Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création et installation du certificat CA
Suivez les procédures suivantes pour créer et installer votre certificat d'une autorité de certification privée. Votre autorité de certification sera alors prête à l'emploi.
Autorité de certification privée AWS prend en charge trois scénarios d'installation d'un certificat CA :
-
Installation d'un certificat pour une autorité de certification racine hébergée par Autorité de certification privée AWS
-
Installation d'un certificat d'une autorité de certification subordonnée dont l'autorité parente est hébergée par Autorité de certification privée AWS
-
Installation d'un certificat d'une autorité de certification subordonnée dont l'autorité parent est hébergée en externe
Les sections suivantes décrivent les procédures pour chaque scénario. Les procédures de console commencent sur la page Private de la consoleCAs.
Algorithmes de signature compatibles
La prise en charge des algorithmes de signature pour les certificats CA dépend de l'algorithme de signature de l'autorité de certification parent et du Région AWS. Les contraintes suivantes s'appliquent à la fois à la console et AWS CLI aux opérations.
-
Une autorité de certification parent dotée de l'algorithme de RSA signature peut émettre des certificats avec les algorithmes suivants :
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
Dans une ancienne version Région AWS, une autorité de certification parent dotée de l'algorithme de EDCSA signature peut émettre des certificats avec les algorithmes suivants :
-
SHA256 ECDSA
-
SHA384 ECDSA
-
SHA512 ECDSA
L'héritage Régions AWS inclut :
Nom de la région
Situation géographique
eu-north-1
Europe (Stockholm)
me-south-1
Moyen-Orient (Bahreïn)
ap-south-1
Asie-Pacifique (Mumbai)
eu-west-3
Europe (Paris)
us-east-2
USA Est (Ohio)
af-south-1
Afrique (Le Cap)
eu-west-1
Europe (Irlande)
eu-central-1
Europe (Francfort)
sa-east-1
Amérique du Sud (São Paulo)
ap-east-1
Asie-Pacifique (Hong Kong)
us-east-1
USA Est (Virginie du Nord)
ap-northeast-2
Asie-Pacifique (Séoul)
eu-west-2
Europe (Londres)
ap-northeast-1
Asie-Pacifique (Tokyo)
us-gov-east-1
AWS GovCloud (USA Est)
us-gov-west-1
AWS GovCloud (US-Ouest)
us-west-2
USA Ouest (Oregon)
us-west-1
USA Ouest (Californie du Nord)
ap-southeast-1
Asie-Pacifique (Singapour)
ap-southeast-2
Asie-Pacifique (Sydney)
-
-
Dans le cas d'un produit qui n'est pas un héritage Région AWS, les règles suivantes s'appliquent : EDCSA
-
Une autorité de certification parent utilisant l'algorithme de signature EC_Prime256v1 peut émettre des certificats avec le protocole P256. ECDSA
-
Une autorité de certification parent utilisant l'algorithme de signature EC_SecP384r1 peut émettre des certificats avec le P384. ECDSA
-
Installation d'un certificat CA racine
Vous pouvez installer un certificat CA racine à partir du AWS Management Console ou du AWS CLI.
Pour créer et installer un certificat pour votre autorité de certification racine privée (console)
-
(Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
. Sur la page Autorités de certification privées, choisissez une autorité de certification racine dont le statut est En attente de certificat ou Actif. -
Choisissez Actions, Installer le certificat CA pour ouvrir la page Installer le certificat CA racine.
-
Sous Spécifier les paramètres du certificat de l'autorité de certification racine, spécifiez les paramètres de certificat suivants :
-
Validité — Spécifie la date et l'heure d'expiration du certificat CA. La période de validité Autorité de certification privée AWS par défaut d'un certificat CA racine est de 10 ans.
-
Algorithme de signature — Spécifie l'algorithme de signature à utiliser lorsque l'autorité de certification racine émet de nouveaux certificats. Les options disponibles varient en fonction de l' Région AWS endroit où vous créez l'autorité de certification. Pour plus d'informationsAlgorithmes de signature compatibles, voirAlgorithmes cryptographiques pris en charge, et SigningAlgorithmdans CertificateAuthorityConfiguration.
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
Vérifiez que vos paramètres sont corrects, puis choisissez Confirmer et installer. Autorité de certification privée AWS exporte un CSR pour votre autorité de certification, génère un certificat à l'aide d'un modèle de certificat d'autorité de certification racine et signe automatiquement le certificat. Autorité de certification privée AWS importe ensuite le certificat de l'autorité de certification racine auto-signé.
-
-
La page de détails de l'autorité de certification affiche l'état de l'installation (réussite ou échec) en haut de la page. Si l'installation a réussi, l'autorité de certification racine nouvellement terminée affiche le statut Actif dans le volet Général.
Pour créer et installer un certificat pour votre autorité de certification racine privée (AWS CLI)
-
Générez une demande de signature de certificat (CSR).
$aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --output text \ --regionregion> ca.csrLe fichier obtenu
ca.csr, un PEM fichier codé au format base64, a l'aspect suivant.-----BEGIN CERTIFICATE REQUEST----- MIIC1DCCAbwCAQAwbTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29y cDEOMAwGA1UECwwFU2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhh bXBsZS5jb20xEDAOBgNVBAcMB1NlYXR0bGUwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQDD+7eQChWUO2m6pHslI7AVSFkWvbQofKIHvbvy7wm8VO9/BuI7 LE/jrnd1jGoyI7jaMHKXPtEP3uNlCzv+oEza07OjgjqPZVehtA6a3/3vdQ1qCoD2 rXpv6VIzcq2onx2X7m+Zixwn2oY1l1ELXP7I5g0GmUStymq+pY5VARPy3vTRMjgC JEiz8w7VvC15uIsHFAWa2/NvKyndQMPaCNft238wesV5s2cXOUS173jghIShg99o ymf0TRUgvAGQMCXvsW07MrP5VDmBU7k/AZ9ExsUfMe2OB++fhfQWr2N7/lpC4+DP qJTfXTEexLfRTLeLuGEaJL+c6fMyG+Yk53tZAgMBAAGgIjAgBgkqhkiG9w0BCQ4x EzARMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAA7xxLVI5s1B qmXMMT44y1DZtQx3RDPanMNGLGO1TmLtyqqnUH49Tla+2p7nrl0tojUf/3PaZ52F QN09SrFk8qtYSKnMGd5PZL0A+NFsNW+w4BAQNKlg9m617YEsnkztbfKRloaJNYoA HZaRvbA0lMQ/tU2PKZR2vnao444Ugm0O/t3jx5rj817b31hQcHHQ0lQuXV2kyTrM ohWeLf2fL+K0xJ9ZgXD4KYnY0zarpreA5RBeO5xs3Ms+oGWc13qQfMBx33vrrz2m dw5iKjg71uuUUmtDV6ewwGa/VO5hNinYAfogdu5aGuVbnTFT3n45B8WHz2+9r0dn bA7xUel1SuQ= -----END CERTIFICATE REQUEST-----Vous pouvez utiliser Ouvrir SSL
pour afficher et vérifier le contenu duCSR. openssl req -text -noout -verify -in ca.csrCela donne un résultat similaire à ce qui suit.
verify OK Certificate Request: Data: Version: 0 (0x0) Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: sha256WithRSAEncryption 0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5: 0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50: 7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67: 9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64: bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed: 81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd: b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82: 6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2: 54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4: 9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b: 9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af: 3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0: 66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d: 31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51: e9:75:4a:e4 -
En utilisant l'argument CSR de l'étape précédente pour le
--csrparamètre, émettez le certificat racine.Note
Si vous utilisez la AWS CLI version 1.6.3 ou une version ultérieure, utilisez le préfixe
fileb://lorsque vous spécifiez le fichier d'entrée requis. Cela garantit que les données codées Autorité de certification privée AWS en Base64 sont correctement analysées.$aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=365,Type=DAYS -
Récupérez le certificat racine.
$aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID\ --output text > cert.pemLe fichier obtenu
cert.pem, un PEM fichier codé au format base64, a l'aspect suivant.-----BEGIN CERTIFICATE----- MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7 t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4 YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3 DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2 t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX 2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4 -----END CERTIFICATE-----Vous pouvez utiliser Open SSL
pour afficher et vérifier le contenu du certificat. openssl x509 -in cert.pem -text -nooutCela donne un résultat similaire à ce qui suit.
Certificate: Data: Version: 3 (0x2) Serial Number: 82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Validity Not Before: Mar 8 15:46:27 2021 GMT Not After : Mar 8 16:46:27 2022 GMT Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: 69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign Signature Algorithm: sha256WithRSAEncryption 17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9: 8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3: 5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7: a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66: aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d: cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63: 4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27: 11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95: b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49: 78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a: 57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed: 92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3: 48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae: e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77: d3:69:5c:38 -
Importez le certificat de l'autorité de certification racine pour l'installer sur l'autorité de certification.
Note
Si vous utilisez la AWS CLI version 1.6.3 ou une version ultérieure, utilisez le préfixe
fileb://lorsque vous spécifiez le fichier d'entrée requis. Cela garantit que les données codées Autorité de certification privée AWS en Base64 sont correctement analysées.$aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --certificate file://cert.pem
Vérifiez le nouveau statut de l'autorité de certification.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --output json
Le statut apparaît désormais sous la formeACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Installation d'un certificat CA subordonné hébergé par Autorité de certification privée AWS
Vous pouvez utiliser le AWS Management Console pour créer et installer un certificat pour votre autorité de certification subordonnée Autorité de certification privée AWS hébergée.
Pour créer et installer un certificat pour votre autorité de certification subordonnée Autorité de certification privée AWS hébergée
-
(Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
. Sur la page Autorités de certification privées, choisissez une autorité de certification subordonnée dont le statut est En attente de certificat ou Active. -
Choisissez Actions, Installer le certificat CA pour ouvrir la page Installer le certificat CA subordonné.
-
Sur la page Installer un certificat d'autorité de certification subordonnée, sous Sélectionner le type d'autorité AWS Private CAde certification, choisissez d'installer un certificat géré par Autorité de certification privée AWS.
-
Sous Sélectionner une autorité de certification parent, choisissez une autorité de certification dans la liste des autorités de certification privées parentes. La liste est filtrée pour afficher CAs les informations répondant aux critères suivants :
-
Vous êtes autorisé à utiliser le CA.
-
Le CA ne signerait pas lui-même.
-
Le CA est en état
ACTIVE. -
Le mode CA est
GENERAL_PURPOSE.
-
-
Sous Spécifier les paramètres de certificat de l'autorité de certification subordonnée, spécifiez les paramètres de certificat suivants :
-
Validité — Spécifie la date et l'heure d'expiration du certificat CA.
-
Algorithme de signature — Spécifie l'algorithme de signature à utiliser lorsque l'autorité de certification racine émet de nouveaux certificats. Les options sont :
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
Longueur du chemin : nombre de couches de confiance que l'autorité de certification subordonnée peut ajouter lors de la signature de nouveaux certificats. Une longueur de chemin de zéro (valeur par défaut) signifie que seuls les certificats d'entité finale, et non les certificats CA, peuvent être créés. Une longueur de chemin d'au moins un signifie que l'autorité de certification subordonnée peut émettre des certificats pour créer un CAs subordonné supplémentaire.
-
Modèle ARN : affiche le modèle ARN de configuration pour ce certificat CA. Le modèle change si vous modifiez la Longueur de chemin d'accès spécifiée. Si vous créez un certificat à l'aide de la commande ou de l'APIIssueCertificateaction CLI issue-certificate, vous devez le ARN spécifier manuellement. Pour de plus amples informations sur les modèles de certificats d'une autorité de certification disponibles, veuillez consulter Comprendre les modèles de certificats.
-
-
Vérifiez que vos paramètres sont corrects, puis choisissez Confirmer et installer. Autorité de certification privée AWS exporte unCSR, génère un certificat à l'aide d'un modèle de certificat d'autorité de certification subordonnée et signe le certificat avec l'autorité de certification parent sélectionnée. Autorité de certification privée AWS importe ensuite le certificat CA subordonné signé.
-
La page de détails de l'autorité de certification affiche l'état de l'installation (réussite ou échec) en haut de la page. Si l'installation a réussi, l'autorité de certification subordonnée nouvellement terminée affiche le statut Actif dans le volet Général.
Installation d'un certificat d'autorité de certification subordonnée signé par une autorité de certification parent externe
Après avoir créé une autorité de certification privée subordonnée comme décrit dans Procédure de création d'une autorité de certification (console) ouProcédure de création d'une autorité de certification (CLI) , vous avez la possibilité de l'activer en installant un certificat d'autorité de certification signé par une autorité de signature externe. Pour signer le certificat de votre autorité de certification subordonnée auprès d'une autorité de certification externe, vous devez d'abord configurer un fournisseur de services de confiance externe comme autorité de signature, ou faire appel à un fournisseur tiers.
Note
Les procédures de création ou d'obtention d'un fournisseur de services de confiance externe ne relèvent pas du champ d'application de ce guide.
Après avoir créé une autorité de certification subordonnée et avoir accès à une autorité de signature externe, effectuez les tâches suivantes :
-
Obtenez une demande de signature de certificat (CSR) auprès de Autorité de certification privée AWS.
-
Soumettez-les CSR à votre autorité de signature externe et obtenez un certificat CA signé ainsi que tous les certificats de chaîne.
-
Importez le certificat de l'autorité de certification et sa chaîne Autorité de certification privée AWS pour activer votre autorité de certification subordonnée.
Pour connaître les procédures détaillées, consultez Certificats CA privés signés en externe .
