CA Windows Server étape 2 : Créer une CA Windows Server avec AWS CloudHSM - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CA Windows Server étape 2 : Créer une CA Windows Server avec AWS CloudHSM

Pour créer une CA Windows Server, vous ajoutez le rôle de services de certificat Active Directory (AD CS) à votre serveur Windows Server. Lorsque vous ajoutez ce rôle, vous utilisez un fournisseur de stockage de AWS CloudHSM clés (KSP) pour créer et stocker la clé privée de l'autorité de certification sur votre AWS CloudHSM cluster.

Note

Lorsque vous créez votre CA Windows Server, vous pouvez choisir de créer une CA racine ou CA subordonnée. En général, vous prenez cette décision en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

Pour ajouter le rôle AD CS à votre serveur Windows Server et créer la clé privée de la CA

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de l'utilisateur Amazon EC2.

  2. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  3. Dans le tableau de bord du Server Manager (Gestionnaire de serveurs), choisissez Add roles and features (Ajouter des rôles et des fonctions).

  4. Prenez connaissances des informations contenues dans le fichier Before you begin (Avant de commencer), puis choisissez Next (Suivant).

  5. Pour Installation Type (Type d'installation), choisissez Role-based or feature-based installation (Installation basée sur un rôle ou une fonction). Ensuite, sélectionnez Suivant.

  6. Pour Server Selection (Sélection de serveur), choisissez Select a server from the server pool (Sélectionner un serveur du pool de serveurs). Ensuite, sélectionnez Suivant.

  7. Pour Server Roles (Rôles de serveur), procédez comme suit :

    1. Sélectionnez Active Directory Certificate Services (Services de certificat Active Directory).

    2. Pour Add features that are required for Active Directory Certificate Services (Ajouter des fonctions qui sont requises pour les services de certificats Active Directory), choisissez Add Features (Ajouter des fonctions).

    3. Choisissez Suivant pour finaliser la sélection de rôles de serveur.

  8. Pour Fonctions, acceptez les valeurs par défaut, puis choisissez Next (Suivant).

  9. Pour AD CS, procédez comme suit :

    1. Choisissez Suivant.

    2. Sélectionnez Certification Authority (Autorité de certification), puis choisissez Next (Suivant).

  10. Pour Confirmation, lisez les informations de confirmation, puis choisissez Installer. Ne fermez pas la fenêtre.

  11. Cliquez sur le lien en surbrillance Configurer les services de certificats Active Directory sur le serveur de destination.

  12. Pour Informations d'identification, vérifiez ou modifiez les informations d'identification affichées. Ensuite, sélectionnez Suivant.

  13. Pour Role Services (Services de rôle), sélectionnez Certification Authority (Autorité de certification). Ensuite, sélectionnez Suivant.

  14. Pour Setup Type (Type de configuration), sélectionnez Standalone CA (CA autonome). Ensuite, sélectionnez Suivant.

  15. Pour CA Type (Type de CA), sélectionnez Root CA (CA racine). Ensuite, sélectionnez Suivant.

    Note

    Vous pouvez choisir de créer une CA racine ou une CA subordonnée en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

  16. Pour Private Key (Clé privée), sélectionnez Create a new private key (Créer une nouvelle clé privée). Ensuite, sélectionnez Suivant.

  17. Dans Cryptography (Chiffrement), procédez comme suit :

    1. Pour Select a cryptographic provider (Sélectionner un fournisseur de services de chiffrement), choisissez l'une des options Cavium Key Storage Provider (Fournisseur de stockage de clés Cavium) du menu. Il s'agit des principaux fournisseurs de stockage de clés AWS CloudHSM . Par exemple, vous pouvez choisir RSA # Cavium Key Storage Provider (Fournisseur de stockage de clés Cavium RSA #).

    2. Pour Key length (Longueur de la clé), choisissez l'une des options de longueur de clé.

    3. Pour Select the hash algorithm for signing certificates issued by this CA (Sélectionner l'algorithme de hachage pour signer les certificats émis par cette CA), choisissez l'une des options de l'algorithme de hachage.

    Choisissez Suivant.

  18. Dans CA Name (Nom de la CA), procédez comme suit :

    1. (Facultatif) Modifiez le nom commun.

    2. (Facultatif) Tapez un suffixe de nom unique.

    Choisissez Suivant.

  19. Pour Période de validité, spécifiez une période de plusieurs années, mois, semaines ou jours. Ensuite, sélectionnez Suivant.

  20. Pour Certificate Database (Base de données de certificats), vous pouvez accepter les valeurs par défaut ou, le cas échéant, modifier l'emplacement pour la base de données et le journal de base de données. Ensuite, sélectionnez Suivant.

  21. Pour Confirmation, vérifiez les informations sur la CA, puis choisissez Configurer.

  22. Choisissez Close (Fermer), puis à nouveau Close (Fermer).

Vous disposez désormais d'une autorité de certification Windows Server avec AWS CloudHSM. Pour savoir comment signer une demande de signature de certificat (CSR) avec votre CA, consultez Signer une CSR.