Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prosedur untuk membuat CA (CLI)
Gunakan perintah create-certificate-authority untuk membuat CA privat. Anda harus menentukan konfigurasi CA (berisi algoritme dan informasi nama subjek), konfigurasi pencabutan (jika Anda berencana menggunakan OCSP dan/atau CRL), dan jenis CA (root atau bawahan). Rincian konfigurasi konfigurasi dan pencabutan terkandung dalam dua file yang Anda berikan sebagai argumen ke perintah. Secara opsional, Anda juga dapat mengonfigurasi mode penggunaan CA (untuk menerbitkan sertifikat standar atau jangka pendek), melampirkan tag, dan menyediakan token idempotensi.
Jika mengkonfigurasi CRL, Anda harus membuat bucket Amazon S3 aman yang siap digunakan sebelum Anda menerbitkan perintah create-certificate-authority. Untuk informasi lebih lanjut, lihat Kebijakan akses untuk CRL di Amazon S3 .
File konfigurasi CA menentukan informasi berikut:
-
Nama algoritme
-
Ukuran kunci yang akan digunakan untuk membuat kunci privat CA
-
Jenis algoritme penandatanganan yang CA gunakan untuk menandatangan
-
Informasi subjek X.500
Konfigurasi pencabutan untuk OCSP mendefinisikan OcspConfiguration
objek dengan informasi berikut:
-
Enabled
Bendera diatur ke “true”. -
(Opsional) CNAME kustom dideklarasikan sebagai nilai untuk
OcspCustomCname
.
Konfigurasi pencabutan untuk CRL mendefinisikan CrlConfiguration
objek dengan informasi berikut:
-
Enabled
Bendera diatur ke “true”. -
Periode kedaluwarsa CRL dalam beberapa hari (masa berlaku CRL).
-
Bucket Amazon S3 yang akan berisi CRL.
-
(Opsional) ObjectAcl Nilai S3 yang menentukan apakah CRL dapat diakses publik. Dalam contoh yang disajikan di sini, akses publik diblokir. Untuk informasi selengkapnya, lihat Mengaktifkan S3 Block Public Access (BPA) dengan CloudFront.
-
(Opsional) Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA. Jika CRL tidak dapat diakses publik, ini akan mengarah ke mekanisme distribusi seperti Amazon. CloudFront
-
(Opsional)
CrlDistributionPointExtensionConfiguration
Objek dengan informasi berikut:-
OmitExtension
Bendera disetel ke “true” atau “false”. Ini mengontrol apakah nilai default untuk ekstensi CDP akan ditulis ke sertifikat yang dikeluarkan oleh CA. Untuk informasi selengkapnya tentang ekstensi CDP, lihatMenentukan URI Titik Distribusi CRL (CDP) . A CustomCname tidak dapat OmitExtension diatur jika “benar”.
-
catatan
Anda dapat mengaktifkan kedua mekanisme pencabutan pada CA yang sama dengan mendefinisikan OcspConfiguration
objek dan objek. CrlConfiguration
Jika Anda tidak memberikan --revocation-configuration parameter, kedua mekanisme dinonaktifkan secara default. Jika Anda memerlukan dukungan validasi pencabutan nanti, lihat. Memperbarui CA (CLI)
Contoh berikut mengasumsikan bahwa Anda telah menyiapkan direktori .aws
konfigurasi Anda dengan Region, endpoint, dan kredensyal default yang valid. Untuk informasi tentang mengonfigurasi AWS CLI lingkungan Anda, lihat Pengaturan konfigurasi dan file kredensyal. Untuk keterbacaan, kami menyediakan konfigurasi CA dan input pencabutan sebagai file JSON dalam perintah contoh. Ubah file contoh sesuai kebutuhan untuk Anda gunakan.
Semua contoh menggunakan file ca_config.txt
konfigurasi berikut kecuali dinyatakan lain.
Berkas: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Contoh 1: Buat CA dengan OCSP diaktifkan
Dalam contoh ini, file pencabutan mengaktifkan dukungan OCSP default, yang menggunakan AWS Private CA responden untuk memeriksa status sertifikat.
File: revoke_config.txt untuk OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
Jika berhasil, perintah ini akan menghasilkan Amazon Resource Name (ARN) dari CA baru.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan
Dalam contoh ini, file pencabutan memungkinkan dukungan OCSP yang disesuaikan. OcspCustomCname
Parameter mengambil nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai nilainya.
Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:
-
Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS
-
Tambahkan catatan CNAME yang sesuai ke database DNS Anda.
Tip
Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. Mengkonfigurasi URL Kustom untuk AWS Private CA OCSP
Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.
Nama catatan | Tipe | Kebijakan perutean | Diferensiator | Nilai/Rutekan lalu lintas ke |
---|---|---|---|---|
alternatif.example.com |
CNAME | Sederhana | - | proxy.example.com |
catatan
Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.
File: revoke_config.txt untuk OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Contoh 3: Buat CA dengan CRL terlampir
Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL.
Berkas: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"DOC-EXAMPLE-BUCKET
" } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "DOC-EXAMPLE-BUCKET
"
},
...
}
Contoh 4: Buat CA dengan CRL terlampir dan CNAME kustom diaktifkan
Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL yang menyertakan CNAME kustom.
Berkas: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"DOC-EXAMPLE-BUCKET
" } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "DOC-EXAMPLE-BUCKET
",
...
}
}
Contoh 5: Buat CA dan tentukan mode penggunaan
Dalam contoh ini, mode penggunaan CA ditentukan saat membuat CA. Jika tidak ditentukan, parameter mode penggunaan default ke GENERAL_PURPOSE. Dalam contoh ini, parameter diatur ke SHORT_LIVED_CERTIFICATE, yang berarti bahwa CA akan mengeluarkan sertifikat dengan masa berlaku maksimum tujuh hari. Dalam situasi di mana tidak nyaman untuk mengonfigurasi pencabutan, sertifikat berumur pendek yang telah dikompromikan dengan cepat kedaluwarsa sebagai bagian dari operasi normal. Akibatnya, contoh CA ini tidak memiliki mekanisme pencabutan.
catatan
AWS Private CA tidak melakukan pemeriksaan validitas pada sertifikat CA root.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Gunakan describe-certificate-authorityperintah di AWS CLI untuk menampilkan rincian tentang CA yang dihasilkan, seperti yang ditunjukkan pada perintah berikut:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Contoh 6: Buat CA untuk login Active Directory
Anda dapat membuat CA pribadi yang cocok untuk digunakan di toko Enterprise NTAuth Microsoft Active Directory (AD), di mana ia dapat mengeluarkan sertifikat card-logon atau domain-controller. Untuk informasi tentang mengimpor sertifikat CA ke AD, lihat Cara mengimpor sertifikat otoritas sertifikasi pihak ketiga (CA) ke dalam toko Enterprise NTAuth
Alat Microsoft certutil
Contoh ini menggunakan file ca_config_AD.txt
konfigurasi berikut.
Berkas: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Contoh 7: Buat CA Materi dengan CRL terlampir dan ekstensi CDP dihilangkan dari sertifikat yang diterbitkan
Anda dapat membuat CA pribadi yang cocok untuk menerbitkan sertifikat untuk standar rumah pintar Matter. Dalam contoh ini, konfigurasi CA dalam ca_config_PAA.txt
mendefinisikan Matter Product Attestation Authority (PAA) dengan Vendor ID (VID) disetel ke FFF1.
Berkas: ca_config_PAA.txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
Konfigurasi pencabutan memungkinkan CRL, dan mengonfigurasi CA untuk menghilangkan URL CDP default dari sertifikat yang dikeluarkan.
Berkas: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"DOC-EXAMPLE-BUCKET
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Perintah
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Deskripsi ini harus berisi bagian berikut.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "DOC-EXAMPLE-BUCKET
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...