Creación e instalación del certificado para una CA - AWS Private Certificate Authority
Algoritmos de firma compatiblesSi está instalando un certificado de CA raízInstalación de un certificado de CA subordinado hospedado por Autoridad de certificación privada de AWSInstalación de un certificado de entidad de certificación subordinada firmado por una entidad de certificación principal externa

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación e instalación del certificado para una CA

Complete los siguientes procedimientos para crear e instalar el certificado de entidad de certificación privado. A continuación, su entidad de certificación estará lista para su uso.

Autoridad de certificación privada de AWS admite tres escenarios para instalar un certificado de CA:

  • Instalación de un certificado para una CA raíz alojada por Autoridad de certificación privada de AWS

  • Instalación de un certificado de entidad de certificación subordinada cuya autoridad principal está alojada por Autoridad de certificación privada de AWS

  • Instalación de un certificado de entidad de certificación subordinada cuya autoridad principal está alojada externamente

En las secciones siguientes se describen los procedimientos para cada supuesto. Los procedimientos de la consola comienzan en la página de la consola Entidades de certificación privadas.

Algoritmos de firma compatibles

La compatibilidad con los algoritmos de firma de los certificados de CA depende del algoritmo de firma de la CA principal y del Región de AWS. Las siguientes restricciones se aplican tanto a la consola como a las AWS CLI operaciones.

  • Una entidad de certificación principal con el algoritmo de firma RSA puede emitir certificados con los siguientes algoritmos:

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • En el pasado Región de AWS, una entidad emisora de certificados principal con el algoritmo de firma EDCSA podía emitir certificados con los siguientes algoritmos:

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    Los sistemas heredados incluyen Regiones de AWS :

    Nombres de las regiones

    Ubicación geográfica

    eu-north-1

    Europa (Estocolmo)

    me-south-1

    Medio Oriente (Baréin)

    ap-south-1

    Asia-Pacífico (Bombay)

    eu-west-3

    Europa (París)

    us-east-2

    Este de EE. UU. (Ohio)

    af-south-1

    África (Ciudad del Cabo)

    eu-west-1

    Europa (Irlanda)

    eu-central-1

    Europa (Fráncfort)

    sa-east-1

    América del Sur (São Paulo)

    ap-east-1

    Asia-Pacífico (Hong Kong)

    us-east-1

    Este de EE. UU. (Norte de Virginia)

    ap-northeast-2

    Asia-Pacífico (Seúl)

    eu-west-2

    Europa (Londres)

    ap-northeast-1

    Asia-Pacífico (Tokio)

    us-gov-east-1

    AWS GovCloud (Este de EE. UU.)

    us-gov-west-1

    AWS GovCloud (Estados Unidos-Oeste)

    us-west-2

    Oeste de EE. UU. (Oregón)

    us-west-1

    Oeste de EE. UU. (Norte de California)

    ap-southeast-1

    Asia-Pacífico (Singapur)

    ap-southeast-2

    Asia-Pacífico (Sídney)

  • En el caso de una entidad no heredada Región de AWS, se aplican las siguientes reglas a la EDCSA:

    • Una entidad de certificación principal con el algoritmo de firma EC_prime256v1 puede emitir certificados con el ECDSA P256.

    • Una entidad de certificación principal con el algoritmo de firma EC_secp384r1 puede emitir certificados con el ECDSA P384.

Si está instalando un certificado de CA raíz

Puede instalar un certificado de CA raíz desde o desde. AWS Management Console AWS CLI

Para crear e instalar un certificado para su entidad de certificación raíz privada (consola)

  1. (Opcional) Si aún no se encuentra en la página de detalles de la CA, abra la consola de Autoridad de certificación privada de AWS en https://console.aws.amazon.com/acm-pca/home. En la página de autoridades de certificación privadas, elija una CA raíz con el estado Certificado pendiente o Activo.

  2. Seleccione Acciones, Instalar el certificado de CA para abrir la página Instalación del certificado de CA raíz.

  3. En la sección Especifique los parámetros del certificado de CA raíz, especifique los siguientes parámetros de certificado:

    • Validez: especifica la fecha y la hora de caducidad del certificado de CA. El período de validez Autoridad de certificación privada de AWS predeterminado de un certificado de CA raíz es de 10 años.

    • Algoritmo de firma: especifica el algoritmo de firma que se utilizará cuando la CA raíz emita nuevos certificados. Las opciones disponibles varían en función del Región de AWS lugar en el que se cree la CA. Para obtener más informaciónAlgoritmos de firma compatibles, consulteAlgoritmos criptográficos compatibles, y SigningAlgorithmen CertificateAuthorityConfiguration.

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    Revise la configuración para comprobar que es correcta y, a continuación, seleccione Confirmar e instalar. Autoridad de certificación privada de AWS exporta una CSR para su entidad emisora de certificados, genera un certificado mediante una plantilla de certificado de entidad emisora raíz y firma automáticamente el certificado. Autoridad de certificación privada de AWS a continuación, importa el certificado de CA raíz autofirmado.

  4. La página de detalles de la CA muestra el estado de la instalación (éxito o error) en la parte superior. Si la instalación se realizó correctamente, la entidad de certificación raíz recién completada muestra el estado Activo en el panel General.

Para crear e instalar un certificado para su entidad de certificación raíz privada (AWS CLI)

  1. Genere una solicitud de firma de certificado (CSR).

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    El archivo resultante ca.csr, un archivo PEM codificado en formato base64, tiene el siguiente aspecto.

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    Puede usar OpenSSL para ver y verificar el contenido de la CSR.

    openssl req -text -noout -verify -in ca.csr

    Su resultado es similar al siguiente.

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. Utilice la CSR del paso anterior como argumento para el parámetro --csr y emita el certificado raíz.

    nota

    Si utiliza la AWS CLI versión 1.6.3 o posterior, utilice el prefijo fileb:// al especificar el archivo de entrada necesario. Esto garantiza que analice correctamente los Autoridad de certificación privada de AWS datos codificados en Base64.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. Recupere el certificado de raíz.

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    El archivo resultante cert.pem, un archivo PEM codificado en formato base64, tiene el siguiente aspecto.

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Puede usar OpenSSL para ver y verificar el contenido del certificado.

    openssl x509 -in cert.pem -text -noout

    Su resultado es similar al siguiente.

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. Importe el certificado de CA raíz para instalarlo en la CA.

    nota

    Si utiliza la AWS CLI versión 1.6.3 o posterior, utilice el prefijo fileb:// al especificar el archivo de entrada necesario. Esto garantiza que analice correctamente los Autoridad de certificación privada de AWS datos codificados en Base64.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

Inspeccione el nuevo estado de la CA.

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

El estado ahora aparece como ACTIVO.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "DOC-EXAMPLE-BUCKET1"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Instalación de un certificado de CA subordinado hospedado por Autoridad de certificación privada de AWS

Puede usarlo AWS Management Console para crear e instalar un certificado para su CA Autoridad de certificación privada de AWS subordinada alojada.

Para crear e instalar un certificado para la CA Autoridad de certificación privada de AWS subordinada alojada

  1. (Opcional) Si aún no se encuentra en la página de detalles de la CA, abra la consola de Autoridad de certificación privada de AWS en https://console.aws.amazon.com/acm-pca/home. En la página Autoridades de certificación privadas, elija una CA raíz con el estado Certificado pendiente o Activo.

  2. Seleccione Acciones, Instalar el certificado de CA para abrir la página Instalación del certificado de CA subordinado.

  3. En la página Instalar un certificado de CA subordinado, en Seleccione el tipo de CA, elija AWS Private CAinstalar un certificado gestionado por. Autoridad de certificación privada de AWS

  4. En Seleccionar la CA principal, elija una CA de la lista de CA privada principal. La lista se filtra para mostrar las CA que cumplen los siguientes criterios:

    • Debe tener permisos para usar la CA.

    • La CA no firmaría sola.

    • La CA está en el estado ACTIVE.

    • El modo CA es GENERAL_PURPOSE.

  5. En la sección Especifique los parámetros del certificado de entidad de certificación subordinada, especifique los siguientes parámetros de certificado:

    • Validez: especifica la fecha y la hora de caducidad del certificado de CA.

    • Algoritmo de firma: especifica el algoritmo de firma que se utilizará cuando la CA raíz emita nuevos certificados. Las opciones son:

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • Longitud de la ruta: número de capas de confianza que la CA subordinada puede añadir al firmar nuevos certificados. Una longitud de ruta de cero (el valor predeterminado) significa que solo se pueden crear certificados y no certificados de CA. Una longitud de ruta de uno o más significa que la entidad de certificación subordinada puede emitir certificados para crear entidades de certificación adicionales subordinadas a ella.

    • ARN de plantilla: muestra el ARN de la plantilla de configuración de este certificado de CA. La plantilla cambia si cambia la longitud de ruta especificada. Si crea un certificado mediante el comando issue-certificate de la CLI o la IssueCertificateacción de la API, debe especificar el ARN manualmente. Para obtener información sobre las plantillas de certificados de CA disponibles, consulte Descripción de las plantillas de certificados.

  6. Revise la configuración para comprobar que es correcta y, a continuación, seleccione Confirmar e instalar. Autoridad de certificación privada de AWS exporta una CSR, genera un certificado mediante una plantilla de certificado de CA subordinada y lo firma con la CA principal seleccionada. Autoridad de certificación privada de AWS a continuación, importa el certificado de CA subordinada firmado.

  7. La página de detalles de la CA muestra el estado de la instalación (éxito o error) en la parte superior. Si la instalación se realizó correctamente, la CA subordinada recién completada muestra el estado Activo en el panel General.

Instalación de un certificado de entidad de certificación subordinada firmado por una entidad de certificación principal externa

Tras crear una CA privada subordinada, tal como se describe en Procedimiento para crear una CA (consola) o Procedimiento para crear una CA (CLI) , tiene la opción de activarla instalando un certificado de CA firmado por una autoridad de firma externa. Para firmar su certificado de CA subordinada con una CA externa, primero debe configurar un proveedor de servicios de confianza externo como autoridad de firma o disponer el uso de un proveedor externo.

nota

Los procedimientos para crear u obtener una entidad de certificación externa están fuera del alcance de esta guía.

Una vez que haya creado una CA subordinada y tenga acceso a una autoridad de firma externa, complete las siguientes tareas:

  1. Obtenga una solicitud de firma de certificado (CSR) de. Autoridad de certificación privada de AWS

  2. Envíe la CSR a su autoridad de firma externa y obtenga un certificado de CA firmado junto con cualquier certificado en cadena.

  3. Importe el certificado y la cadena de CA Autoridad de certificación privada de AWS para activar su CA subordinada.

Para obtener procedimientos detallados, consulte Certificados de CA privados firmados externamente .