Procedimiento para crear una CA (CLI) - AWS Private Certificate Authority
Ejemplo 1: crear una CA con OCSP activadoEjemplo 2: crear una CA con OCSP activado y un CNAME personalizado y habilitadoEjemplo 3: crear una CA con una CRL asociadaEjemplo 4: crear una CA con una CRL asociada y un CNAME personalizado y habilitadoEjemplo 5: crear una CA y especificar el modo de usoEjemplo 6: crear una CA para iniciar sesión en Active DirectoryEjemplo 7: Cree una CA de Matter con una CRL adjunta y la extensión CDP omitida en los certificados emitidos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Procedimiento para crear una CA (CLI)

Utilice el comando create-certificate-authority para crear una CA privada. Debe especificar la configuración de la CA (que contiene información sobre el algoritmo y el nombre del asunto), la configuración de revocación (si planea utilizar el OCSP o una CRL) y el tipo de CA (raíz o subordinada). Los detalles de la configuración y la revocación se incluyen en dos archivos que se proporcionan como argumentos al comando. Si lo desea, también puede configurar el modo de uso de la CA (para emitir certificados estándar o de corta duración), adjuntar etiquetas y proporcionar un token de idempotencia.

Si está configurando una CRL, debe disponer de un bucket de Amazon S3 seguro antes de ejecutar el comando de create-certificate-authority. Para obtener más información, consulte Políticas de acceso para las CRL en Amazon S3 .

El archivo de configuración de la CA determina la siguiente información:

  • El nombre del algoritmo

  • El tamaño de la clave que se va a utilizar para crear la clave privada de CA

  • El tipo de algoritmo de firma que la CA utiliza para firmar

  • La información del sujeto de X.500

La configuración de revocación de OCSP define un objeto de OcspConfiguration con la siguiente información:

  • Establezca la marca Enabled en “true”.

  • (Opcional) Un CNAME personalizado declarado como valor para OcspCustomCname.

La configuración de revocación de una CRL define un objeto de CrlConfiguration con la siguiente información:

  • Establezca la marca Enabled en “true”.

  • El periodo de caducidad de la CRL en días (periodo de validez de la CRL).

  • El bucket de Amazon S3 que contendrá la CRL.

  • (Opcional) Un ObjectAcl valor de S3 que determina si la CRL es de acceso público. En el ejemplo que se presenta aquí, el acceso público está bloqueado. Para obtener más información, consulte Habilitar el acceso público en bloque (BPA) de S3 con CloudFront.

  • (Opcional) Un alias CNAME para el bucket de S3 que se va a incluir en los certificados de la CA. Si la CRL no es de acceso público, apuntará a un mecanismo de distribución como Amazon CloudFront.

  • (Opcional) Un CrlDistributionPointExtensionConfiguration objeto con la siguiente información:

    • El OmitExtension indicador está establecido en «verdadero» o «falso». Esto controla si el valor predeterminado de la extensión CDP se escribirá en un certificado emitido por la CA. Para obtener más información sobre la extensión CDP, consulte. Determinar el URI del punto de distribución CRL (CDP) CustomCname No se puede establecer A si OmitExtension es «verdadero».

nota

Puede habilitar ambos mecanismos de revocación en la misma CA definiendo tanto un objeto OcspConfiguration como un objeto CrlConfiguration. Si no proporciona ningún parámetro --revocation-configuration, ambos mecanismos están deshabilitados de forma predeterminada. Si necesita soporte para la validación de la revocación más adelante, consulte Actualizar una CA (CLI).

En los ejemplos siguientes se supone que ha configurado el directorio de configuración .aws con una región, un punto de conexión y unas credenciales predeterminados válidos. Para obtener información sobre la configuración del AWS CLI entorno, consulte Ajustes de configuración y archivos de credenciales. Para facilitar la lectura, en los comandos de ejemplo proporcionamos la entrada de configuración y revocación de la CA como archivos JSON. Modifique los archivos de ejemplo según sea necesario para su uso.

Todos los ejemplos utilizan el siguiente archivo de configuración ca_config.txt a menos que se indique lo contrario.

Archivo: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Ejemplo 1: crear una CA con OCSP activado

En este ejemplo, el archivo de revocación habilita la compatibilidad predeterminada con OCSP, que utiliza el Autoridad de certificación privada de AWS respondedor para comprobar el estado del certificado.

Archivo: revoke_config.txt para OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la nueva CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Ejemplo 2: crear una CA con OCSP activado y un CNAME personalizado y habilitado

En este ejemplo, el archivo de revocación permite la compatibilidad personalizada con OCSP. El parámetro OcspCustomCname toma un nombre de dominio completo (FQDN) como valor.

Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar de la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

  • Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS

  • Agregue el registro CNAME correspondiente a su base de datos DNS.

sugerencia

Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte Configuración de una URL personalizada para OCSP de Autoridad de certificación privada de AWS.

Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.

Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico

alternative.example.com

 CNAME Sencillez - proxy.example.com
nota

El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.

Archivo: revoke_config.txt para OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Ejemplo 3: crear una CA con una CRL asociada

En este ejemplo, la configuración de revocación define los parámetros de la CRL.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET"
   },
   ...
}

Ejemplo 4: crear una CA con una CRL asociada y un CNAME personalizado y habilitado

En este ejemplo, la configuración de revocación define los parámetros de la CRL que incluye un CNAME personalizado.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
   ...
   }
}

Ejemplo 5: crear una CA y especificar el modo de uso

En este ejemplo, el modo de uso de la CA se especifica al crear una CA. Si no se especifica, el parámetro del modo de uso se establece de forma predeterminada en GENERAL_PURPOSE. En este ejemplo, el parámetro se establece en SHORT_LIVED_CERTIFICATE, lo que significa que la CA emitirá certificados con un período de validez máximo de siete días. En situaciones en las que no es conveniente configurar la revocación, un certificado de corta duración que se haya visto comprometido caduca rápidamente como parte de las operaciones normales. En consecuencia, este ejemplo de CA carece de un mecanismo de revocación.

nota

Autoridad de certificación privada de AWS no comprueba la validez de los certificados de CA raíz.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilice el describe-certificate-authoritycomando de AWS CLI para mostrar detalles sobre la CA resultante, como se muestra en el siguiente comando:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Ejemplo 6: crear una CA para iniciar sesión en Active Directory

Puede crear una CA privada adecuada para su uso en el almacén Enterprise NTauth de Microsoft Active Directory (AD), donde puede emitir certificados de inicio de sesión con tarjeta o de controlador de dominio. Para obtener información sobre la importación de un certificado de CA a AD, consulte Cómo importar certificados de entidades de certificación (CA) de terceros al almacén Enterprise NTauth.

La herramienta certutil de Microsoft se puede utilizar para publicar certificados de CA en AD invocando la opción -dspublish. Un certificado publicado en AD con certutil es de confianza en todo el bosque. Con la política de grupo, también puede limitar la confianza a un subconjunto de todo el bosque, por ejemplo, a un único dominio o a un grupo de computadoras de un dominio. Para que el inicio de sesión funcione, la CA emisora también debe estar publicada en el almacén de NTauth. Para obtener más información, consulte Distribuir certificados a computadoras de clientes mediante la política de grupo.

Este ejemplo usa el siguiente archivo de configuración ca_config_AD.txt.

Archivo: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Ejemplo 7: Cree una CA de Matter con una CRL adjunta y la extensión CDP omitida en los certificados emitidos

Puede crear una entidad de certificación privada adecuada para emitir certificados para el estándar de hogares inteligentes Matter. En este ejemplo, la configuración de CA ca_config_PAA.txt define una autoridad de certificación de productos (PAA) de Matter con el identificador de proveedor (VID) establecido en FFF1.

Archivo: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuración de revocación habilita las CRL y configura la CA para que omita la URL de CDP predeterminada de todos los certificados emitidos.

Archivo: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...