Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie eine private CA in AWS Private CA
Sie können die Verfahren in diesem Abschnitt verwenden, um entweder eine Stamm CAs - oder eine untergeordnete CAs Struktur zu erstellen. Das Ergebnis ist eine überprüfbare Hierarchie von Vertrauensbeziehungen, die Ihren organisatorischen Anforderungen entspricht. Sie können eine Zertifizierungsstelle erstellen AWS-Managementkonsole, indem Sie den PCA-Teil von oder verwenden. AWS CLI AWS CloudFormation
Informationen zum Aktualisieren der Konfiguration einer Zertifizierungsstelle, die Sie bereits erstellt haben, finden Sie unter[Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority](PCAUpdateCA.md).
Informationen zur Verwendung einer Zertifizierungsstelle zum Signieren von Endentitätszertifikaten für Ihre Benutzer, Geräte und Anwendungen finden Sie unter[Stellen Sie private Endentitätszertifikate aus](PcaIssueCert.md).
**Anmerkung**
Ihrem Konto wird ab dem Zeitpunkt, zu dem Sie sie erstellen, ein monatlicher Preis für jede private CA in Rechnung gestellt.
Die neuesten AWS Private CA Preisinformationen finden Sie unter [AWS Private Certificate Authority Preise](https://aws.amazon.com/private-ca/pricing/). Sie können auch den [AWS Preisrechner](https://calculator.aws/#/createCalculator/certificateManager) verwenden, um die Kosten zu schätzen.
**Topics**
+ [CLI-Beispiele für die Erstellung einer privaten CA](#create-ca-cli-examples)
------
#### [ Console ]
**So erstellen Sie eine private CA über die -Konsole**
1. Gehen Sie wie folgt vor, um eine private Zertifizierungsstelle mit dem zu erstellen AWS-Managementkonsole.
**Um mit der Verwendung der Konsole zu beginnen**
Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole unter**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**.
+ Wenn du die Konsole in einer Region öffnest, in der du kein Privatkonto hast CAs, wird die Einführungsseite angezeigt. Wählen Sie **Create a Private CA** aus.
+ Wenn Sie die Konsole in einer Region öffnen, in der Sie bereits eine Zertifizierungsstelle erstellt haben, wird die Seite **Private Zertifizierungsstellen** mit einer Liste Ihrer Zertifizierungsstellen geöffnet CAs. Wählen Sie **Create CA** aus.
1. Wählen Sie unter **Modusoptionen** den Ablaufmodus der Zertifikate aus, die Ihre CA ausstellt.
+ **Allgemein — Stellt** Zertifikate aus, die mit einem beliebigen Ablaufdatum konfiguriert werden können. Dies ist die Standardeinstellung.
+ **Kurzlebiges Zertifikat** — Stellt Zertifikate mit einer maximalen Gültigkeitsdauer von sieben Tagen aus. Eine kurze Gültigkeitsdauer kann in einigen Fällen einen Sperrmechanismus ersetzen.
1. Wählen Sie im Abschnitt **Typoptionen** der Konsole den Typ der privaten Zertifizierungsstelle aus, die Sie erstellen möchten.
+ Wenn Sie **Root** wählen, wird eine neue CA-Hierarchie eingerichtet. Diese CA wird durch ein selbstsigniertes Zertifikat gesichert. Sie dient als ultimative Signaturautorität für andere Zertifikate CAs und Endentitätszertifikate in der Hierarchie.
+ Wenn Sie **Untergeordnet** wählen, wird eine Zertifizierungsstelle erstellt, die von einer übergeordneten Zertifizierungsstelle signiert werden muss, die ihr in der Hierarchie übergeordnet ist. Untergeordnete Entitäten CAs werden in der Regel verwendet, um weitere untergeordnete Entitätszertifikate zu erstellen CAs oder Endentitätszertifikate für Benutzer, Computer und Anwendungen auszustellen.
**Anmerkung**
AWS Private CA bietet einen automatisierten Signaturprozess, wenn die übergeordnete Zertifizierungsstelle Ihrer untergeordneten Zertifizierungsstelle ebenfalls von gehostet wird. AWS Private CA Sie müssen lediglich die zu verwendende übergeordnete Zertifizierungsstelle auswählen.
Ihre untergeordnete Zertifizierungsstelle muss möglicherweise von einem externen Vertrauensdienstanbieter signiert werden. Falls ja, AWS Private CA stellt er Ihnen eine Certificate Signing Request (CSR) zur Verfügung, die Sie herunterladen und verwenden müssen, um ein signiertes CA-Zertifikat zu erhalten. Weitere Informationen finden Sie unter [Installieren Sie ein Zertifikat einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde](PCACertInstall.md#InstallSubordinateExternal).
1. Konfigurieren Sie unter **Optionen für den definierten Betreffnamen** den Betreffnamen Ihrer privaten Zertifizierungsstelle. Sie müssen einen Wert für mindestens eine der folgenden Optionen eingeben:
+ **Organisation (O)** — Zum Beispiel ein Firmenname
+ **Organisationseinheit (OU)** — Zum Beispiel eine Abteilung innerhalb eines Unternehmens
+ **Ländername (C)** — Ein aus zwei Buchstaben bestehender Ländercode
+ **Name des Bundesstaates oder der Provinz** — Vollständiger Name eines Bundesstaates oder einer Provinz
+ **Ortsname** — Der Name einer Stadt
+ **Allgemeiner Name (CN)** — Eine für Menschen lesbare Zeichenfolge zur Identifizierung der CA.
**Anmerkung**
Sie können den Betreffnamen eines Zertifikats weiter anpassen, indem Sie bei der Ausstellung eine APIPassthrough Vorlage verwenden. Weitere Informationen und ein ausführliches Beispiel finden Sie unter[Stellen Sie mithilfe einer APIPassthrough Vorlage ein Zertifikat mit einem benutzerdefinierten Betreffnamen aus](PcaIssueCert.md#custom-subject-1).
Da das Hintergrundzertifikat selbst signiert ist, sind die Betreffinformationen, die Sie für eine private Zertifizierungsstelle angeben, wahrscheinlich spärlicher als die Informationen, die eine öffentliche Zertifizierungsstelle enthalten würde. Weitere Informationen zu den einzelnen Werten, aus denen sich ein definierter Name für den Betreffenden zusammensetzt, finden Sie in [RFC](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4) 5280.
1. Wählen Sie unter **Optionen für den Schlüsselalgorithmus** den Schlüsselalgorithmus und die Stärke des Algorithmus aus. Der Standardwert ist RSA 2048. Sie können aus den folgenden Algorithmen wählen:
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P512
1. Unter **Zertifikatssperroptionen** können Sie zwischen zwei Methoden wählen, um den Sperrstatus mit Clients zu teilen, die Ihre Zertifikate verwenden:
+ **Aktivieren Sie die CRL-Verteilung**
+ **Schalten Sie OCSP ein**
Sie können eine, keine oder beide dieser Sperroptionen für Ihre CA konfigurieren. Der verwaltete Widerruf ist zwar optional, wird aber als [bewährte Methode](ca-best-practices.md) empfohlen. Bevor Sie diesen Schritt abschließen, finden Sie unter [Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten](revocation-setup.md) Informationen zu den Vorteilen der einzelnen Methoden, zur eventuell erforderlichen vorläufigen Einrichtung und zu zusätzlichen Sperrfunktionen.
**Anmerkung**
Wenn Sie Ihre Zertifizierungsstelle erstellen, ohne den Widerruf zu konfigurieren, können Sie sie jederzeit später konfigurieren. Weitere Informationen finden Sie unter [Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority](PCAUpdateCA.md).
Gehen Sie wie folgt vor, um die **Optionen für den Widerruf von Zertifikaten** zu konfigurieren.
1. Wählen Sie unter **Zertifikatssperroptionen** die Option **CRL-Verteilung aktivieren** aus.
1. Wählen Sie unter **S3-Bucket-URI** einen vorhandenen Bucket aus der Liste aus.
Wenn Sie einen vorhandenen Bucket angeben, müssen Sie sicherstellen, dass BPA für das Konto und den Bucket deaktiviert ist. Andernfalls schlägt der Vorgang zum Erstellen der CA fehl. Wenn die Zertifizierungsstelle erfolgreich erstellt wurde, müssen Sie ihr dennoch manuell eine Richtlinie hinzufügen, bevor Sie mit der Generierung beginnen können CRLs. Verwenden Sie eines der unter beschriebenen Richtlinienmuster[Zugriffsrichtlinien für CRLs in Amazon S3](crl-planning.md#s3-policies). Weitere Informationen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)
1. Erweitern Sie die **CRL-Einstellungen** für zusätzliche Konfigurationsoptionen.
+ Wählen Sie Partitionierung **aktivieren, um die Partitionierung** von zu aktivieren. CRLs Wenn Sie die Partitionierung nicht aktivieren, gilt für Ihre CA die maximale Anzahl von gesperrten Zertifikaten. Weitere Informationen finden Sie unter [AWS Private Certificate Authority -Kontingente](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). [Weitere Informationen zu partitionierten Dateien finden Sie unter CRLs CRL-Typen.](crl-planning.md#crl-type)
+ Fügen Sie einen **benutzerdefinierten CRL-Namen** hinzu, um einen Alias für Ihren Amazon S3 S3-Bucket zu erstellen. Dieser Name ist in Zertifikaten enthalten, die von der Zertifizierungsstelle in der Erweiterung „CRL Distribution Points“ ausgestellt wurden, die in RFC 5280 definiert ist. [Um CRLs over zu verwenden IPv6, setzen Sie dies auf den DualStack-S3-Endpunkt Ihres Buckets, wie unter Using over beschrieben. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Fügen Sie einen **benutzerdefinierten Pfad** hinzu, um einen DNS-Alias für den Dateipfad in Ihrem Amazon S3 S3-Bucket zu erstellen.
+ Geben Sie die **Gültigkeitsdauer in Tagen** ein, in der Ihre CRL gültig bleiben soll. Der Standardwert lautet 7 Tage. Im Online-Bereich CRLs ist eine Gültigkeitsdauer von 2-7 Tagen üblich. AWS Private CA versucht, die CRL in der Mitte des angegebenen Zeitraums zu regenerieren.
1. Wählen Sie für **Optionen zum Widerruf von Zertifikaten** die Option OCSP **einschalten** aus.
1. Im Feld **Benutzerdefinierter OCSP-Endpunkt *— optional*** können Sie einen vollqualifizierten Domainnamen (FQDN) für einen Nicht-Amazon-OCSP-Endpunkt angeben. [Um OCSP over zu verwenden IPv6, setzen Sie dieses Feld auf einen Dual-Stack-Endpunkt, wie unter OCSP Over verwenden beschrieben. IPv6](ocsp-customize.md#ocsp-ipv6)
Wenn Sie in diesem Feld einen FQDN angeben, wird der FQDN anstelle der Standard-URL für den *OCSP-Responder in die Authority Information Access-Erweiterung* jedes ausgestellten Zertifikats AWS Private CA eingefügt. AWS Wenn ein Endpunkt ein Zertifikat empfängt, das den benutzerdefinierten FQDN enthält, fragt er diese Adresse nach einer OCSP-Antwort ab. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:
+ Verwenden Sie einen Proxyserver, um den Datenverkehr, der bei Ihrem benutzerdefinierten FQDN eingeht, an den AWS OCSP-Responder weiterzuleiten.
+ Fügen Sie Ihrer DNS-Datenbank einen entsprechenden CNAME-Eintrag hinzu.
**Tipp**
Weitere Hinweise zur Implementierung einer vollständigen OCSP-Lösung mit einem benutzerdefinierten CNAME finden Sie unter. [Passen Sie die OCSP-URL an für AWS Private CA](ocsp-customize.md)
Hier ist zum Beispiel ein CNAME-Eintrag für benutzerdefiniertes OCSP, wie er in Amazon Route 53 erscheinen würde.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/create-CA.html)
**Anmerkung**
Der Wert des CNAME-Werts darf kein Protokollpräfix wie „http://“ oder „https://“ enthalten.
1. Unter **Tags hinzufügen** können Sie optional Ihre CA taggen. Tags sind Schlüssel-Wert-Paare, die als Metadaten zum Identifizieren und Organisieren von AWS -Ressourcen dienen. Eine Liste der AWS Private CA Tag-Parameter und Anweisungen zum Hinzufügen von Tags CAs nach der Erstellung finden Sie unter[Fügen Sie Tags für Ihre private CA hinzu](PcaCaTagging.md).
**Anmerkung**
Um während des Erstellungsvorgangs Tags an eine private CA anzuhängen, muss ein CA-Administrator der `CreateCertificateAuthority` Aktion zunächst eine Inline-IAM-Richtlinie zuordnen und das Tagging explizit zulassen. Weitere Informationen finden Sie unter [Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung](auth-InlinePolicies.md#tag-on-create).
1. Unter den **CA-Berechtigungsoptionen** können Sie optional automatische Verlängerungsberechtigungen an den AWS Certificate Manager Service Principal delegieren. ACM kann private Endentitätszertifikate, die von dieser CA generiert wurden, nur automatisch erneuern, wenn diese Berechtigung erteilt wird. Sie können jederzeit Verlängerungsberechtigungen mit dem AWS Private CA [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)API- oder [create-permission-CLI-Befehl](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) zuweisen.
Standardmäßig werden diese Berechtigungen aktiviert.
**Anmerkung**
AWS Certificate Manager unterstützt die automatische Verlängerung von kurzlebigen Zertifikaten nicht.
1. Bestätigen Sie unter **Preisgestaltung**, dass Sie die Preisgestaltung für eine private Zertifizierungsstelle verstanden haben.
**Anmerkung**
Die neuesten AWS Private CA Preisinformationen finden Sie unter [AWS Private Certificate Authority Preisgestaltung](https://aws.amazon.com/private-ca/pricing/). Sie können auch den [AWS Preisrechner](https://calculator.aws/#/createCalculator/certificateManager) verwenden, um die Kosten zu schätzen.
1. Wählen Sie **Create CA**, nachdem Sie alle eingegebenen Informationen auf Richtigkeit überprüft haben. Die Detailseite für die Zertifizierungsstelle wird geöffnet und ihr Status wird als **Ausstehendes Zertifikat** angezeigt.
**Anmerkung**
Wenn Sie sich auf der Detailseite befinden, können Sie die Konfiguration Ihrer Zertifizierungsstelle abschließen, indem Sie **Aktionen**, **CA-Zertifikat installieren** wählen. Sie können auch später zur Liste der **privaten Zertifizierungsstellen** zurückkehren und den Installationsvorgang abschließen, der für Ihren Fall gilt:
[Installieren Sie ein Root-CA-Zertifikat](PCACertInstall.md#InstallRoot)
[Installieren Sie ein untergeordnetes CA-Zertifikat, das von gehostet wird AWS Private CA](PCACertInstall.md#InstallSubordinateInternal)
[Installieren Sie ein Zertifikat einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
Verwenden Sie den Befehl [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html), um eine private CA zu erstellen. Sie müssen die CA-Konfiguration (mit Informationen zum Algorithmus und zum Betreffnamen), die Sperrkonfiguration (wenn Sie OCSP and/or als CRL verwenden möchten) und den Typ der Zertifizierungsstelle (Stamm oder untergeordnet) angeben. Die Details der Konfiguration und der Sperrkonfiguration sind in zwei Dateien enthalten, die Sie als Argumente für den Befehl angeben. Optional können Sie auch den CA-Nutzungsmodus (für die Ausstellung von Standard- oder kurzlebigen Zertifikaten) konfigurieren, Tags anhängen und ein Idempotenz-Token bereitstellen.
Wenn Sie eine CRL konfigurieren, müssen Sie über einen gesicherten Amazon S3 S3-Bucket verfügen, *bevor* Sie den **create-certificate-authority** Befehl ausgeben. Weitere Informationen finden Sie unter [Zugriffsrichtlinien für CRLs in Amazon S3](crl-planning.md#s3-policies).
Die CA-Konfigurationsdatei spezifiziert die folgenden Informationen:
+ Den Namen des Algorithmus
+ Die Schlüsselgröße, die beim Erstellen eines privaten Schlüssels für die CA verwendet werden soll
+ Die Art des Signaturalgorithmus, den die CA verwendet, um ihre eigenen Certificate Signing Request- CRLs und OCSP-Antworten zu signieren
+ X.500-Themeninformationen
Die Sperrkonfiguration für OCSP definiert ein `OcspConfiguration` Objekt mit den folgenden Informationen:
+ Das `Enabled` Flag ist auf „true“ gesetzt.
+ (Optional) Ein benutzerdefinierter CNAME, der als Wert für `OcspCustomCname` deklariert wurde.
Die Sperrkonfiguration für eine CRL definiert ein `CrlConfiguration` Objekt mit den folgenden Informationen:
+ Das auf „true“ gesetzte `Enabled` Flag.
+ Der CRL-Ablaufzeitraum in Tagen (der Gültigkeitszeitraum der CRL).
+ Der Amazon S3 S3-Bucket, der die CRL enthalten wird.
+ (Optional) Ein [ObjectAclS3-Wert](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl), der bestimmt, ob die CRL öffentlich zugänglich ist. In dem hier vorgestellten Beispiel ist der öffentliche Zugriff gesperrt. Weitere Informationen finden Sie unter [Aktivieren Sie S3 Block Public Access (BPA) mit CloudFront](crl-planning.md#s3-bpa).
+ (Optional) Ein CNAME-Alias für den S3-Bucket, der in den von der CA ausgestellten Zertifikaten enthalten ist. Wenn die CRL nicht öffentlich zugänglich ist, deutet dies auf einen Vertriebsmechanismus wie Amazon CloudFront hin.
+ (Optional) Ein `CrlDistributionPointExtensionConfiguration` Objekt mit den folgenden Informationen:
+ Die `OmitExtension` Markierung ist auf „wahr“ oder „falsch“ gesetzt. Dies steuert, ob der Standardwert für die CDP-Erweiterung in ein von der CA ausgestelltes Zertifikat geschrieben wird. Weitere Hinweise zur CDP-Erweiterung finden Sie unter. [Ermitteln des CRL Distribution Point (CDP) -URI](crl-planning.md#crl-url) A CustomCname kann nicht gesetzt werden, wenn OmitExtension es „wahr“ ist.
+ (Optional) Ein benutzerdefinierter Pfad für die CRL im S3-Bucket.
+ (Optional) Ein [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType)Wert, der bestimmt, ob die CRL vollständig oder partitioniert sein wird. Wenn nicht angegeben, wird die CRL standardmäßig auf abgeschlossen gesetzt.
**Anmerkung**
Sie können beide Sperrmechanismen auf derselben Zertifizierungsstelle aktivieren, indem Sie sowohl ein `OcspConfiguration` Objekt als auch ein `CrlConfiguration` Objekt definieren. Wenn Sie keinen **--revocation-configuration** Parameter angeben, sind beide Mechanismen standardmäßig deaktiviert. Wenn Sie später Unterstützung bei der Sperrvalidierung benötigen, finden Sie weitere Informationen unter[Aktualisierung einer CA (CLI)](PCAUpdateCA.md#ca-update-cli).
Im folgenden Abschnitt finden Sie CLI-Beispiele.
------
## CLI-Beispiele für die Erstellung einer privaten CA
Bei den folgenden Beispielen wird davon ausgegangen, dass Sie Ihr `.aws` Konfigurationsverzeichnis mit einer gültigen Standardregion, einem Endpunkt und Anmeldeinformationen eingerichtet haben. Informationen zur Konfiguration Ihrer AWS CLI Umgebung finden Sie unter [Einstellungen für Konfiguration und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html). Aus Gründen der besseren Lesbarkeit stellen wir in den Beispielbefehlen die CA-Konfiguration und die Sperreingabe als JSON-Dateien bereit. Ändern Sie die Beispieldateien nach Bedarf für Ihre Verwendung.
Alle Beispiele verwenden die folgende `ca_config.txt` Konfigurationsdatei, sofern nicht anders angegeben.
**Datei: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### Beispiel 1: Erstellen Sie eine CA mit aktiviertem OCSP
In diesem Beispiel aktiviert die Sperrdatei die standardmäßige OCSP-Unterstützung, die den AWS Private CA Responder verwendet, um den Zertifikatsstatus zu überprüfen.
**Datei: revoke\$1config.txt für OCSP**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der neuen CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### Beispiel 2: Erstellen Sie eine CA mit aktiviertem OCSP und einem benutzerdefinierten CNAME
In diesem Beispiel ermöglicht die Sperrdatei die benutzerdefinierte OCSP-Unterstützung. Der `OcspCustomCname` Parameter verwendet einen vollqualifizierten Domänennamen (FQDN) als Wert.
Wenn Sie in diesem Feld einen FQDN angeben, wird der FQDN anstelle der Standard-URL für den *OCSP-Responder in die Authority Information Access-Erweiterung* jedes ausgestellten Zertifikats AWS Private CA eingefügt. AWS Wenn ein Endpunkt ein Zertifikat empfängt, das den benutzerdefinierten FQDN enthält, fragt er diese Adresse nach einer OCSP-Antwort ab. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:
+ Verwenden Sie einen Proxyserver, um den Datenverkehr, der bei Ihrem benutzerdefinierten FQDN eingeht, an den AWS OCSP-Responder weiterzuleiten.
+ Fügen Sie Ihrer DNS-Datenbank einen entsprechenden CNAME-Eintrag hinzu.
**Tipp**
Weitere Hinweise zur Implementierung einer vollständigen OCSP-Lösung mit einem benutzerdefinierten CNAME finden Sie unter. [Passen Sie die OCSP-URL an für AWS Private CA](ocsp-customize.md)
Hier ist zum Beispiel ein CNAME-Eintrag für benutzerdefiniertes OCSP, wie er in Amazon Route 53 erscheinen würde.
****
| Datensatzname | Typ | Routing-Richtlinie | Unterscheidungsmerkmal | Bewerten/Weiterleiten des Datenverkehrs an |
| --- | --- | --- | --- | --- |
| alternative.example.com | CNAME | Einfach | - | proxy.example.com |
**Anmerkung**
Der Wert des CNAME-Werts darf kein Protokollpräfix wie „http://“ oder „https://“ enthalten.
**Datei: revoke\$1config.txt für OCSP**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### Beispiel 3: Erstellen Sie eine CA mit einer angehängten CRL
In diesem Beispiel definiert die Sperrkonfiguration CRL-Parameter.
**Datei: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### Beispiel 4: Erstellen Sie eine CA mit einer angehängten CRL und aktiviertem benutzerdefinierten CNAME
In diesem Beispiel definiert die Sperrkonfiguration CRL-Parameter, die einen benutzerdefinierten CNAME enthalten.
**Datei: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### Beispiel 5: Erstellen Sie eine CA und geben Sie den Nutzungsmodus an
In diesem Beispiel wird der CA-Nutzungsmodus bei der Erstellung einer CA angegeben. Falls nicht angegeben, ist der Parameter für den Verwendungsmodus standardmäßig auf GENERAL\$1PURPOSE voreingestellt. In diesem Beispiel ist der Parameter auf SHORT\$1LIVED\$1CERTIFICATE gesetzt, was bedeutet, dass die CA Zertifikate mit einer maximalen Gültigkeitsdauer von sieben Tagen ausstellt. In Situationen, in denen es unpraktisch ist, den Widerruf zu konfigurieren, läuft ein kurzlebiges Zertifikat, das kompromittiert wurde, im Rahmen des normalen Betriebs schnell ab. Folglich fehlt in dieser Beispielzertifizierungsstelle ein Sperrmechanismus.
**Anmerkung**
AWS Private CA führt keine Gültigkeitsprüfungen für Root-CA-Zertifikate durch.
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)Befehl in AWS CLI , um Details zur resultierenden Zertifizierungsstelle anzuzeigen, wie im folgenden Befehl dargestellt:
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### Beispiel 6: Erstellen Sie eine Zertifizierungsstelle für die Active Directory-Anmeldung
Sie können eine private Zertifizierungsstelle erstellen, die für die Verwendung im Enterprise NTAuth Store von Microsoft Active Directory (AD) geeignet ist und dort Kartenanmelde- oder Domänencontrollerzertifikate ausstellen kann. Informationen zum Importieren eines CA-Zertifikats in AD finden Sie unter [So importieren Sie Zertifikate von Drittanbieter-Zertifizierungsstellen (CA)](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store) in den Enterprise Store. NTAuth
Das Microsoft-Tool [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) kann verwendet werden, um CA-Zertifikate in AD zu veröffentlichen, indem die Option aufgerufen wird. **-dspublish** Einem mit Certutil in AD veröffentlichten Zertifikat wird in der gesamten Gesamtstruktur vertraut. Mithilfe von Gruppenrichtlinien können Sie das Vertrauen auch auf eine Teilmenge der gesamten Gesamtstruktur beschränken, z. B. auf eine einzelne Domäne oder eine Gruppe von Computern in einer Domäne. Damit die Anmeldung funktioniert, muss die ausstellende Zertifizierungsstelle ebenfalls im NTAuth Store veröffentlicht sein. Weitere Informationen finden Sie unter [Verteilen von Zertifikaten an Client-Computer mithilfe von Gruppenrichtlinien](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy).
In diesem Beispiel wird die folgende `ca_config_AD.txt` Konfigurationsdatei verwendet.
**Datei: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### Beispiel 7: Erstellen Sie eine Themen-CA mit angehängter CRL und ohne CDP-Erweiterung in ausgestellten Zertifikaten
Sie können eine private Zertifizierungsstelle erstellen, die für die Ausstellung von Zertifikaten für den Matter Smart Home-Standard geeignet ist. In diesem Beispiel `ca_config_PAA.txt` definiert die CA-Konfiguration eine Matter Product Attestation Authority (PAA) mit der Vendor-ID (VID) auf. FFF1
**Datei: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
Die Sperrkonfiguration aktiviert und konfiguriert die CA so CRLs, dass die Standard-CDP-URL in allen ausgestellten Zertifikaten weggelassen wird.
**Datei: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**Befehl**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Diese Beschreibung sollte den folgenden Abschnitt enthalten.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```