Certificados de CA privados firmados externamente - AWS Private Certificate Authority

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Certificados de CA privados firmados externamente

Si la raíz de confianza de su jerarquía de entidad de certificación privada debe ser una entidad de certificación fuera de Autoridad de certificación privada de AWS, puede crear y autofirmar su propia entidad de certificación raíz. Alternativamente, puede obtener un certificado de entidad de certificación privada firmado por una entidad de certificación privada externa operada por su organización. Independientemente de la fuente, utilice esta entidad de certificación obtenida externamente para firmar un certificado de entidad de certificación subordinado privado que administre Autoridad de certificación privada de AWS.

nota

Los procedimientos para crear u obtener una entidad de certificación externa están fuera del alcance de esta guía.

El uso de una CA principal externa con Autoridad de certificación privada de AWS permite aplicar las restricciones de nombres de las CA tal como se definen en la sección Restricciones de nombres de la RFC 5280. Las restricciones proporcionan una forma para que los administradores de entidades de certificación restrinjan los nombres de asunto en los certificados.

Si tiene previsto firmar un certificado de CA subordinada privada con una CA externa, debe realizar tres tareas antes de tener una CA en funcionamiento en Autoridad de certificación privada de AWS:

  1. Genere una solicitud de firma de certificado (CSR).

  2. Envíe la CSR a su autoridad de firma externa y obtenga un certificado firmado y un certificado en cadena.

  3. Instale un certificado firmado en Autoridad de certificación privada de AWS.

Los siguientes procedimientos describen cómo completar estas tareas utilizando el AWS Management Console o el AWS CLI.

Para obtener e instalar un certificado de CA firmado externamente (consola)

  1. (Opcional) Si aún no se encuentra en la página de detalles de la CA, abra la consola de Autoridad de certificación privada de AWS en https://console.aws.amazon.com/acm-pca/home. En la página de autoridades de certificación privadas, elija una CA raíz con el estado Certificado pendiente, Activo, Deshabilitado o Caducado.

  2. Seleccione Acciones, Instalar el certificado de CA para abrir la página Instalación del certificado de CA subordinado.

  3. En la página Instalar un certificado de CA subordinado, en Seleccionar el tipo de CA, elija CA privada externa.

  4. En CSR para esta CA, la consola muestra el texto ASCII de la CSR codificado en Base64. Puede copiar el texto con el botón Copiar o puede seleccionar Exportar CSR a un archivo y guardarlo localmente.

    nota

    Al copiar y pegar, se debe conservar el formato exacto del texto de la CSR.

  5. Si no puede realizar inmediatamente los pasos necesarios sin conexión para obtener un certificado firmado por la autoridad firmante externa, puede cerrar la página y volver a ella una vez que disponga de un certificado firmado y de una cadena de certificados.

    De lo contrario, si está preparado, realice una de las siguientes acciones:

    • Pegue el texto ASCII codificado en Base64 del cuerpo del certificado y de la cadena de certificados en sus respectivos cuadros de texto.

    • Seleccione Cargar para cargar el cuerpo del certificado y la cadena de certificados de los archivos locales en sus cuadros de texto respectivos.

  6. Seleccione Confirmar e instalar.

Para obtener e instalar un certificado de CA firmado externamente (CLI)

  1. Utilice el get-certificate-authority-csrcomando para recuperar la solicitud de firma de certificado (CSR) de su CA privada. Si desea enviar la CSR a la pantalla, utilice la opción --output text para eliminar los caracteres CR/LF al final de cada línea. Para enviar la CSR a un archivo, utilice la opción de redirección (>) seguida del nombre de archivo. 

    $ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text

    Tras guardar una CSR como archivo local, puede inspeccionarla mediante el siguiente comando de OpenSSL: 

    openssl req -in path_to_CSR_file -text -noout

    Este comando genera un resultado similar al siguiente. Observe que la extensión de entidad de certificación es TRUE, lo que indica que la CSR es para un certificado de entidad de certificación. 

    Certificate Request:
Data:
Version: 0 (0x0)
Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
        Public-Key: (2048 bit)
        Modulus:
            00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
            1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
            7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
            c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
            ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
            46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
            f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
            38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
            b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
            a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
            a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
            b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
            1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
            8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
            14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
            3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
            68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
            f6:27
        Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
    X509v3 Basic Constraints:
        CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
 c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
 a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
 ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
 ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
 de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
 ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
 f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
 d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
 d1:83:66:40

  2. Envíe la CSR a su autoridad de firma externa y obtenga los archivos que contienen el certificado firmado codificado en Base64 con formato PEM y la cadena del certificado.

  3. Utilice el import-certificate-authority-certificatecomando para importar el archivo de certificado de CA privado y el archivo en Autoridad de certificación privada de AWS cadena.

    $ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://C:\example_ca_cert.pem \
--certificate-chain file://C:\example_ca_cert_chain.pem