Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Verfahren sind Empfehlungen, die Ihnen helfen können, sie AWS Private CA effektiv zu nutzen. Die folgenden bewährten Methoden basieren auf realen Erfahrungen von AWS Private CA Kunden AWS Certificate Manager und Kunden.
Dokumentation der Struktur und der Richtlinien von CA
AWS empfiehlt, alle Ihre Richtlinien und Praktiken für den Betrieb Ihrer CA zu dokumentieren. Dazu kann Folgendes gehören:
-
Schlussfolgerung für Ihre Entscheidungen bezüglich der CA-Struktur
-
Ein Diagramm, das Ihre CAs und ihre Beziehungen zeigt
-
Richtlinien zu CA-Gültigkeitszeiträumen
-
Planung der CA-Abfolge
-
Richtlinien zur Pfadlänge
-
Berechtigungenkatalog
-
Beschreibung der administrativen Kontrollstrukturen
-
Sicherheit
Sie können diese Informationen in zwei Dokumenten erfassen, die als Certification Policy (CP) und Certification Practices Statement (CPS) bezeichnet werden. Die Rahmenbedingungen für die Erfassung wichtiger Informationen zu Ihren Zertifizierungsstellen-Operationen finden Sie in RFC 3647
Minimiere die Nutzung der Stammzertifizierungsstelle, wenn möglich
Eine Stammzertifizierungsstelle sollte im Allgemeinen nur zur Ausstellung von Zertifikaten für Zwischenzertifikate verwendet werden CAs. Auf diese Weise kann die Stammzertifizierungsstelle vor Gefahren geschützt aufbewahrt werden, während die CAs Zwischenzertifizierungsstelle die tägliche Aufgabe der Ausstellung von Endzertifikaten übernimmt.
Wenn es in Ihrer Organisation derzeit jedoch üblich ist, Endentitätszertifikate direkt von einer Stammzertifizierungsstelle auszustellen, AWS Private CA kann dies diesen Arbeitsablauf unterstützen und gleichzeitig die Sicherheit und die Betriebskontrollen verbessern. Für die Ausstellung von Endentitätszertifikaten in diesem Szenario ist eine IAM-Berechtigungsrichtlinie erforderlich, laut der Ihre Stammzertifizierungsstelle eine Endentitätszertifikatvorlage verwenden darf. Weitere Informationen zu IAM-Richtlinien finden Sie unter Identity and Access Management (IAM) für AWS Private Certificate Authority.
Anmerkung
Diese Konfiguration bringt Einschränkungen mit sich, die zu betrieblichen Herausforderungen führen können. Wenn Ihre Stammzertifizierungsstelle beispielsweise kompromittiert ist oder verloren geht, müssen Sie eine neue Stammzertifizierungsstelle erstellen und diese an alle Clients in Ihrer Umgebung verteilen. Bis dieser Wiederherstellungsvorgang abgeschlossen ist, können Sie keine neuen Zertifikate ausstellen. Das Ausstellen von Zertifikaten direkt von einer Stammzertifizierungsstelle verhindert auch das Einschränken des Zugriff und das Begrenzen der Anzahl der vom Stammverzeichnis ausgestellten Zertifikate. Diese beiden Verfahren gelten als bewährte Methoden für die Verwaltung einer Stammzertifizierungsstelle.
Geben Sie der Root-CA ihre eigene AWS-Konto
Es wird empfohlen, eine Stammzertifizierungsstelle und eine untergeordnete Zertifizierungsstelle in zwei verschiedenen AWS Konten zu erstellen. Dadurch verfügen Sie über zusätzlichen Schutz und eine bessere Zugriffskontrolle für Ihre Stammzertifizierungsstelle. Hierfür exportieren Sie die CSR aus der untergeordneten Zertifizierungsstelle in ein Konto und signieren sie mit einer Stammzertifizierungsstelle in einem anderen Konto. Der Vorteil dieses Ansatzes besteht darin, dass Sie die Kontrolle über Ihr CAs Konto trennen können. Der Nachteil besteht darin, dass Sie den AWS Management Console Assistenten nicht verwenden können, um das Signieren des CA-Zertifikats einer untergeordneten Zertifizierungsstelle von Ihrer Stammzertifizierungsstelle aus zu vereinfachen.
Wichtig
Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA
Separate Administrator- und Ausstellerrollen
Die Rolle des CA-Administrators sollte von der Rolle der Benutzer getrennt sein, die nur Endentitätszertifikate ausstellen müssen. Wenn sich Ihr CA-Administrator und Ihr Zertifikatsaussteller in derselben Organisation befinden AWS-Konto, können Sie die Ausstellerberechtigungen einschränken, indem Sie einen IAM-Benutzer speziell für diesen Zweck erstellen.
Implementieren Sie den verwalteten Widerruf von Zertifikaten
Der verwaltete Widerruf benachrichtigt die Zertifikatsclients automatisch, wenn ein Zertifikat gesperrt wurde. Möglicherweise müssen Sie ein Zertifikat sperren, wenn dessen kryptografische Informationen kompromittiert wurden oder wenn es irrtümlich ausgestellt wurde. Clients lehnen es in der Regel ab, widerrufene Zertifikate zu akzeptieren. AWS Private CA bietet zwei Standardoptionen für den verwalteten Widerruf: das Online Certificate Status Protocol (OCSP) und Zertifikatssperrlisten (CRLs). Weitere Informationen finden Sie unter Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten.
Einschalten AWS CloudTrail
Aktivieren Sie die CloudTrail Protokollierung, bevor Sie eine private Zertifizierungsstelle erstellen und mit dem Betrieb beginnen. Mit CloudTrail können Sie einen Verlauf der AWS API-Aufrufe für Ihr Konto abrufen, um Ihre AWS Bereitstellungen zu überwachen. Dieser Verlauf umfasst API-Aufrufe AWS Management Console, die von den AWS SDKs AWS Command Line Interface, den und übergeordneten AWS Diensten getätigt wurden. Sie können auch feststellen, welche Benutzer und Konten die PCA-API-Operationen aufgerufen haben, von welcher Quell-IP-Adresse diese Aufrufe stammen und zu welchem Zeitpunkt die Aufrufe erfolgten. Sie können sie mithilfe der API CloudTrail in Anwendungen integrieren, die Erstellung von Trails für Ihr Unternehmen automatisieren, den Status Ihrer Trails überprüfen und kontrollieren, wie Administratoren die CloudTrail Anmeldung ein- und ausschalten. Weitere Informationen finden Sie unter Erstellen eines Trails. Gehen Sie zuProtokollieren von AWS Private Certificate Authority API-Aufrufen mit AWS CloudTrail, um sich Beispielpfade für AWS Private CA Operationen anzusehen.
Rotieren Sie den privaten CA-Schlüssel
Es hat sich bewährt, in regelmäßigen Abständen den privaten Schlüssel für Ihre private Zertifizierungsstelle zu aktualisieren. Sie können einen Schlüssel aktualisieren, indem Sie ein neues CA-Zertifikat importieren oder Sie können die private Zertifizierungsstelle durch eine neue ersetzen.
Anmerkung
Wenn Sie die CA selbst austauschen, beachten Sie, dass sich der ARN der CA ändert. Dies würde dazu führen, dass die Automatisierung, die sich auf einen fest codierten ARN stützt, fehlschlägt.
Unbenutztes löschen CAs
Sie können eine private Zertifizierungsstelle dauerhaft löschen. Sie können dies tun, wenn Sie die Zertifizierungsstelle nicht mehr benötigen oder wenn Sie sie durch eine Zertifizierungsstelle mit einem neueren privaten Schlüssel ersetzen möchten. Zum sicheren Löschen einer Zertifizierungsstelle empfehlen wir die in Löschen Ihrer privaten CA beschriebene Vorgehensweise.
Anmerkung
AWS stellt Ihnen eine CA in Rechnung, bis sie gelöscht wurde.
Blockieren Sie den öffentlichen Zugriff auf Ihre CRLs
AWS Private CA empfiehlt die Verwendung der Amazon S3 S3-Funktion Block Public Access (BPA) für Buckets, die Folgendes enthalten: CRLs Dadurch wird vermieden, dass Details Ihrer privaten PKI unnötigerweise potenziellen Gegnern zugänglich gemacht werden. BPA ist eine bewährte Methode für S3 und ist bei neuen Buckets standardmäßig aktiviert. In einigen Fällen ist eine zusätzliche Einrichtung erforderlich. Weitere Informationen finden Sie unter Aktivieren Sie S3 Block Public Access (BPA) mit CloudFront.
Bewährte Methoden für Amazon EKS-Anwendungen
Beachten Sie AWS Private CA bei der Bereitstellung von X.509-Zertifikaten für Amazon EKS die Empfehlungen zur Sicherung von Umgebungen mit mehreren Mandanten in den Amazon EKS Best Practices Guides
