Exemple 1 : créer une autorité de certification avec OCSP activé Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés Exemple 3 : créer une autorité de certification avec une CRL attachée Exemple 4 : créer une autorité de certification avec une CRL attachée et un CNAME personnalisé activé Exemple 5 : créer une autorité de certification et spécifier le mode d'utilisation Exemple 6 : créer une autorité de certification pour la connexion à Active Directory Exemple 7 : créer une autorité de certification Matter avec une CRL attachée et l'extension CDP omise dans les certificats émis

Procédure de création d'une autorité de certification (CLI)

Utilisez la commande create-certificate-authority pour créer une autorité de certification privée. Vous devez spécifier la configuration de l'autorité de certification (contenant les informations relatives à l'algorithme et au nom du sujet), la configuration de révocation (si vous prévoyez d'utiliser un OCSP et/ou une CRL) et le type d'autorité de certification (racine ou subordonnée). Les détails de configuration et de révocation sont contenus dans deux fichiers que vous fournissez en tant qu'arguments de la commande. Facultativement, vous pouvez également configurer le mode d'utilisation de l'autorité de certification (pour l'émission de certificats standard ou de courte durée), joindre des balises et fournir un jeton d'idempuissance.

Si vous configurez une CRL, vous devez disposer d'un compartiment Amazon S3 sécurisé avant d'émettre la create-certificate-authority commande. Pour plus d’informations, consultez Politiques d'accès pour les CRL dans Amazon S3 .

Le fichier de configuration de l'autorité de certification indique les informations suivantes :

Le nom de l'algorithme
La taille de la clé à utiliser pour créer la clé privée de l'autorité de certification
Le type de l'algorithme de signature que l'autorité de certification utilise pour signer
Les informations sur l'objet X.500

La configuration de révocation pour OCSP définit un OcspConfiguration objet avec les informations suivantes :

Le Enabled drapeau est réglé sur « vrai ».
(Facultatif) Un CNAME personnalisé déclaré en tant que valeur pourOcspCustomCname.

La configuration de révocation d'une CRL définit un CrlConfiguration objet avec les informations suivantes :

Le Enabled drapeau est réglé sur « vrai ».
Période d'expiration de la CRL en jours (période de validité de la CRL).
Le compartiment Amazon S3 qui contiendra la CRL.
(Facultatif) Une ObjectAcl valeur S3 qui détermine si la CRL est accessible au public. Dans l'exemple présenté ici, l'accès public est bloqué. Pour plus d’informations, consultez Activation de l'accès public par blocs S3 (BPA) avec CloudFront.
(Facultatif) Un alias CNAME pour le compartiment S3 inclus dans les certificats émis par l'autorité de certification. Si la CRL n'est pas accessible au public, cela indiquera un mécanisme de distribution tel qu'Amazon CloudFront.
(Facultatif) Un CrlDistributionPointExtensionConfiguration objet contenant les informations suivantes :
- Le OmitExtension drapeau est défini sur « vrai » ou « faux ». Cela permet de contrôler si la valeur par défaut de l'extension CDP sera écrite sur un certificat émis par l'autorité de certification. Pour plus d'informations sur l'extension CDP, consultezDéterminer l'URI du point de distribution CRL (CDP) . A CustomCname ne peut pas être défini s' OmitExtension il est « vrai ».

Note

Vous pouvez activer les deux mécanismes de révocation sur la même autorité de certification en définissant à la fois un OcspConfiguration objet et un CrlConfiguration objet. Si vous ne fournissez aucun --revocation-configuration paramètre, les deux mécanismes sont désactivés par défaut. Si vous avez besoin d'une assistance pour la validation de la révocation ultérieurement, consultezMettre à jour une autorité de certification (CLI).

Les exemples suivants supposent que vous avez configuré votre répertoire de .aws configuration avec une région par défaut, un point de terminaison et des informations d'identification valides. Pour plus d'informations sur la configuration de votre AWS CLI environnement, consultez Configuration et paramètres des fichiers d'identification. Pour des raisons de lisibilité, nous fournissons les entrées de configuration et de révocation de l'autorité de certification sous forme de fichiers JSON dans les exemples de commandes. Modifiez les fichiers d'exemple en fonction de vos besoins.

Tous les exemples utilisent le fichier de ca_config.txt configuration suivant, sauf indication contraire.

Fichier : ca_config.txt


{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Exemple 1 : créer une autorité de certification avec OCSP activé

Dans cet exemple, le fichier de révocation active le support OCSP par défaut, qui utilise le Autorité de certification privée AWS répondeur pour vérifier l'état du certificat.

Fichier : revoke_config.txt pour OCSP


{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Commande


$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de la nouvelle autorité de certification.


{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Commande


$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés

Dans cet exemple, le fichier de révocation permet un support OCSP personnalisé. Le OcspCustomCname paramètre prend un nom de domaine complet (FQDN) comme valeur.

Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension Authority Information Access de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :

Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.
Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.

Astuce

Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. Configuration d'une URL personnalisée pour Autorité de certification privée AWS OCSP

Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.

Nom de l'enregistrement	Type	Stratégie de routage	Différenciateur	Valeur/acheminer le trafic vers
alternative.exemple.com	CNAME	Simplicité	-	proxy.exemple.com

Note

La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».

Fichier : revoke_config.txt pour OCSP


{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Commande


$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Exemple 3 : créer une autorité de certification avec une CRL attachée

Dans cet exemple, la configuration de révocation définit les paramètres CRL.

Fichier : revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Commande


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET"
   },
   ...
}

Exemple 4 : créer une autorité de certification avec une CRL attachée et un CNAME personnalisé activé

Dans cet exemple, la configuration de révocation définit les paramètres CRL qui incluent un CNAME personnalisé.

Fichier : revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Commande


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
   ...
   }
}

Exemple 5 : créer une autorité de certification et spécifier le mode d'utilisation

Dans cet exemple, le mode d'utilisation de l'autorité de certification est spécifié lors de la création d'une autorité de certification. S'il n'est pas spécifié, le paramètre du mode d'utilisation prend par défaut la valeur GENERAL_PURPOSE. Dans cet exemple, le paramètre est défini sur SHORT_LIVED_CERTIFICATE, ce qui signifie que l'autorité de certification délivrera des certificats dont la durée de validité maximale est de sept jours. Dans les situations où il n'est pas pratique de configurer la révocation, un certificat de courte durée qui a été compromis expire rapidement dans le cadre des opérations normales. Par conséquent, cet exemple d'autorité de certification ne dispose pas d'un mécanisme de révocation.

Note

Autorité de certification privée AWS n'effectue pas de contrôles de validité sur les certificats de l'autorité de certification racine.


$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilisez la describe-certificate-authoritycommande dans le AWS CLI pour afficher des détails sur l'autorité de certification obtenue, comme indiqué dans la commande suivante :


$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID


{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Exemple 6 : créer une autorité de certification pour la connexion à Active Directory

Vous pouvez créer une autorité de certification privée adaptée à une utilisation dans le magasin Enterprise NTAuth de Microsoft Active Directory (AD), où elle peut émettre des certificats d'ouverture de session par carte ou de contrôleur de domaine. Pour plus d'informations sur l'importation d'un certificat CA dans AD, consultez Comment importer des certificats d'autorité de certification (CA) tiers dans le magasin Enterprise NTAuth.

L'outil Microsoft certutil peut être utilisé pour publier des certificats CA dans AD en invoquant l'option. -dspublish Un certificat publié sur AD avec certutil est fiable dans l'ensemble de la forêt. À l'aide de la stratégie de groupe, vous pouvez également limiter la confiance à un sous-ensemble de la forêt entière, par exemple un seul domaine ou un groupe d'ordinateurs dans un domaine. Pour que la connexion fonctionne, l'autorité de certification émettrice doit également être publiée dans le magasin NTAuth. Pour plus d'informations, voir Distribuer des certificats aux ordinateurs clients à l'aide d'une stratégie de groupe.

Cet exemple utilise le fichier ca_config_AD.txt de configuration suivant.

Fichier : ca_config_AD.txt


{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Commande


$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Exemple 7 : créer une autorité de certification Matter avec une CRL attachée et l'extension CDP omise dans les certificats émis

Vous pouvez créer une autorité de certification privée adaptée à la délivrance de certificats pour la norme de maison intelligente Matter. Dans cet exemple, la configuration CA ca_config_PAA.txt définit une autorité d'attestation de produit (PAA) Matter Product Attestation Authority (PAA) dont l'ID de fournisseur (VID) est défini sur FFF1.

Fichier : ca_config_PAA.txt


{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configuration de révocation active les CRL et configure l'autorité de certification pour omettre l'URL CDP par défaut de tous les certificats émis.

Fichier : revoke_config.txt


{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Commande


$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.


{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Utilisez la commande suivante pour inspecter la configuration de votre autorité de certification.


$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Cette description doit contenir la section suivante.


"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Procédure relative à la console

En utilisant CloudFormation