikats für eine Stammzertifizierungsstelle, gehostet von AWS Private CA

  • Installieren eines untergeordneten CA-Zertifikats, dessen übergeordnete Zertifizierungsstelle von AWS Private CA gehostet wird

  • Installieren eines untergeordneten CA-Zertifikats, dessen übergeordnete Zertifizierungsstelle extern gehostet wird

In den folgenden Abschnitten werden die Verfahren für jedes Szenario beschrieben. Die Konsolenverfahren beginnen auf der Konsolenseite Private CAs.

Kompatible Signaturalgorithmen

Die Unterstützung von Signaturalgorithmen für CA-Zertifikate hängt vom Signaturalgorithmus der übergeordneten Zertifizierungsstelle und von der ab AWS-Region. Die folgenden Einschränkungen gelten sowohl für die Konsole als auch für den AWS CLI Betrieb.

  • Eine übergeordnete Zertifizierungsstelle mit dem RSA-Signaturalgorithmus kann Zertifikate mit den folgenden Algorithmen ausstellen:

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • In einer älteren Version AWS-Region kann eine übergeordnete Zertifizierungsstelle mit dem EDCSA-Signaturalgorithmus Zertifikate mit den folgenden Algorithmen ausstellen:

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    Zu den älteren Versionen gehören: AWS-Regionen

    Name der Region

    Geografischer Standort

    eu-north-1

    Europa (Stockholm)

    me-south-1

    Naher Osten (Bahrain)

    ap-south-1

    Asien-Pazifik (Mumbai)

    eu-west-3

    Europa (Paris)

    us-east-2

    USA Ost (Ohio)

    af-south-1

    Afrika (Kapstadt)

    eu-west-1

    Europa (Irland)

    eu-central-1

    Europa (Frankfurt)

    sa-east-1

    Südamerika (São Paulo)

    ap-east-1

    Asien-Pazifik (Hongkong)

    us-east-1

    USA Ost (Nord-Virginia)

    ap-northeast-2

    Asien-Pazifik (Seoul)

    eu-west-2

    Europa (London)

    ap-northeast-1

    Asien-Pazifik (Tokio)

    us-gov-east-1

    AWS GovCloud (US-Ost)

    us-gov-west-1

    AWS GovCloud (US-West)

    us-west-2

    USA West (Oregon)

    us-west-1

    USA West (Nordkalifornien)

    ap-southeast-1

    Asien-Pazifik (Singapur)

    ap-southeast-2

    Asien-Pazifik (Sydney)

  • In einem nicht älteren System AWS-Region gelten für EDCSA die folgenden Regeln:

    • Eine übergeordnete Zertifizierungsstelle mit dem EC_Prime256V1-Signaturalgorithmus kann Zertifikate mit ECDSA P256 ausstellen.

    • Eine übergeordnete Zertifizierungsstelle mit dem EC_SECP384R1-Signaturalgorithmus kann Zertifikate mit ECDSA P384 ausstellen.

Installation eines Root-CA-Zertifikats

Sie können ein Root-CA-Zertifikat über den AWS Management Console oder den installieren AWS CLI.

Um ein Zertifikat für Ihre private Root-CA (Konsole) zu erstellen und zu installieren

  1. (Optional) Wenn Sie sich noch nicht auf der Detailseite der Zertifizierungsstelle befinden, öffnen Sie die AWS Private CA Konsole unter https://console.aws.amazon.com/acm-pca/home. Wählen Sie auf der Seite Private Zertifizierungsstellen eine Stammzertifizierungsstelle mit dem Status Zertifikat ausstehend oder Aktiv aus.

  2. Wählen Sie Aktionen, CA-Zertifikat installieren, um die Seite Root-CA-Zertifikat installieren zu öffnen.

  3. Geben Sie unter Parameter für das Root-CA-Zertifikat angeben die folgenden Zertifikatsparameter an:

    • Gültigkeit — Gibt das Ablaufdatum und die Uhrzeit für das CA-Zertifikat an. Die AWS Private CA Standardgültigkeitsdauer für ein Root-CA-Zertifikat beträgt 10 Jahre.

    • Signaturalgorithmus — Gibt den Signaturalgorithmus an, der verwendet werden soll, wenn die Stammzertifizierungsstelle neue Zertifikate ausstellt. Die verfügbaren Optionen variieren je nachdem AWS-Region , wo Sie die Zertifizierungsstelle erstellen. Weitere Informationen finden Sie unter Kompatible SignaturalgorithmenUnterstützte kryptografische Algorithmen, und SigningAlgorithmin CertificateAuthorityConfiguration.

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    Überprüfen Sie Ihre Einstellungen auf Richtigkeit und wählen Sie dann Bestätigen und installieren. AWS Private CA exportiert eine CSR für Ihre CA, generiert ein Zertifikat mithilfe einer Root-CA-Zertifikatsvorlage und signiert das Zertifikat selbst. AWS Private CA importiert dann das selbstsignierte Root-CA-Zertifikat.

  4. Auf der Detailseite für die Zertifizierungsstelle wird der Status der Installation (erfolgreich oder fehlgeschlagen) oben angezeigt. Wenn die Installation erfolgreich war, zeigt die neu abgeschlossene Stammzertifizierungsstelle im Bereich Allgemein den Status Aktiv an.

Um ein Zertifikat für Ihre private Stammzertifizierungsstelle zu erstellen und zu installieren (AWS CLI)

  1. Generieren Sie eine Zertifikatsignieranforderung (CSR).

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    Die resultierende Dateica.csr, eine im Base64-Format codierte PEM-Datei, hat das folgende Aussehen.

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    Sie können OpenSSL verwenden, um den Inhalt der CSR anzuzeigen und zu überprüfen.

    openssl req -text -noout -verify -in ca.csr

    Dies führt zu einer Ausgabe, die der folgenden ähnelt.

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. Verwenden Sie die CSR aus dem vorherigen Schritt als Argument für den --csr Parameter und stellen Sie das Stammzertifikat aus.

    Anmerkung

    Wenn Sie AWS CLI Version 1.6.3 oder höher verwenden, verwenden Sie das Präfix, fileb:// wenn Sie die erforderliche Eingabedatei angeben. Dadurch wird sichergestellt, dass die AWS Private CA Base64-kodierten Daten korrekt analysiert werden.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. Rufen Sie das Stammzertifikat ab.

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    Die resultierende Dateicert.pem, eine im Base64-Format codierte PEM-Datei, hat das folgende Aussehen.

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Sie können OpenSSL verwenden, um den Inhalt des Zertifikats anzuzeigen und zu überprüfen.

    openssl x509 -in cert.pem -text -noout

    Dies führt zu einer Ausgabe, die der folgenden ähnelt.

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. Importieren Sie das Root-CA-Zertifikat, um es auf der CA zu installieren.

    Anmerkung

    Wenn Sie AWS CLI Version 1.6.3 oder höher verwenden, verwenden Sie das Präfix, fileb:// wenn Sie die erforderliche Eingabedatei angeben. Dadurch wird sichergestellt, dass die AWS Private CA Base64-kodierten Daten korrekt analysiert werden.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

Überprüfen Sie den neuen Status der CA.

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

Der Status wird jetzt als AKTIV angezeigt.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "DOC-EXAMPLE-BUCKET1"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Installation eines untergeordneten CA-Zertifikats, das von gehostet wird AWS Private CA

Sie können das verwenden AWS Management Console , um ein Zertifikat für Ihre AWS Private CA gehostete untergeordnete Zertifizierungsstelle zu erstellen und zu installieren.

Um ein Zertifikat für Ihre AWS Private CA gehostete untergeordnete Zertifizierungsstelle zu erstellen und zu installieren

  1. (Optional) Wenn Sie sich noch nicht auf der Detailseite der Zertifizierungsstelle befinden, öffnen Sie die AWS Private CA Konsole unter https://console.aws.amazon.com/acm-pca/home. Wählen Sie auf der Seite Private Zertifizierungsstellen eine untergeordnete Zertifizierungsstelle mit dem Status Zertifikat ausstehend oder Aktiv aus.

  2. Wählen Sie Aktionen, CA-Zertifikat installieren, um die Seite Untergeordnetes CA-Zertifikat installieren zu öffnen.

  3. Wählen Sie auf der Seite Zertifikat der untergeordneten Zertifizierungsstelle installieren unter Typ der Zertifizierungsstelle auswählen aus, dass ein Zertifikat installiert werden AWS Private CAsoll, das von verwaltet wird. AWS Private CA

  4. Wählen Sie unter Übergeordnete Zertifizierungsstelle auswählen eine Zertifizierungsstelle aus der Liste Übergeordnete private Zertifizierungsstelle aus. Die Liste wird so gefiltert, dass Zertifizierungsstellen angezeigt werden, die die folgenden Kriterien erfüllen:

    • Sie sind berechtigt, die CA zu verwenden.

    • Die CA würde sich nicht selbst signieren.

    • Die CA befindet sich im StatusACTIVE.

    • Der CA-Modus istGENERAL_PURPOSE.

  5. Geben Sie unter Geben Sie die untergeordneten CA-Zertifikatsparameter an die folgenden Zertifikatsparameter an:

    • Gültigkeit — Gibt das Ablaufdatum und die Uhrzeit für das CA-Zertifikat an.

    • Signaturalgorithmus — Gibt den Signaturalgorithmus an, der verwendet werden soll, wenn die Stammzertifizierungsstelle neue Zertifikate ausstellt. Folgende Optionen sind vorhanden:

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • Pfadlänge — Die Anzahl der Vertrauensebenen, die die untergeordnete Zertifizierungsstelle beim Signieren neuer Zertifikate hinzufügen kann. Eine Pfadlänge von Null (Standard) bedeutet, dass nur Endentitätszertifikate und keine CA-Zertifikate erstellt werden können. Eine Pfadlänge von mindestens Eins bedeutet, dass die untergeordnete CA Zertifikate ausstellt, um zusätzliche CAs zu erstellen, die ihr untergeordnet sind.

    • Vorlagen-ARN — Zeigt den ARN der Konfigurationsvorlage für dieses CA-Zertifikat an. Die Vorlage ändert sich, wenn Sie die angegebene Pfadlänge ändern. Wenn Sie ein Zertifikat mit dem CLI-Befehl issue-certificate oder der IssueCertificateAPI-Aktion erstellen, müssen Sie den ARN manuell angeben. Informationen zu verfügbaren CA-Zertifikatvorlagen finden Sie unter Grundlegendes zu Zertifikatsvorlagen.

  6. Überprüfen Sie Ihre Einstellungen auf Richtigkeit und wählen Sie dann Bestätigen und installieren aus. AWS Private CA exportiert eine CSR, generiert ein Zertifikat mithilfe einer untergeordneten Zertifizierungsstelle und signiert das Zertifikat mit der ausgewählten übergeordneten Zertifizierungsstelle. AWS Private CA importiert dann das signierte Zertifikat der untergeordneten Zertifizierungsstelle.

  7. Auf der Detailseite für die Zertifizierungsstelle wird der Status der Installation (erfolgreich oder fehlgeschlagen) oben angezeigt. Wenn die Installation erfolgreich war, zeigt die neu abgeschlossene untergeordnete Zertifizierungsstelle im Bereich Allgemein den Status Aktiv an.

Installation eines Zertifikats einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde

Nachdem Sie eine untergeordnete private Zertifizierungsstelle erstellt haben, wie unter Verfahren zum Erstellen einer CA (Konsole) oder beschriebenVerfahren zum Erstellen einer CA (CLI) , haben Sie die Möglichkeit, sie zu aktivieren, indem Sie ein von einer externen Signaturstelle signiertes CA-Zertifikat installieren. Um Ihr Zertifikat einer untergeordneten Zertifizierungsstelle mit einer externen Zertifizierungsstelle zu signieren, müssen Sie zunächst einen externen Vertrauensdienstanbieter als Ihre Signaturbehörde einrichten oder die Nutzung eines Drittanbieters vereinbaren.

Anmerkung

Verfahren zur Einrichtung oder Beschaffung eines externen Vertrauensdienstanbieters fallen nicht in den Geltungsbereich dieses Handbuchs.

Nachdem Sie eine untergeordnete Zertifizierungsstelle erstellt haben und Zugriff auf eine externe Signaturstelle haben, führen Sie die folgenden Aufgaben aus:

  1. Besorgen Sie sich eine Zertifikatsignieranforderung (CSR) von. AWS Private CA

  2. Reichen Sie die CSR an Ihre externe Signaturbehörde ein und erhalten Sie ein signiertes CA-Zertifikat zusammen mit allen Kettenzertifikaten.

  3. Importieren Sie das CA-Zertifikat und die Kette in AWS Private CA , um Ihre untergeordnete Zertifizierungsstelle zu aktivieren.

Die detaillierten Schritte finden Sie unter Extern signierte private CA-Zertifikate .