Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle - AWS Private Certificate Authority
Einen Amazon S3 S3-Bucket für Auditberichte vorbereitenEinen Prüfbericht erstellenAbrufen eines AuditberichtsVerschlüsseln Sie Ihre Auditberichte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Der Bericht wird in einem neuen oder bestehenden S3-Bucket gespeichert, den Sie bei der Eingabe angeben.

Weitere Informationen zum Hinzufügen von Verschlüsselungsschutz zu Ihren Audit-Berichten finden Sie unter Verschlüsseln Sie Ihre Auditberichte .

Die Prüfberichtsdatei hat den folgenden Pfad und Dateinamen. Der ARN für einen Amazon S3 S3-Bucket ist der Wert fürbucket-name. CA_IDist der eindeutige Bezeichner einer ausstellenden Zertifizierungsstelle. UUIDist die eindeutige Kennung eines Prüfberichts. 

bucket-name/audit-report/CA_ID/UUID.[json|csv]

Sie können alle 30 Minuten einen neuen Bericht erstellen und diesen aus Ihrem Bucket herunterladen. Das folgende Beispiel zeigt einen CSV-getrennten Bericht.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

Das folgende Beispiel zeigt einen Bericht im JSON-Format. 

[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
Anmerkung

Wenn ein Zertifikat AWS Certificate Manager erneuert wird, füllt der private CA-Prüfbericht das requestedByServicePrincipal Feld mit. acm.amazonaws.com Dies weist darauf hin, dass der AWS Certificate Manager Dienst die IssueCertificate Aktion der AWS Private CA API im Namen eines Kunden aufgerufen hat, um das Zertifikat zu verlängern.

Einen Amazon S3 S3-Bucket für Auditberichte vorbereiten

Wichtig

AWS Private CA unterstützt die Verwendung von Amazon S3 Object Lock nicht. Wenn Sie Object Lock für Ihren Bucket aktivieren, AWS Private CA ist es nicht möglich, Auditberichte in den Bucket zu schreiben.

Um Ihre Auditberichte zu speichern, müssen Sie einen Amazon S3 S3-Bucket vorbereiten. Weitere Informationen finden Sie unter Wie erstelle ich einen S3-Bucket?

Ihr S3-Bucket muss durch eine beigefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Dienstprinzipale benötigen die Put Erlaubnis, Objekte im Bucket platzieren AWS Private CA zu dürfen, und die Get Erlaubnis, sie abzurufen. Wir empfehlen Ihnen, die unten aufgeführte Richtlinie anzuwenden, die den Zugriff sowohl auf ein AWS Konto als auch auf den ARN einer privaten CA einschränkt. Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.

Anmerkung

Während des Konsolenvorgangs zur Erstellung eines Auditberichts können Sie wählen, ob Sie einen neuen Bucket AWS Private CA erstellen und eine Standardberechtigungsrichtlinie anwenden möchten. Die Standardrichtlinie wendet keine SourceArn Einschränkungen für die Zertifizierungsstelle an und ist daher toleranter als die empfohlene Richtlinie. Wenn Sie die Standardeinstellung wählen, können Sie sie später jederzeit ändern.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"account",
               "aws:SourceArn":"arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Einen Prüfbericht erstellen

Sie können einen Prüfbericht entweder über die Konsole oder über erstellen AWS CLI.

So erstellen Sie einen Audit-Bericht (Konsole)

  1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole unter https://console.aws.amazon.com/acm-pca/home.

  2. Wählen Sie auf der Seite Private Zertifizierungsstellen Ihre private Zertifizierungsstelle aus der Liste aus.

  3. Klicken Sie im Menü Aktionen auf Audit-Bericht generieren.

  4. Finden Sie unter Ziel des Prüfberichts die Option Neuen S3-Bucket erstellen? , wählen Sie Ja und geben Sie einen eindeutigen Bucket-Namen ein, oder wählen Sie Nein und wählen Sie einen vorhandenen Bucket aus der Liste aus.

    Wenn Sie Ja wählen, AWS Private CA wird die Standardrichtlinie erstellt und an Ihren Bucket angehängt. Wenn Sie Nein wählen, müssen Sie Ihrem Bucket eine Richtlinie hinzufügen, bevor Sie einen Auditbericht erstellen können. Verwenden Sie das unter beschriebene RichtlinienmusterEinen Amazon S3 S3-Bucket für Auditberichte vorbereiten. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole

  5. Wählen Sie unter Ausgabeformat JSON für JavaScript Objektnotation oder CSV für kommagetrennte Werte.

  6. Wählen Sie Generate audit report (Auditbericht generieren).

So erstellen Sie einen Audit-Bericht (AWS CLI)

  1. Wenn Sie noch keinen S3-Bucket haben, den Sie verwenden können, erstellen Sie einen.

  2. Hängen Sie eine Richtlinie an Ihren Bucket an. Verwenden Sie das unter beschriebene RichtlinienmusterEinen Amazon S3 S3-Bucket für Auditberichte vorbereiten. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole

  3. Verwenden Sie den Befehl create-certificate-authority-audit-report, um den Auditbericht zu erstellen und ihn im vorbereiteten S3-Bucket zu platzieren.

    $ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON

Abrufen eines Auditberichts

Verwenden Sie die Amazon S3 S3-Konsole, API, CLI oder SDK, um einen Prüfbericht zur Inspektion abzurufen. Weitere Informationen finden Sie unter Objekt herunterladen im Amazon Simple Storage Service-Benutzerhandbuch.

Verschlüsseln Sie Ihre Auditberichte

Sie können optional die Verschlüsselung für den Amazon S3 S3-Bucket konfigurieren, der Ihre Auditberichte enthält. AWS Private CA unterstützt zwei Verschlüsselungsmodi für Assets in S3:

  • Automatische serverseitige Verschlüsselung mit von Amazon S3 verwalteten AES-256-Schlüsseln.

  • Vom Kunden verwaltete Verschlüsselung unter Verwendung AWS Key Management Service und Konfiguration nach Ihren Spezifikationen AWS KMS key .

Anmerkung

AWS Private CA unterstützt nicht die Verwendung von Standard-KMS-Schlüsseln, die automatisch von S3 generiert werden.

In den folgenden Verfahren wird die Einrichtung der einzelnen Verschlüsselungsoptionen beschrieben.

So konfigurieren Sie die automatische Verschlüsselung

Führen Sie die folgenden Schritte aus, um die serverseitige S3-Verschlüsselung zu aktivieren.

  1. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Buckets-Tabelle den Bucket aus, der Ihre AWS Private CA Ressourcen aufnehmen soll.

  3. Wählen Sie auf der Seite für Ihren Bucket die Registerkarte Properties (Eigenschaften) aus.

  4. Wählen Sie die Karte Default encryption (Standardverschlüsselung aus.

  5. Wählen Sie Enable (Aktivieren) aus.

  6. Wählen Sie den Amazon S3 S3-Schlüssel (SSE-S3).

  7. Wählen Sie Save Changes.

So konfigurieren Sie die benutzerdefinierte Verschlüsselung

Führen Sie die folgenden Schritte aus, um die Verschlüsselung mit einem benutzerdefinierten Schlüssel zu aktivieren.

  1. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Tabelle Buckets den Bucket aus, der Ihre AWS Private CA Assets aufnehmen soll.

  3. Wählen Sie auf der Seite für Ihren Bucket die Registerkarte Properties (Eigenschaften) aus.

  4. Wählen Sie die Karte Default encryption (Standardverschlüsselung aus.

  5. Wählen Sie Enable (Aktivieren) aus.

  6. Wählen Sie AWS Key Management Service den Schlüssel (SSE-KMS).

  7. Wählen Sie entweder Aus Ihren AWS KMS Schlüsseln auswählen oder AWS KMS key ARN eingeben.

  8. Wählen Sie Save Changes.

  9. (Optional) Wenn Sie noch keinen KMS-Schlüssel haben, erstellen Sie einen mit dem folgenden Befehl AWS CLI create-key:

    $ aws kms create-key

    Die Ausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels. Im Folgenden finden Sie ein Beispiel für eine Ausgabe:

    {
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

  10. Mit den folgenden Schritten erteilen Sie dem AWS Private CA Dienstprinzipal die Erlaubnis, den KMS-Schlüssel zu verwenden. Standardmäßig sind alle KMS-Schlüssel privat. Nur der Besitzer der Ressource kann einen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwenden. Der Ressourceninhaber kann jedoch anderen Benutzern und Ressourcen Zugriffsberechtigungen für den KMS-Schlüssel erteilen. Der Dienstprinzipal muss sich in derselben Region befinden, in der der KMS-Schlüssel gespeichert ist.

    1. Speichern Sie zunächst die Standardrichtlinie für Ihren KMS-Schlüssel policy.json mit dem folgenden get-key-policyBefehl:

      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

    2. Öffnen Sie die Datei policy.json in einem Text-Editor. Wählen Sie eine der folgenden Richtlinienerklärungen aus und fügen Sie sie der vorhandenen Richtlinie hinzu.

      Wenn Ihr Amazon S3 S3-Bucket-Key aktiviert ist, verwenden Sie die folgende Anweisung:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

      Wenn Ihr Amazon S3 S3-Bucket-Key deaktiviert ist, verwenden Sie die folgende Anweisung:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

    3. Wenden Sie abschließend die aktualisierte Richtlinie mit dem folgenden put-key-policyBefehl an:

      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json