Meminta sertifikat PKI pribadi - AWS Certificate Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meminta sertifikat PKI pribadi

Jika Anda memiliki akses ke CA pribadi yang ada yang dibuat oleh AWS Private CA, ACM dapat meminta sertifikat yang cocok untuk digunakan dalam PKI pribadi Anda. CA dapat berada di akun Anda atau dibagikan dengan Anda oleh akun lain. Untuk informasi tentang membuat CA pribadi, lihat Membuat Otoritas Sertifikat Pribadi.

Sertifikat yang ditandatangani oleh CA pribadi tidak dipercaya secara default, dan ACM tidak mendukung segala bentuk validasi untuk mereka. Akibatnya, administrator harus mengambil tindakan untuk menginstalnya di toko kepercayaan klien organisasi Anda.

Sertifikat ACM pribadi mengikuti standar X.509 dan tunduk pada batasan berikut:

  • Nama: Anda harus menggunakan nama subjek yang sesuai dengan DNS. Untuk informasi selengkapnya, lihat Nama Domain.

  • Algoritma: Untuk enkripsi, algoritma kunci privat sertifikat harus berupa RSA 2048-bit, ECDSA 256-bit, atau ECDSA 384-bit.

    catatan

    Keluarga algoritma penandatanganan yang ditentukan (RSA atau ECDSA) harus cocok dengan keluarga algoritma kunci rahasia CA.

  • Kedaluwarsa: Setiap sertifikat berlaku selama 13 bulan (395 hari). Tanggal akhir sertifikat CA penandatanganan harus melebihi tanggal akhir sertifikat yang diminta, atau permintaan sertifikat akan gagal.

  • Perpanjangan: ACM mencoba memperbarui sertifikat pribadi secara otomatis setelah 11 bulan.

CA pribadi yang digunakan untuk menandatangani sertifikat entitas akhir tunduk pada batasannya sendiri:

  • CA harus memiliki status Aktif.

  • Algoritma kunci pribadi CA harus RSA 2048 atau RSA 4096.

catatan

Tidak seperti sertifikat yang dipercaya publik, sertifikat yang ditandatangani oleh CA pribadi tidak memerlukan validasi.

Mengkonfigurasi akses ke CA pribadi

Anda dapat menggunakan AWS Private CA untuk menandatangani sertifikat ACM Anda dalam salah satu dari dua kasus:

  • Akun tunggal: CA penandatanganan dan sertifikat ACM yang dikeluarkan berada di akun yang sama AWS .

    Agar penerbitan dan perpanjangan akun tunggal diaktifkan, AWS Private CA administrator harus memberikan izin kepada kepala layanan ACM untuk membuat, mengambil, dan membuat daftar sertifikat. Ini dilakukan dengan menggunakan tindakan AWS Private CA API CreatePermissionatau AWS CLI perintah create-permission. Pemilik akun memberikan izin ini kepada pengguna, grup, atau peran IAM yang bertanggung jawab untuk menerbitkan sertifikat.

  • Cross-account: CA penandatanganan dan sertifikat ACM yang dikeluarkan berada di AWS akun yang berbeda, dan akses ke CA telah diberikan ke akun tempat sertifikat berada.

    Untuk mengaktifkan penerbitan dan perpanjangan lintas akun, AWS Private CA administrator harus melampirkan kebijakan berbasis sumber daya ke CA menggunakan tindakan API atau kebijakan put-perintah. AWS Private CAPutPolicyAWS CLI Kebijakan ini menetapkan prinsipal di akun lain yang diizinkan akses terbatas ke CA. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Berbasis Sumber Daya dengan ACM Private CA.

    Skenario lintas akun juga mengharuskan ACM untuk menyiapkan peran terkait layanan (SLR) untuk berinteraksi sebagai prinsipal dengan kebijakan PCA. ACM membuat SLR secara otomatis saat mengeluarkan sertifikat pertama.

    ACM mungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika iam:GetRole izin yang diperlukan telah diberikan kepada ACM SLR untuk akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. Jika berulang, Anda atau administrator akun Anda mungkin perlu memberikan iam:GetRole izin ke ACM, atau mengaitkan akun Anda dengan kebijakan yang dikelola ACM. AWSCertificateManagerFullAccess

    Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan dengan ACM.

penting

Sertifikat ACM Anda harus secara aktif dikaitkan dengan AWS layanan yang didukung sebelum dapat diperpanjang secara otomatis. Untuk informasi tentang sumber daya yang didukung ACM, lihatLayanan terintegrasi dengan AWS Certificate Manager.

Minta sertifikat PKI pribadi menggunakan konsol ACM

  1. Masuk ke AWS Management Console dan buka konsol ACM di https://console.aws.amazon.com/acm/home.

    Pilih Minta sertifikat.

  2. Pada halaman Permintaan sertifikat, pilih Minta sertifikat pribadi dan Berikutnya untuk melanjutkan.

  3. Di bagian Detail otoritas sertifikat, klik menu Otoritas sertifikat dan pilih salah satu CA pribadi yang tersedia. Jika CA dibagikan dari akun lain, ARN diawali dengan informasi kepemilikan.

    Detail tentang CA ditampilkan untuk membantu Anda memverifikasi bahwa Anda telah memilih yang benar:

    • Pemilik

    • Jenis

    • Nama umum (CN)

    • Organisasi (O)

    • Unit organisasi (OU)

    • Nama negara (C)

    • Negara bagian atau provinsi

    • Nama lokalitas

  4. Di bagian Nama domain, ketikkan nama domain Anda. Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), sepertiwww.example.com, atau nama domain telanjang atau puncak seperti. example.com Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar di posisi paling kiri untuk melindungi beberapa nama situs di domain yang sama. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com. Nama kartu liar akan muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek dari sertifikat ACM.

    catatan

    Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com dapat melindungilogin.example.com, dantest.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Untuk melindungi keduanya, lihat langkah selanjutnya

    Secara opsional, pilih Tambahkan nama lain ke sertifikat ini dan ketikkan nama di kotak teks. Ini berguna untuk mengautentikasi domain telanjang atau apex (sepertiexample.com) dan subdomainnya seperti). *.example.com

  5. Di bagian Algoritma kunci, pilih salah satu dari tiga algoritma yang tersedia:

    • RSA 2048 (default)

    • ECDSA P 256

    • ECDSA P 384

    Untuk informasi yang membantu Anda memilih algoritme, lihatAlgoritma kunci.

  6. Di bagian Tag, Anda dapat menandai sertifikat Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter tag ACM dan petunjuk tentang cara menambahkan tag ke sertifikat setelah pembuatan, lihatMenandaiAWS Certificate Manager sertifikat penandaan sertifikat.

  7. Di bagian Izin perpanjangan sertifikat, akui pemberitahuan tentang izin perpanjangan sertifikat. Izin ini memungkinkan perpanjangan otomatis sertifikat PKI pribadi yang Anda tandatangani dengan CA yang dipilih. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan dengan ACM.

  8. Setelah memberikan semua informasi yang diperlukan, pilih Permintaan. Konsol mengembalikan Anda ke daftar sertifikat, tempat Anda dapat melihat sertifikat baru Anda.

    catatan

    Bergantung pada bagaimana Anda memesan daftar, sertifikat yang Anda cari mungkin tidak segera terlihat. Anda dapat mengklik segitiga hitam di sebelah kanan untuk mengubah urutan. Anda juga dapat menavigasi melalui beberapa halaman sertifikat menggunakan nomor halaman di kanan atas.

Meminta sertifikat PKI pribadi menggunakan CLI

Gunakan perintah request-certificate untuk meminta sertifikat pribadi di ACM.

catatan

Saat Anda meminta sertifikat PKI pribadi yang ditandatangani oleh CA dari AWS Private CA, keluarga algoritma penandatanganan yang ditentukan (RSA atau ECDSA) harus cocok dengan keluarga algoritme kunci rahasia CA.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\ certificate-authority/CA_ID

Perintah ini mengeluarkan Nama Sumber Daya Amazon (ARN) dari sertifikat pribadi baru Anda.

{ "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID" }

Dalam kebanyakan kasus, ACM secara otomatis melampirkan peran terkait layanan (SLR) ke akun Anda saat pertama kali Anda menggunakan CA bersama. SLR memungkinkan perpanjangan otomatis sertifikat entitas akhir yang Anda terbitkan. Untuk memeriksa apakah SLR hadir, Anda dapat melakukan kueri IAM dengan perintah berikut:

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Jika SLR hadir, output perintah harus menyerupai yang berikut:

{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{ "LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } } }

Jika SLR tidak ada, lihat Menggunakan Peran Tertaut Layanan dengan ACM.