Ejemplos de AWS Private CA usando AWS CLI

Creación de un informe de auditoría de una entidad de certificación

Con el siguiente comando create-certificate-authority-audit-report, se crea un informe de auditoría para la entidad de certificación privada por el ARN.

aws acm-pca create-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-east-1:accountid:certificate-authority/12345678-1234-1234-1234-123456789012 --s3-bucket-name your-bucket-name --audit-report-response-format JSON

Creación de una entidad de certificación privada

Con el siguiente comando create-certificate-authority, se crea una entidad de certificación privada en la cuenta de AWS.

aws acm-pca create-certificate-authority --certificate-authority-configuration file://C:\ca_config.txt --revocation-configuration file://C:\revoke_config.txt --certificate-authority-type "SUBORDINATE" --idempotency-token 98256344

Eliminación de una entidad de certificación privada

Con el siguiente comando delete-certificate-authority, se elimina la entidad de certificación identificada por el ARN.

aws acm-pca delete-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

Descripción de un informe de auditoría de una entidad de certificación

Con el siguiente comando describe-certificate-authority-audit-report, se muestra información sobre el informe de auditoría especificado para la entidad de certificación identificada por el ARN.

aws acm-pca describe-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/99999999-8888-7777-6666-555555555555 --audit-report-id 11111111-2222-3333-4444-555555555555

Descripción de una entidad de certificación privada

Con el siguiente comando describe-certificate-authority, se muestra información sobre la entidad de certificación privada identificada por el ARN.

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

Recuperación del certificado de una entidad de certificación (CA)

Con el siguiente comando get-certificate-authority-certificate, se recupera el certificado y la cadena de certificados de la entidad de certificación privada especificada por el ARN:

aws acm-pca get-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

Recuperación de la solicitud de firma del certificado de una entidad de certificación

Con el siguiente comando get-certificate-authority-csr, se recupera el CSR de la entidad de certificación privada especificada por el ARN:

aws acm-pca get-certificate-authority-csr --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

Recuperación de un certificado emitido

En el siguiente ejemplo de get-certificate, se recupera un certificado de la entidad de certificación privada especificada.

aws acm-pca get-certificate \
    --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

Salida:

-----BEGIN CERTIFICATE-----
MIIEDzCCAvegAwIBAgIRAJuJ8f6ZVYL7gG/rS3qvrZMwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ....certificate body truncated for brevity....
tKCSglgZZrd4FdLw1EkGm+UVXnodwMtJEQyy3oTfZjURPIyyaqskTu/KSS7YDjK0
KQNy73D6LtmdOEbAyq10XiDxqY41lvKHJ1eZrPaBmYNABxU=
-----END CERTIFICATE---- -----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIRAOskdzLvcj1eShkoyEE693AwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ...certificate body truncated for brevity....
kdRGB6P2hpxstDOUIwAoCbhoaWwfA4ybJznf+jOQhAziNlRdKQRR8nODWpKt7H9w
dJ5nxsTk/fniJz86Ddtp6n8s82wYdkN3cVffeK72A9aTCOU=
-----END CERTIFICATE-----

La primera parte de la salida es el certificado en sí. La segunda parte es la cadena de certificados que se enlaza con el certificado raíz de la entidad de certificación. Tenga en cuenta que, al utilizar la opción --output text, se inserta un carácter TAB entre las dos partes del certificado (esa es la causa del texto con sangría). Si pretende utilizar esta salida y analizar los certificados con otras herramientas, puede que tenga que eliminar el carácter TAB para que se procese correctamente.

Importación del certificado de la entidad de certificación en ACM PCA

Con el siguiente comando import-certificate-authority-certificate, se importa en ACM PCA el certificado de la entidad de certificación privada firmado para la entidad de certificación especificada por el ARN.

aws acm-pca import-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate file://C:\ca_cert.pem --certificate-chain file://C:\ca_cert_chain.pem

Emisión de un certificado privado

Con el siguiente comando issue-certificate, se utiliza la entidad de certificación privada especificada por el ARN para emitir un certificado privado.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234

Generación de una lista de las autoridades de certificación privadas

Con el siguiente comando list-certificate-authorities, se ofrece la siguiente información sobre todas las entidades de certificación privadas en la cuenta.

aws acm-pca list-certificate-authorities --max-results 10

Generación de una lista de las etiquetas de la entidad de certificación

Con el siguiente comando list-tags, se muestran las etiquetas asociadas a la entidad de certificación privada especificada por el ARN.

aws acm-pca list-tags --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/123455678-1234-1234-1234-123456789012 --max-results 10

Revocación de un certificado privado

Con el siguiente comando revoke-certificate, se revoca un certificado privado de la entidad de certificación identificada por el ARN.

aws acm-pca revoke-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:1234567890:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-serial 67:07:44:76:83:a9:b7:f4:05:56:27:ff:d5:5c:eb:cc --revocation-reason "KEY_COMPROMISE"

Asociación de etiquetas a una autoridad de certificación privada

Con el siguiente comando tag-certificate-authority, se asocian una o varias etiquetas a una entidad de certificación privada.

aws acm-pca tag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice

Eliminación de una o varias etiquetas de una entidad de certificación privada

Con el siguiente comando untag-certificate-authority, se eliminan etiquetas de la entidad de certificación privada identificada por el ARN.

aws acm-pca untag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Purpose,Value=Website

Actualización de la configuración de la entidad de certificación privada

Con el siguiente comando update-certificate-authority, se actualiza el estado y la configuración de la entidad de certificación privada identificada por el ARN.

aws acm-pca update-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-1232456789012 --revocation-configuration file://C:\revoke_config.txt --status "DISABLED"