Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cree una CA privada en AWS Private CA
Puede usar los procedimientos de esta sección para crear una raíz CAs o una subordinadaCAs, lo que dará como resultado una jerarquía auditable de relaciones de confianza que se ajuste a las necesidades de su organización. Puede crear una CA utilizando la AWS Management Console, la PCA parte de AWS CLI, o. AWS CloudFormation
Para obtener información sobre la actualización de la configuración de una CA que ya ha creado, consulte Actualice una CA privada en AWS Private Certificate Authority.
Para obtener información sobre el uso de una entidad de certificación para firmar certificados de entidad final para los usuarios, dispositivos y aplicaciones, consulte Emita certificados privados de entidad final.
nota
A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea.
Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios
CLIejemplos de creación de una CA privada
En los ejemplos siguientes se supone que ha configurado el directorio de configuración .aws
con una región, un punto de conexión y unas credenciales predeterminados válidos. Para obtener información sobre la configuración del AWS CLI entorno, consulte Ajustes de configuración y archivos de credenciales. Para facilitar la lectura, en los comandos de ejemplo proporcionamos la entrada de configuración y revocación de la CA en JSON forma de archivos. Modifique los archivos de ejemplo según sea necesario para su uso.
Todos los ejemplos utilizan el siguiente archivo de configuración ca_config.txt
a menos que se indique lo contrario.
Archivo: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Ejemplo 1: Crear una CA con activado OCSP
En este ejemplo, el archivo de revocación habilita el OCSP soporte predeterminado, que utiliza el Autoridad de certificación privada de AWS respondedor para comprobar el estado del certificado.
Archivo: revoke_config.txt para OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la nueva CA.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Ejemplo 2: Crear una CA con OCSP y una CNAME habilitada de forma personalizada
En este ejemplo, el archivo de revocación permite una OCSP asistencia personalizada. El OcspCustomCname
parámetro toma como valor un nombre de dominio completo (FQDN).
Si introduce un valor FQDN en este campo, lo Autoridad de certificación privada de AWS inserta FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar del valor predeterminado URL para el AWS OCSP respondedor. Cuando un terminal recibe un certificado que contiene el certificado personalizadoFQDN, consulta esa dirección para obtener una OCSP respuesta. Para que este mecanismo funcione, debe realizar dos acciones adicionales:
-
Usa un servidor proxy para reenviar el tráfico que llegue a tu cliente personalizado FQDN al AWS OCSP respondedor.
-
Agregue el CNAME registro correspondiente a su DNS base de datos.
sugerencia
Para obtener más información sobre la implementación de una OCSP solución completa mediante una solución personalizadaCNAME, consultePersonalice OCSP URL para AWS Private CA.
Por ejemplo, este es un CNAME registro personalizado OCSP tal y como aparecería en Amazon Route 53.
Nombre del registro | Tipo | Política de direccionamiento | Diferenciador | Valor/ruta de destino del tráfico |
---|---|---|---|---|
alternative.example.com |
CNAME | Sencillez | - | proxy.example.com |
nota
El valor de no CNAME debe incluir un prefijo de protocolo como «http://» o «https://».
Archivo: revoke_config.txt para OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Ejemplo 3: Crear una CA con una entidad emisora adjunta CRL
En este ejemplo, la configuración de revocación define CRL los parámetros.
Archivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
Ejemplo 4: Crear una CA con una entidad asociada CRL y una CNAME habilitada de forma personalizada
En este ejemplo, la configuración de revocación define CRL los parámetros que incluyen una personalizaciónCNAME.
Archivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
Ejemplo 5: crear una CA y especificar el modo de uso
En este ejemplo, el modo de uso de la CA se especifica al crear una CA. Si no se especifica, el parámetro del modo de uso se establece de forma predeterminada en _. GENERAL PURPOSE En este ejemplo, el parámetro se establece en SHORT _ LIVED _CERTIFICATE, lo que significa que la CA emitirá certificados con un período de validez máximo de siete días. En situaciones en las que no es conveniente configurar la revocación, un certificado de corta duración que se haya visto comprometido caduca rápidamente como parte de las operaciones normales. En consecuencia, este ejemplo de CA carece de un mecanismo de revocación.
nota
Autoridad de certificación privada de AWS no comprueba la validez de los certificados de CA raíz.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Utilice el describe-certificate-authoritycomando de AWS CLI para mostrar detalles sobre la CA resultante, como se muestra en el siguiente comando:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Ejemplo 6: crear una CA para iniciar sesión en Active Directory
Puede crear una CA privada adecuada para su uso en el NTAuth almacén empresarial de Microsoft Active Directory (AD), donde podrá emitir certificados de inicio de sesión con tarjeta o de controlador de dominio. Para obtener información sobre la importación de un certificado de CA a AD, consulte Cómo importar certificados de entidades emisoras de certificados (CA) de terceros
La herramienta certutil
Este ejemplo usa el siguiente archivo de configuración ca_config_AD.txt
.
Archivo: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Ejemplo 7: Cree una CA de Matter con una CDP extensión adjunta CRL y omitida en los certificados emitidos
Puede crear una CA privada adecuada para emitir certificados para el estándar de hogares inteligentes Matter. En este ejemplo, la configuración de CA ca_config_PAA.txt
define una autoridad de certificación de productos de Matter (PAA) con el identificador de proveedor (VID) establecido en. FFF1
Archivo: ca_config_ .txt PAA
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
La configuración de revocación habilita CRLs y configura la CA para omitir el valor predeterminado en todos los certificados emitidos. CDP URL
Archivo: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Utilice el siguiente comando para inspeccionar la configuración de su CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esta descripción debe contener la siguiente sección.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...