Cree una CA privada en AWS Private CA

Puede usar los procedimientos de esta sección para crear una raíz CAs o una subordinadaCAs, lo que dará como resultado una jerarquía auditable de relaciones de confianza que se ajuste a las necesidades de su organización. Puede crear una CA utilizando la AWS Management Console, la PCA parte de AWS CLI, o. AWS CloudFormation

Para obtener información sobre la actualización de la configuración de una CA que ya ha creado, consulte Actualice una CA privada en AWS Private Certificate Authority.

Para obtener información sobre el uso de una entidad de certificación para firmar certificados de entidad final para los usuarios, dispositivos y aplicaciones, consulte Emita certificados privados de entidad final.

nota

A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea.

Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.

Temas

CLIejemplos de creación de una CA privada

Console

Para crear una entidad de certificación privada con la consola de

Utilice los siguientes pasos para crear una CA privada mediante la AWS Management Console.

Para comenzar a utilizar la consola

Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola enhttps://console.aws.amazon.com/acm-pca/home.
- Si vas a abrir la consola en una región en la que no tienes información privadaCAs, aparecerá la página de introducción. Elija Crear una CA privada.
- Si va a abrir la consola en una región en la que ya ha creado una CA, se abrirá la página de autoridades de certificación privadas con una lista de las suyasCAs. Seleccione Crear CA.
En Opciones de modo, elija el modo de caducidad de los certificados que emite su CA.
- Uso general: emite certificados que se pueden configurar con cualquier fecha de caducidad. Esta es la opción predeterminada.
- Certificado de corta duración: emite certificados con un período de validez máximo de siete días. Un período de validez breve puede sustituir en algunos casos a un mecanismo de revocación.
En la sección Tipo de opciones de la consola, seleccione el tipo de entidad de certificación privada que desea crear.
- Al elegir Raíz, se establece una nueva jerarquía de entidades de certificación. Esta entidad de certificación está respaldada por un certificado autofirmado. Actúa como la autoridad de firma definitiva para otros certificados CAs y para los de la entidad final de la jerarquía.
- Al elegir una Subordinada se crea una entidad de certificación que debe estar firmada por una entidad de certificación (CA) principal encima de ella en la jerarquía. Los certificados subordinados se CAs utilizan normalmente para crear otros certificados subordinados CAs o para emitir certificados de entidad final a usuarios, ordenadores y aplicaciones.
  
  nota
  Autoridad de certificación privada de AWS proporciona un proceso de firma automatizado cuando la CA principal de la CA subordinada también está alojada en. Autoridad de certificación privada de AWS Todo lo que tiene que hacer es elegir la CA principal que va a utilizar.
  Es posible que su CA subordinada deba estar firmada por un proveedor de servicios de confianza externo. Si es así, le Autoridad de certificación privada de AWS proporciona una solicitud de firma de certificado (CSR) que debe descargar y utilizar para obtener un certificado de CA firmado. Para obtener más información, consulte Instale un certificado de CA subordinado firmado por una CA principal externa.
En las opciones de nombre distintivo del asunto, configure el nombre del asunto de su CA privada. Debe escribir al menos uno de los siguientes valores:
- Organización (O): por ejemplo, el nombre de una empresa
- Unidad organizativa (OU): por ejemplo, una división dentro de una empresa
- Nombre del país (C): código de país de dos letras
- Nombre de estado o provincia: nombre completo de un estado o una provincia
- Nombre de la localidad: el nombre de una ciudad
- Nombre común (CN): cadena legible por humanos para identificar la CA.
nota
Puede personalizar aún más el nombre del asunto de un certificado aplicando una APIPassthrough plantilla en el momento de su emisión. Para obtener más información y un ejemplo detallado, consulte Emita un certificado con un nombre de asunto personalizado mediante una APIPassthrough plantilla.

Dado que el certificado de respaldo se firma automáticamente, la información de asunto que proporciona para una entidad de certificación (CA) privada es probablemente más dispersa que la que podría contener una entidad de certificación pública. Para obtener más información sobre cada uno de los valores que componen el nombre distintivo de un sujeto, consulte RFC5280.
En Opciones de algoritmos clave, elija el algoritmo clave y el tamaño en bits de la clave. El valor predeterminado es un RSA algoritmo con una longitud de clave de 2048 bits. Puede elegir entre los siguientes algoritmos:
- RSA2048
- RSA4096
- ECDSAP256
- ECDSAP384
En Opciones de revocación de certificados, puede seleccionar entre dos métodos para compartir el estado de revocación con los clientes que utilizan sus certificados:
- Activar la distribución CRL
- Encienda OCSP
Puede configurar una de estas opciones de revocación, ninguna o ambas para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Planifique el método de revocación AWS Private CA de su certificado para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las funciones de revocación adicionales.

nota
Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte Actualice una CA privada en AWS Private Certificate Authority.

Para configurar las opciones de revocación de certificados, lleve a cabo los siguientes pasos.
1. En Opciones de revocación de certificados, seleccione Activar CRL la distribución.
2. Para crear un bucket de Amazon S3 para sus CRL entradas, elija Create a new S3 bucket y escriba un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, en Cubo de S3 URI, selecciona un depósito existente de la lista.
  
  Al crear un depósito nuevo a través de la consola, Autoridad de certificación privada de AWS intenta adjuntar la política de acceso requerida al depósito e inhabilitar la configuración predeterminada de S3 para bloquear el acceso público (BPA). Si, por el contrario, especificas un depósito existente, debes asegurarte de que BPA esté inhabilitado para la cuenta y para el depósito. De lo contrario, se produce un error en la operación para crear la CA. Si la CA se ha creado correctamente, debe adjuntarle una política de forma manual antes de empezar a generarlaCRLs. Utilice uno de los patrones de políticas descritos en Políticas de acceso para CRLs Amazon S3 . Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.
  importante
  Se produce un error al intentar crear una CA mediante la Autoridad de certificación privada de AWS consola si se cumplen todas las condiciones siguientes:
  Está configurando unCRL.
  
  Solicita Autoridad de certificación privada de AWS crear un bucket de S3 automáticamente.
  
  Estás imponiendo la BPA configuración en S3.
  En esta situación, la consola crea un bucket, pero intenta hacerlo accesible al público y no lo consigue. Compruebe la configuración de Amazon S3 si esto ocurre, BPA deshabilítela según sea necesario y, a continuación, repita el procedimiento para crear una CA. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.
3. Amplíe los CRLajustes para ver opciones de configuración adicionales.
  - Añada un CRLnombre personalizado para crear un alias para su bucket de Amazon S3. Este nombre figura en los certificados emitidos por la CA en la extensión «Puntos de CRL distribución», definida en el número RFC 5280.
  - Escriba la validez en días en los CRL que seguirá siendo válida. El valor predeterminado es 7 días. En el caso de InternetCRLs, es habitual un período de validez de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerarlo CRL en el punto medio del período especificado.
4. Amplíe los ajustes de S3 para configurar de forma opcional el control de versiones de los buckets y el registro de acceso a los buckets.

Para ver las opciones de revocación de certificados, selecciona Activar. OCSP

En el campo OCSPPunto de enlace personalizado: opcional, puedes proporcionar un nombre de dominio completo (FQDN) para un OCSP punto de enlace que no sea de Amazon.

Al introducir un valor FQDN en este campo, se Autoridad de certificación privada de AWS inserta FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar del valor predeterminado URL para el AWS OCSP respondedor. Cuando un terminal recibe un certificado que contiene el certificado personalizadoFQDN, consulta esa dirección para obtener una OCSP respuesta. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

Usa un servidor proxy para reenviar el tráfico que llegue a tu cliente personalizado FQDN al AWS OCSP respondedor.
Agregue el CNAME registro correspondiente a su DNS base de datos.

sugerencia

Para obtener más información sobre la implementación de una OCSP solución completa mediante una solución personalizadaCNAME, consultePersonalice OCSP URL para AWS Private CA.

Por ejemplo, este es un CNAME registro personalizado OCSP tal y como aparecería en Amazon Route 53.

Nombre del registro	Tipo	Política de direccionamiento	Diferenciador	Valor/ruta de destino del tráfico
alternative.example.com	CNAME	Sencillez	-	proxy.example.com

nota

El valor de no CNAME debe incluir un prefijo de protocolo como «http://» o «https://».

En Agregar etiquetas, puede etiquetar la entidad de certificación (CA) de forma opcional. Las etiquetas son pares de valor de clave que sirven como metadatos para identificar y organizar los recursos de AWS . Para obtener una lista de Autoridad de certificación privada de AWS los parámetros de las etiquetas y obtener instrucciones sobre cómo añadirlas CAs después de crearlas, consulteAgregue etiquetas para su CA privada.

nota
Para adjuntar etiquetas a una entidad emisora de certificados privada durante el procedimiento de creación, el administrador de una entidad emisora de certificados debe asociar primero una IAM política integrada a la CreateCertificateAuthority acción y permitir el etiquetado de forma explícita. Para obtener más información, consulte Tag-on-create: Adjuntar etiquetas a una CA en el momento de su creación.
En las opciones de permisos de la CA, si lo desea, puede delegar los permisos de renovación automática al director del AWS Certificate Manager servicio. ACMsolo puede renovar automáticamente los certificados de entidades finales privadas generados por esta CA si se concede este permiso. Puede asignar permisos de renovación en cualquier momento con el comando Autoridad de certificación privada de AWS CreatePermissionAPIor create-permissionCLI.

El valor predeterminado consiste en habilitar estos permisos.

nota
AWS Certificate Manager no admite la renovación automática de certificados de corta duración.
En Precios, confirme que entiende los precios de una entidad de certificación privada.

nota
Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.
Elija Crear CA después de comprobar que toda la información introducida es correcta. Se abre la página de detalles de la CA y muestra su estado como Certificado pendiente.
nota
En la página de detalles, puede terminar de configurar su CA seleccionando Acciones, Instalar el certificado de CA o puede volver más tarde a la lista de entidades de certificación privadas y completar el procedimiento de instalación que corresponda en su caso:

CLI

Utilice el create-certificate-authoritycomando para crear una CA privada. Debe especificar la configuración de la CA (que contiene información sobre el algoritmo y el nombre del sujeto), la configuración de revocación (si planea usar OCSP y/o aCRL) y el tipo de CA (raíz o subordinada). Los detalles de la configuración y la revocación se incluyen en dos archivos que se proporcionan como argumentos al comando. Si lo desea, también puede configurar el modo de uso de la CA (para emitir certificados estándar o de corta duración), adjuntar etiquetas y proporcionar un token de idempotencia.

Si va a configurar unCRL, debe disponer de un bucket seguro de Amazon S3 antes de ejecutar el create-certificate-authority comando. Para obtener más información, consulte Políticas de acceso para CRLs Amazon S3 .

El archivo de configuración de la CA determina la siguiente información:

El nombre del algoritmo
El tamaño de la clave que se va a utilizar para crear la clave privada de CA
El tipo de algoritmo de firma que la CA utiliza para firmar
La información del sujeto de X.500

La configuración de revocación para OCSP define un OcspConfiguration objeto con la siguiente información:

Establezca la marca Enabled en “true”.
(Opcional) Una personalización CNAME declarada como valor paraOcspCustomCname.

La configuración de revocación de a CRL define un CrlConfiguration objeto con la siguiente información:

Establezca la marca Enabled en “true”.
El período de CRL caducidad en días (el período de validez delCRL).
El bucket de Amazon S3 que contendrá elCRL.
(Opcional) Un ObjectAcl valor de S3 que determina si CRL es de acceso público. En el ejemplo que se presenta aquí, el acceso público está bloqueado. Para obtener más información, consulte Habilite S3 Block Public Access (BPA) con CloudFront.
(Opcional) Un CNAME alias para el depósito de S3 que se incluye en los certificados emitidos por la CA. Si no CRL es de acceso público, esto apuntará a un mecanismo de distribución como Amazon CloudFront.
(Opcional) Un CrlDistributionPointExtensionConfiguration objeto con la siguiente información:
- El OmitExtension indicador está establecido en «verdadero» o «falso». Esto controla si el valor predeterminado de la CDP extensión se escribirá en un certificado emitido por la CA. Para obtener más información sobre la CDP extensión, consulteDeterminar el punto CRL de distribución (CDP) URI . A CustomCname no se puede establecer si OmitExtension es «verdadero».

nota

Puede habilitar ambos mecanismos de revocación en la misma CA definiendo tanto un objeto OcspConfiguration como un objeto CrlConfiguration. Si no proporciona ningún parámetro --revocation-configuration, ambos mecanismos están deshabilitados de forma predeterminada. Si necesita soporte para la validación de la revocación más adelante, consulte Actualización de una CA () CLI.

Consulte la siguiente sección para ver CLI ejemplos.

CLIejemplos de creación de una CA privada

En los ejemplos siguientes se supone que ha configurado el directorio de configuración .aws con una región, un punto de conexión y unas credenciales predeterminados válidos. Para obtener información sobre la configuración del AWS CLI entorno, consulte Ajustes de configuración y archivos de credenciales. Para facilitar la lectura, en los comandos de ejemplo proporcionamos la entrada de configuración y revocación de la CA en JSON forma de archivos. Modifique los archivos de ejemplo según sea necesario para su uso.

Todos los ejemplos utilizan el siguiente archivo de configuración ca_config.txt a menos que se indique lo contrario.

Archivo: ca_config.txt


{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Ejemplo 1: Crear una CA con activado OCSP

En este ejemplo, el archivo de revocación habilita el OCSP soporte predeterminado, que utiliza el Autoridad de certificación privada de AWS respondedor para comprobar el estado del certificado.

Archivo: revoke_config.txt para OCSP


{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando


$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la nueva CA.


{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando


$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Ejemplo 2: Crear una CA con OCSP y una CNAME habilitada de forma personalizada

En este ejemplo, el archivo de revocación permite una OCSP asistencia personalizada. El OcspCustomCname parámetro toma como valor un nombre de dominio completo (FQDN).

Si introduce un valor FQDN en este campo, lo Autoridad de certificación privada de AWS inserta FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar del valor predeterminado URL para el AWS OCSP respondedor. Cuando un terminal recibe un certificado que contiene el certificado personalizadoFQDN, consulta esa dirección para obtener una OCSP respuesta. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

Usa un servidor proxy para reenviar el tráfico que llegue a tu cliente personalizado FQDN al AWS OCSP respondedor.
Agregue el CNAME registro correspondiente a su DNS base de datos.

sugerencia

Para obtener más información sobre la implementación de una OCSP solución completa mediante una solución personalizadaCNAME, consultePersonalice OCSP URL para AWS Private CA.

Por ejemplo, este es un CNAME registro personalizado OCSP tal y como aparecería en Amazon Route 53.

Nombre del registro	Tipo	Política de direccionamiento	Diferenciador	Valor/ruta de destino del tráfico
alternative.example.com	CNAME	Sencillez	-	proxy.example.com

nota

El valor de no CNAME debe incluir un prefijo de protocolo como «http://» o «https://».

Archivo: revoke_config.txt para OCSP


{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando


$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Ejemplo 3: Crear una CA con una entidad emisora adjunta CRL

En este ejemplo, la configuración de revocación define CRL los parámetros.

Archivo: revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Ejemplo 4: Crear una CA con una entidad asociada CRL y una CNAME habilitada de forma personalizada

En este ejemplo, la configuración de revocación define CRL los parámetros que incluyen una personalizaciónCNAME.

Archivo: revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Comando


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Ejemplo 5: crear una CA y especificar el modo de uso

En este ejemplo, el modo de uso de la CA se especifica al crear una CA. Si no se especifica, el parámetro del modo de uso se establece de forma predeterminada en _. GENERAL PURPOSE En este ejemplo, el parámetro se establece en SHORT _ LIVED _CERTIFICATE, lo que significa que la CA emitirá certificados con un período de validez máximo de siete días. En situaciones en las que no es conveniente configurar la revocación, un certificado de corta duración que se haya visto comprometido caduca rápidamente como parte de las operaciones normales. En consecuencia, este ejemplo de CA carece de un mecanismo de revocación.

nota

Autoridad de certificación privada de AWS no comprueba la validez de los certificados de CA raíz.


$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilice el describe-certificate-authoritycomando de AWS CLI para mostrar detalles sobre la CA resultante, como se muestra en el siguiente comando:


$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID


{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Ejemplo 6: crear una CA para iniciar sesión en Active Directory

Puede crear una CA privada adecuada para su uso en el NTAuth almacén empresarial de Microsoft Active Directory (AD), donde podrá emitir certificados de inicio de sesión con tarjeta o de controlador de dominio. Para obtener información sobre la importación de un certificado de CA a AD, consulte Cómo importar certificados de entidades emisoras de certificados (CA) de terceros al almacén empresarial. NTAuth

La herramienta certutil de Microsoft se puede utilizar para publicar certificados de CA en AD invocando la opción -dspublish. Un certificado publicado en AD con certutil es de confianza en todo el bosque. Con la política de grupo, también puede limitar la confianza a un subconjunto de todo el bosque, por ejemplo, a un único dominio o a un grupo de computadoras de un dominio. Para que el inicio de sesión funcione, la CA emisora también debe estar publicada en la NTAuth tienda. Para obtener más información, consulte Distribuir certificados a computadoras de clientes mediante la política de grupo.

Este ejemplo usa el siguiente archivo de configuración ca_config_AD.txt.

Archivo: ca_config_AD.txt


{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando


$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Ejemplo 7: Cree una CA de Matter con una CDP extensión adjunta CRL y omitida en los certificados emitidos

Puede crear una CA privada adecuada para emitir certificados para el estándar de hogares inteligentes Matter. En este ejemplo, la configuración de CA ca_config_PAA.txt define una autoridad de certificación de productos de Matter (PAA) con el identificador de proveedor (VID) establecido en. FFF1

Archivo: ca_config_ .txt PAA


{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuración de revocación habilita CRLs y configura la CA para omitir el valor predeterminado en todos los certificados emitidos. CDP URL

Archivo: revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Si se ejecuta correctamente, este comando genera el Amazon Resource Name (ARN) de la CA.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilice el siguiente comando para inspeccionar la configuración de su CA.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Esta descripción debe contener la siguiente sección.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración

Instale el certificado de CA

Cree una CA privada en AWS Private CA

nota

Temas

Para crear una entidad de certificación privada con la consola de

nota

nota

nota

importante

sugerencia

nota

nota

nota

nota

nota

nota

CLIejemplos de creación de una CA privada

Ejemplo 1: Crear una CA con activado OCSP

Ejemplo 2: Crear una CA con OCSP y una CNAME habilitada de forma personalizada

sugerencia

nota

Ejemplo 3: Crear una CA con una entidad emisora adjunta CRL

Ejemplo 4: Crear una CA con una entidad asociada CRL y una CNAME habilitada de forma personalizada

Ejemplo 5: crear una CA y especificar el modo de uso

nota

Ejemplo 6: crear una CA para iniciar sesión en Active Directory

Ejemplo 7: Cree una CA de Matter con una CDP extensión adjunta CRL y omitida en los certificados emitidos