AWS Private CA bewährte Verfahren

Bewährte Verfahren sind Empfehlungen, die Ihnen helfen können, sie AWS Private CA effektiv zu nutzen. Die folgenden bewährten Methoden basieren auf realen Erfahrungen von AWS Private CA Kunden AWS Certificate Manager und Kunden.

Dokumentation der Struktur und der Richtlinien von CA

AWS empfiehlt, alle Ihre Richtlinien und Praktiken für den Betrieb Ihrer CA zu dokumentieren. Dazu kann Folgendes gehören:

• Schlussfolgerung für Ihre Entscheidungen bezüglich der CA-Struktur

• Ein Diagramm, das Ihre CAs und ihre Beziehungen zeigt

• Richtlinien zu CA-Gültigkeitszeiträumen

• Planung der CA-Abfolge

• Richtlinien zur Pfadlänge

• Berechtigungenkatalog

• Beschreibung der administrativen Kontrollstrukturen

• Sicherheit

Sie können diese Informationen in zwei Dokumenten festhalten, den so genannten Zertifizierungsrichtlinien (Certification Policy, CP) und Certification Practices Statement (CPS). Ein Framework für die Erfassung wichtiger Informationen über Ihre CA-Operationen finden Sie unter RFC3647.

Minimiere die Nutzung der Root-CA, wenn möglich

Eine Stammzertifizierungsstelle sollte im Allgemeinen nur zur Ausstellung von Zertifikaten für Zwischenzertifikate verwendet werdenCAs. Auf diese Weise kann die Stammzertifizierungsstelle vor Gefahren geschützt aufbewahrt werden, während die CAs Zwischenzertifizierungsstelle die tägliche Aufgabe der Ausstellung von Endzertifikaten übernimmt.

Wenn es in Ihrer Organisation derzeit jedoch üblich ist, Endentitätszertifikate direkt von einer Stammzertifizierungsstelle auszustellen, AWS Private CA kann dies diesen Arbeitsablauf unterstützen und gleichzeitig die Sicherheit und die Betriebskontrollen verbessern. Für die Ausstellung von Endentitätszertifikaten in diesem Szenario ist eine IAM Berechtigungsrichtlinie erforderlich, die es Ihrer Stammzertifizierungsstelle ermöglicht, eine Vorlage für ein Endentitätszertifikat zu verwenden. Informationen zu IAM Richtlinien finden Sie unter. Identity and Access Management (IAM) für AWS Private Certificate Authority

Anmerkung

Diese Konfiguration bringt Einschränkungen mit sich, die zu betrieblichen Problemen führen können. Wenn Ihre Stammzertifizierungsstelle beispielsweise kompromittiert ist oder verloren geht, müssen Sie eine neue Stammzertifizierungsstelle erstellen und diese an alle Clients in Ihrer Umgebung verteilen. Bis dieser Wiederherstellungsvorgang abgeschlossen ist, können Sie keine neuen Zertifikate ausstellen. Das Ausstellen von Zertifikaten direkt von einer Stammzertifizierungsstelle verhindert auch das Einschränken des Zugriff und das Begrenzen der Anzahl der vom Stammverzeichnis ausgestellten Zertifikate. Diese beiden Verfahren gelten als bewährte Methoden für die Verwaltung einer Stammzertifizierungsstelle.

Geben Sie der Root-CA ihre eigene AWS-Konto

Es wird empfohlen, eine Stammzertifizierungsstelle und eine untergeordnete Zertifizierungsstelle in zwei verschiedenen AWS Konten zu erstellen. Dadurch verfügen Sie über zusätzlichen Schutz und eine bessere Zugriffskontrolle für Ihre Stammzertifizierungsstelle. Sie können dies tun, indem Sie die CSR von der untergeordneten Zertifizierungsstelle in einem Konto exportieren und sie mit einer Stammzertifizierungsstelle in einem anderen Konto signieren. Der Vorteil dieses Ansatzes besteht darin, dass Sie die Kontrolle über Ihr CAs Konto trennen können. Der Nachteil besteht darin, dass Sie den AWS Management Console Assistenten nicht verwenden können, um das Signieren des CA-Zertifikats einer untergeordneten Zertifizierungsstelle von Ihrer Stammzertifizierungsstelle aus zu vereinfachen.

Wichtig

Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA

Separate Administrator- und Ausstellerrollen

Die Rolle des CA-Administrators sollte von der Rolle der Benutzer getrennt sein, die nur Endentitätszertifikate ausstellen müssen. Wenn sich Ihr CA-Administrator und Ihr Zertifikatsaussteller in derselben Organisation befinden AWS-Konto, können Sie die Ausstellerberechtigungen einschränken, indem Sie einen IAM Benutzer speziell für diesen Zweck erstellen.

Implementieren Sie den verwalteten Widerruf von Zertifikaten

Der verwaltete Widerruf benachrichtigt die Zertifikatsclients automatisch, wenn ein Zertifikat gesperrt wurde. Möglicherweise müssen Sie ein Zertifikat sperren, wenn dessen kryptografische Informationen kompromittiert wurden oder wenn es irrtümlich ausgestellt wurde. Clients lehnen es in der Regel ab, widerrufene Zertifikate zu akzeptieren. AWS Private CA bietet zwei Standardoptionen für den verwalteten Widerruf: Online-Zertifikatsstatusprotokoll (OCSP) und Zertifikatssperrlisten (CRLs). Weitere Informationen finden Sie unter Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten.

Einschalten AWS CloudTrail

Aktivieren Sie die CloudTrail Protokollierung, bevor Sie eine private Zertifizierungsstelle erstellen und mit dem Betrieb beginnen. Mit CloudTrail können Sie einen Verlauf der AWS API Anrufe für Ihr Konto abrufen, um Ihre AWS Bereitstellungen zu überwachen. Dieser Verlauf umfasst API Anrufe AWS Management Console, die von den AWS SDKs AWS Command Line Interface, den und übergeordneten AWS Diensten getätigt wurden. Sie können auch feststellen, von welchen Benutzern und Konten die PCA API Vorgänge aufgerufen wurden, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe stattfanden. Sie können sie mithilfe von CloudTrail in Anwendungen integrierenAPI, die Erstellung von Trails für Ihr Unternehmen automatisieren, den Status Ihrer Trails überprüfen und kontrollieren, wie Administratoren die CloudTrail Anmeldung ein- und ausschalten. Weitere Informationen finden Sie unter Erstellen eines Trails. Gehen Sie zuAWS Private Certificate Authority APIAnrufe protokollieren mit AWS CloudTrail, um sich Beispielpfade für den AWS Private CA Betrieb anzusehen.

Rotieren Sie den privaten CA-Schlüssel

Es hat sich bewährt, in regelmäßigen Abständen den privaten Schlüssel für Ihre private Zertifizierungsstelle zu aktualisieren. Sie können einen Schlüssel aktualisieren, indem Sie ein neues CA-Zertifikat importieren oder Sie können die private Zertifizierungsstelle durch eine neue ersetzen.

Anmerkung

Wenn Sie die Zertifizierungsstelle selbst austauschen, beachten Sie, dass sich ARN die Zertifizierungsstelle ändert. Dies würde dazu führen, dass die Automatisierung, die sich auf eine hartcodierte Komponente stütztARN, fehlschlägt.

Unbenutztes löschen CAs

Sie können eine private Zertifizierungsstelle dauerhaft löschen. Sie können dies tun, wenn Sie die Zertifizierungsstelle nicht mehr benötigen oder wenn Sie sie durch eine Zertifizierungsstelle mit einem neueren privaten Schlüssel ersetzen möchten. Zum sicheren Löschen einer Zertifizierungsstelle empfehlen wir die in Löschen Ihrer privaten CA beschriebene Vorgehensweise.

Anmerkung

AWS stellt Ihnen eine CA in Rechnung, bis sie gelöscht wurde.

Blockieren Sie den öffentlichen Zugriff auf Ihre CRLs

AWS Private CA empfiehlt die Verwendung der Amazon S3 S3-Funktion Block Public Access (BPA) für Buckets, die Folgendes enthaltenCRLs: Dadurch wird vermieden, dass Ihre privaten Daten unnötigerweise potenziellen Gegnern preisgegeben PKI werden. BPAist eine bewährte Methode für S3 und ist bei neuen Buckets standardmäßig aktiviert. In einigen Fällen ist eine zusätzliche Einrichtung erforderlich. Weitere Informationen finden Sie unter Aktivieren Sie S3 Block Public Access (BPA) mit CloudFront.

Bewährte Methoden für EKS Amazon-Anwendungen

Beachten Sie AWS Private CA bei der Bereitstellung von X.509-Zertifikaten für Amazon die Empfehlungen zur Sicherung von Umgebungen EKS mit mehreren Mandanten in den Amazon EKS Best Practices Guides. Allgemeine Informationen zur Integration AWS Private CA mit Kubernetes finden Sie unter. Kubernetes sichern mit AWS Private CA