Prosedur untuk membuat CA (CLI) - AWS Private Certificate Authority
Contoh 1: Buat CA dengan OCSP diaktifkanContoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkanContoh 3: Buat CA dengan CRL terlampirContoh 4: Buat CA dengan CRL terlampir dan CNAME kustom diaktifkanContoh 5: Buat CA dan tentukan mode penggunaanContoh 6: Buat CA untuk login Active DirectoryContoh 7: Buat CA Materi dengan CRL terlampir dan ekstensi CDP dihilangkan dari sertifikat yang diterbitkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prosedur untuk membuat CA (CLI)

Gunakan perintah create-certificate-authority untuk membuat CA privat. Anda harus menentukan konfigurasi CA (berisi algoritme dan informasi nama subjek), konfigurasi pencabutan (jika Anda berencana menggunakan OCSP dan/atau CRL), dan jenis CA (root atau bawahan). Rincian konfigurasi konfigurasi dan pencabutan terkandung dalam dua file yang Anda berikan sebagai argumen ke perintah. Secara opsional, Anda juga dapat mengonfigurasi mode penggunaan CA (untuk menerbitkan sertifikat standar atau jangka pendek), melampirkan tag, dan menyediakan token idempotensi.

Jika mengkonfigurasi CRL, Anda harus membuat bucket Amazon S3 aman yang siap digunakan sebelum Anda menerbitkan perintah create-certificate-authority. Untuk informasi lebih lanjut, lihat Kebijakan akses untuk CRL di Amazon S3 .

File konfigurasi CA menentukan informasi berikut:

  • Nama algoritme

  • Ukuran kunci yang akan digunakan untuk membuat kunci privat CA

  • Jenis algoritme penandatanganan yang CA gunakan untuk menandatangan

  • Informasi subjek X.500

Konfigurasi pencabutan untuk OCSP mendefinisikan OcspConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • (Opsional) CNAME kustom dideklarasikan sebagai nilai untukOcspCustomCname.

Konfigurasi pencabutan untuk CRL mendefinisikan CrlConfiguration objek dengan informasi berikut:

  • EnabledBendera diatur ke “true”.

  • Periode kedaluwarsa CRL dalam beberapa hari (masa berlaku CRL).

  • Bucket Amazon S3 yang akan berisi CRL.

  • (Opsional) ObjectAcl Nilai S3 yang menentukan apakah CRL dapat diakses publik. Dalam contoh yang disajikan di sini, akses publik diblokir. Untuk informasi selengkapnya, lihat Mengaktifkan S3 Block Public Access (BPA) dengan CloudFront.

  • (Opsional) Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA. Jika CRL tidak dapat diakses publik, ini akan mengarah ke mekanisme distribusi seperti Amazon. CloudFront

  • (Opsional) CrlDistributionPointExtensionConfiguration Objek dengan informasi berikut:

    • OmitExtensionBendera disetel ke “true” atau “false”. Ini mengontrol apakah nilai default untuk ekstensi CDP akan ditulis ke sertifikat yang dikeluarkan oleh CA. Untuk informasi selengkapnya tentang ekstensi CDP, lihatMenentukan URI Titik Distribusi CRL (CDP) . A CustomCname tidak dapat OmitExtension diatur jika “benar”.

catatan

Anda dapat mengaktifkan kedua mekanisme pencabutan pada CA yang sama dengan mendefinisikan OcspConfiguration objek dan objek. CrlConfiguration Jika Anda tidak memberikan --revocation-configuration parameter, kedua mekanisme dinonaktifkan secara default. Jika Anda memerlukan dukungan validasi pencabutan nanti, lihat. Memperbarui CA (CLI)

Contoh berikut mengasumsikan bahwa Anda telah menyiapkan direktori .aws konfigurasi Anda dengan Region, endpoint, dan kredensyal default yang valid. Untuk informasi tentang mengonfigurasi AWS CLI lingkungan Anda, lihat Pengaturan konfigurasi dan file kredensyal. Untuk keterbacaan, kami menyediakan konfigurasi CA dan input pencabutan sebagai file JSON dalam perintah contoh. Ubah file contoh sesuai kebutuhan untuk Anda gunakan.

Semua contoh menggunakan file ca_config.txt konfigurasi berikut kecuali dinyatakan lain.

Berkas: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Contoh 1: Buat CA dengan OCSP diaktifkan

Dalam contoh ini, file pencabutan mengaktifkan dukungan OCSP default, yang menggunakan AWS Private CA responden untuk memeriksa status sertifikat.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Jika berhasil, perintah ini akan menghasilkan Amazon Resource Name (ARN) dari CA baru.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan

Dalam contoh ini, file pencabutan memungkinkan dukungan OCSP yang disesuaikan. OcspCustomCnameParameter mengambil nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai nilainya.

Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

  • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS

  • Tambahkan catatan CNAME yang sesuai ke database DNS Anda.

Tip

Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. Mengkonfigurasi URL Kustom untuk AWS Private CA OCSP

Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.

Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

alternatif.example.com

 CNAME Sederhana - proxy.example.com
catatan

Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.

File: revoke_config.txt untuk OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Contoh 3: Buat CA dengan CRL terlampir

Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET"
   },
   ...
}

Contoh 4: Buat CA dengan CRL terlampir dan CNAME kustom diaktifkan

Dalam contoh ini, konfigurasi pencabutan mendefinisikan parameter CRL yang menyertakan CNAME kustom.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
   ...
   }
}

Contoh 5: Buat CA dan tentukan mode penggunaan

Dalam contoh ini, mode penggunaan CA ditentukan saat membuat CA. Jika tidak ditentukan, parameter mode penggunaan default ke GENERAL_PURPOSE. Dalam contoh ini, parameter diatur ke SHORT_LIVED_CERTIFICATE, yang berarti bahwa CA akan mengeluarkan sertifikat dengan masa berlaku maksimum tujuh hari. Dalam situasi di mana tidak nyaman untuk mengonfigurasi pencabutan, sertifikat berumur pendek yang telah dikompromikan dengan cepat kedaluwarsa sebagai bagian dari operasi normal. Akibatnya, contoh CA ini tidak memiliki mekanisme pencabutan.

catatan

AWS Private CA tidak melakukan pemeriksaan validitas pada sertifikat CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Gunakan describe-certificate-authorityperintah di AWS CLI untuk menampilkan rincian tentang CA yang dihasilkan, seperti yang ditunjukkan pada perintah berikut:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Contoh 6: Buat CA untuk login Active Directory

Anda dapat membuat CA pribadi yang cocok untuk digunakan di toko Enterprise NTAuth Microsoft Active Directory (AD), di mana ia dapat mengeluarkan sertifikat card-logon atau domain-controller. Untuk informasi tentang mengimpor sertifikat CA ke AD, lihat Cara mengimpor sertifikat otoritas sertifikasi pihak ketiga (CA) ke dalam toko Enterprise NTAuth.

Alat Microsoft certutil dapat digunakan untuk mempublikasikan sertifikat CA di AD dengan menjalankan opsi. -dspublish Sertifikat yang diterbitkan untuk AD dengan certutil dipercaya di seluruh hutan. Dengan menggunakan kebijakan grup, Anda juga dapat membatasi kepercayaan pada subset dari seluruh hutan, misalnya, satu domain atau sekelompok komputer dalam domain. Agar logon berfungsi, CA penerbit juga harus dipublikasikan di toko NTAuth. Untuk informasi selengkapnya, lihat Mendistribusikan Sertifikat ke Komputer Klien dengan Menggunakan Kebijakan Grup.

Contoh ini menggunakan file ca_config_AD.txt konfigurasi berikut.

Berkas: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Contoh 7: Buat CA Materi dengan CRL terlampir dan ekstensi CDP dihilangkan dari sertifikat yang diterbitkan

Anda dapat membuat CA pribadi yang cocok untuk menerbitkan sertifikat untuk standar rumah pintar Matter. Dalam contoh ini, konfigurasi CA dalam ca_config_PAA.txt mendefinisikan Matter Product Attestation Authority (PAA) dengan Vendor ID (VID) disetel ke FFF1.

Berkas: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

Konfigurasi pencabutan memungkinkan CRL, dan mengonfigurasi CA untuk menghilangkan URL CDP default dari sertifikat yang dikeluarkan.

Berkas: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Perintah

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Gunakan perintah berikut untuk memeriksa konfigurasi CA Anda.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Deskripsi ini harus berisi bagian berikut.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...