Utiliser des certificats CA privés signés en externe - AWS Private Certificate Authority

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des certificats CA privés signés en externe

Si la racine de confiance de votre hiérarchie d'autorité de certification privée doit être une autorité de certification extérieure Autorité de certification privée AWS, vous pouvez créer et signer vous-même votre propre autorité de certification racine. Vous pouvez également obtenir un certificat d'une autorité de certification privée signé par une autorité de certification privée externe gérée par votre organisation. Quelle que soit sa source, vous pouvez utiliser cette autorité de certification obtenue de l'extérieur pour signer un certificat d'autorité de certification subordonnée privé qui Autorité de certification privée AWS gère.

Note

Les procédures de création ou d'obtention d'un fournisseur de services de confiance externe n'entrent pas dans le cadre de ce guide.

L'utilisation d'une autorité de certification parent externe vous Autorité de certification privée AWS permet d'appliquer les contraintes de nom de l'autorité de certification telles que définies dans la section Contraintes de nom du RFC 5280. Les contraintes de nom permettent aux administrateurs de l'autorité de certification de restreindre les noms de sujets dans les certificats.

Si vous envisagez de signer un certificat d'autorité de certification subordonnée privée auprès d'une autorité de certification externe, vous devez effectuer trois tâches avant de disposer d'une autorité de certification fonctionnelle : Autorité de certification privée AWS

  1. Générez une demande de signature de certificat (CSR).

  2. Soumettez-le CSR à votre autorité de signature externe et retournez-le avec un certificat signé et une chaîne de certificats.

  3. Installez un certificat signé dans Autorité de certification privée AWS.

Les procédures suivantes décrivent comment effectuer ces tâches à l'aide du AWS Management Console ou du AWS CLI.

Pour obtenir et installer un certificat CA signé en externe (console)

  1. (Facultatif) Si vous n'êtes pas encore sur la page de détails de l'autorité de certification, ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison. Sur la page Autorités de certification privées, choisissez une autorité de certification subordonnée dont le statut est En attente de certificat, Actif, Désactivé ou Expiré.

  2. Choisissez Actions, Installer le certificat CA pour ouvrir la page Installer le certificat CA subordonné.

  3. Sur la page Installer le certificat d'autorité de certification subordonnée, sous Sélectionner le type d'autorité de certification, choisissez Autorité de certification privée externe.

  4. Sous cette autorité CSR de certification, la console affiche le ASCII texte codé en Base64 du. CSR Vous pouvez copier le texte à l'aide du bouton Copier ou choisir Exporter CSR vers un fichier et l'enregistrer localement.

    Note

    Le format exact du CSR texte doit être préservé lors du copier-coller.

  5. Si vous ne pouvez pas effectuer immédiatement les étapes hors ligne pour obtenir un certificat signé auprès de votre autorité de signature externe, vous pouvez fermer la page et y revenir une fois que vous possédez un certificat signé et une chaîne de certificats.

    Sinon, si vous êtes prêt, effectuez l'une des opérations suivantes :

    • Collez le ASCII texte codé en Base64 du corps de votre certificat et de votre chaîne de certificats dans leurs zones de texte respectives.

    • Choisissez Upload pour charger le corps du certificat et la chaîne de certificats depuis les fichiers locaux dans leurs zones de texte respectives.

  6. Choisissez Confirmer et installez.

Pour obtenir et installer un certificat CA signé en externe (CLI)

  1. Utilisez la get-certificate-authority-csrcommande pour récupérer la demande de signature de certificat (CSR) pour votre autorité de certification privée. Si vous souhaitez les CSR envoyer sur votre écran, utilisez l'--output textoption permettant d'éliminer les caractères CR/LF à la fin de chaque ligne. Pour envoyer le CSR vers un fichier, utilisez l'option de redirection (>) suivie d'un nom de fichier. 

    $ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text

    Après avoir enregistré un fichier CSR en tant que fichier local, vous pouvez l'inspecter à l'aide de la SSL commande Ouvrir suivante : 

    openssl req -in path_to_CSR_file -text -noout

    Cette commande génère une sortie similaire à la sortie suivante. Notez que l'extension CA estTRUE, ce qui indique qu'il CSR s'agit d'un certificat CA. 

    Certificate Request:
Data:
Version: 0 (0x0)
Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
        Public-Key: (2048 bit)
        Modulus:
            00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
            1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
            7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
            c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
            ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
            46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
            f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
            38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
            b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
            a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
            a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
            b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
            1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
            8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
            14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
            3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
            68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
            f6:27
        Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
    X509v3 Basic Constraints:
        CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
 c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
 a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
 ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
 ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
 de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
 ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
 f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
 d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
 d1:83:66:40

  2. Soumettez-le CSR à votre autorité de signature externe et obtenez des fichiers contenant le certificat signé PEM codé en Base64 et la chaîne de certificats.

  3. Utilisez la import-certificate-authority-certificatecommande pour importer le fichier de certificat CA privé et le fichier de chaîne dans Autorité de certification privée AWS.

    $ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://C:\example_ca_cert.pem \
--certificate-chain file://C:\example_ca_cert_chain.pem