Prosedur untuk membuat CA (konsol) - AWS Private Certificate Authority
Opsi modeOpsi tipe CAOpsi nama yang dibedakan subjekOpsi algoritma kunciOpsi pencabutan sertifikatTambahkan tagOpsi izin CAHargaBuat CA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prosedur untuk membuat CA (konsol)

Selesaikan langkah-langkah berikut untuk membuat CA pribadi menggunakan AWS Management Console.

Untuk mulai menggunakan konsol

Masuk ke AWS akun Anda dan buka AWS Private CA konsol dihttps://console.aws.amazon.com/acm-pca/home.

  • Jika Anda membuka konsol di Wilayah di mana Anda tidak memiliki CA pribadi, halaman pengantar akan muncul. Pilih Buat CA pribadi.

  • Jika Anda membuka konsol di Wilayah tempat Anda telah membuat CA, halaman otoritas sertifikat pribadi terbuka dengan daftar CA Anda. Pilih Buat CA.

Opsi mode

Pada bagian Opsi mode konsol, pilih mode kedaluwarsa sertifikat yang dikeluarkan CA Anda.

  • Tujuan umum - Mengeluarkan sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun. Ini adalah opsi default.

  • Sertifikat berumur pendek - Menerbitkan sertifikat dengan masa berlaku maksimum tujuh hari. Periode validitas yang singkat dapat menggantikan dalam beberapa kasus untuk mekanisme pencabutan.

Opsi tipe CA

Pada bagian Opsi jenis konsol, pilih jenis otoritas sertifikat pribadi yang ingin Anda buat.

  • Memilih Root menetapkan hierarki CA baru. CA ini didukung dengan sertifikat yang ditandatangani sendiri. Sertifikat ini berfungsi sebagai otoritas penandatanganan terakhir untuk CA lain dan sertifikat entitas akhir dalam hierarki tersebut.

  • Memilih Bawahan menciptakan CA yang harus ditandatangani oleh CA induk di atasnya dalam hierarki. CA bawahan biasanya digunakan untuk membuat CA bawahan lainnya atau untuk mengeluarkan sertifikat entitas akhir kepada pengguna, komputer, dan aplikasi.

    catatan

    AWS Private CA menyediakan proses penandatanganan otomatis ketika CA induk CA bawahan Anda juga di-host oleh AWS Private CA. Yang Anda lakukan hanyalah memilih CA induk untuk digunakan.

    CA bawahan Anda mungkin perlu ditandatangani oleh penyedia layanan kepercayaan eksternal. Jika demikian, AWS Private CA memberi Anda permintaan penandatanganan sertifikat (CSR) yang harus Anda unduh dan gunakan untuk mendapatkan sertifikat CA yang ditandatangani. Untuk informasi selengkapnya, lihat Memasang sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal.

Opsi nama yang dibedakan subjek

Di bawah Opsi nama yang dibedakan Subjek, konfigurasikan nama subjek CA pribadi Anda. Anda harus memasukkan nilai untuk setidaknya satu dari opsi berikut:

  • Organisasi (O) — Misalnya, nama perusahaan

  • Unit Organisasi (OU) — Misalnya, divisi dalam perusahaan

  • Nama negara (C) — Kode negara dua huruf

  • Nama negara bagian atau provinsi — Nama lengkap negara bagian atau provinsi

  • Nama lokalitas — Nama kota

  • Common Name (CN) — String yang dapat dibaca manusia untuk mengidentifikasi CA.

catatan

Anda dapat lebih lanjut menyesuaikan nama subjek sertifikat dengan menerapkan template ApiPassThrough pada saat penerbitan. Untuk informasi lebih lanjut dan contoh terperinci, lihatMenerbitkan sertifikat dengan nama subjek kustom menggunakan template ApiPassThrough.

Karena sertifikat dukungan ditandatangani sendiri, informasi subjek yang Anda berikan untuk CA pribadi mungkin lebih jarang daripada yang dikandung CA publik. Untuk informasi selengkapnya tentang masing-masing nilai yang membentuk nama subjek yang dibedakan, lihat RFC 5280.

Opsi algoritma kunci

Di bawah opsi Algoritma kunci, pilih algoritma kunci dan ukuran bit kunci. Nilai default adalah algoritme RSA dengan panjang kunci 2048 bit. Anda dapat memilih dari algoritma berikut:

  • RSA 2048

  • RSA 4096

  • ECDSA P256

  • ECDSA P384

Opsi pencabutan sertifikat

Di bawah opsi pencabutan sertifikat, Anda dapat memilih dari dua metode berbagi status pencabutan dengan klien yang menggunakan sertifikat Anda:

  • Aktifkan distribusi CRL

  • Nyalakan OCSP

Anda dapat mengonfigurasi salah satu, keduanya, atau kedua opsi pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik terbaik. Sebelum menyelesaikan langkah ini, lihat Menyiapkan metode pencabutan sertifikat informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.

catatan

Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat Memperbarui CA privat Anda.

  1. Di bawah opsi pencabutan sertifikat, pilih Aktifkan distribusi CRL.

  2. Untuk membuat bucket Amazon S3 untuk entri CRL Anda, pilih Buat bucket S3 baru dan ketikkan nama bucket unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak, di bawah URI bucket S3, pilih bucket yang ada dari daftar.

    Saat Anda membuat bucket baru melalui konsol, AWS Private CA coba lampirkan kebijakan akses yang diperlukan ke bucket, dan nonaktifkan setelan Blokir Akses Publik (BPA) default S3 di dalamnya. Jika Anda menentukan bucket yang sudah ada, Anda harus memastikan bahwa BPA dinonaktifkan untuk akun dan bucket. Jika tidak, operasi untuk membuat CA gagal. Jika CA berhasil dibuat, Anda harus tetap melampirkan kebijakan secara manual sebelum Anda dapat mulai membuat CRL. Gunakan salah satu pola kebijakan yang dijelaskan dalam Kebijakan akses untuk CRL di Amazon S3 . Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3.

    penting

    Upaya untuk membuat CA menggunakan AWS Private CA konsol gagal jika semua kondisi berikut berlaku:

    • Anda sedang menyiapkan CRL.

    • Anda meminta AWS Private CA untuk membuat bucket S3 secara otomatis.

    • Anda menegakkan pengaturan BPA di S3.

    Dalam situasi ini, konsol membuat ember, tetapi mencoba dan gagal membuatnya dapat diakses publik. Periksa pengaturan Amazon S3 Anda jika ini terjadi, nonaktifkan BPA sesuai kebutuhan, lalu ulangi prosedur untuk membuat CA. Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda.

  3. Perluas pengaturan CRL untuk opsi konfigurasi tambahan.

    • Tambahkan Nama CRL Kustom untuk membuat alias untuk bucket Amazon S3. Nama ini ada dalam sertifikat yang diterbitkan oleh CA di ekstensi “CRL Distribution Points” yang ditentukan oleh RFC 5280.

    • Ketik Validitas dalam beberapa hari CRL Anda akan tetap valid. Nilai default-nya adalah 7 hari. Untuk CRL online, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba meregenerasi CRL pada titik tengah periode yang ditentukan.

  4. Perluas pengaturan S3 untuk konfigurasi opsional versi Bucket dan pencatatan akses Bucket.

  1. Di bawah opsi pencabutan sertifikat, pilih Aktifkan OCSP.

  2. Di bidang endpoint OCSP Kustom - opsional, Anda dapat memberikan nama domain yang memenuhi syarat (FQDN) untuk titik akhir OCSP non-Amazon.

    Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

    • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS

    • Tambahkan catatan CNAME yang sesuai ke database DNS Anda.

    Tip

    Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. Mengkonfigurasi URL Kustom untuk AWS Private CA OCSP

    Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.

    Nama catatan Tipe Kebijakan perutean Diferensiator Nilai/Rutekan lalu lintas ke

    alternatif.example.com

    		 CNAME Sederhana - proxy.example.com
    catatan

    Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.

Tambahkan tag

Di bawah Tambahkan tag, Anda dapat menandai CA Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter AWS Private CA tag dan petunjuk tentang cara menambahkan tag ke CA setelah pembuatan, lihatMengelola tag untuk CA pribadi Anda.

catatan

Untuk melampirkan tag ke CA pribadi selama prosedur pembuatan, administrator CA harus terlebih dahulu mengaitkan kebijakan IAM sebaris dengan CreateCertificateAuthority tindakan dan secara eksplisit mengizinkan penandaan. Untuk informasi selengkapnya, lihat Tag-on-create: Melampirkan tag ke CA pada saat pembuatan.

Opsi izin CA

Di bawah opsi izin CA, Anda dapat secara opsional mendelegasikan izin perpanjangan otomatis ke kepala layanan. AWS Certificate Manager ACM hanya dapat memperbarui sertifikat entitas akhir privat secara otomatis yang dibuat oleh CA ini, jika izin ini diberikan. Anda dapat menetapkan izin perpanjangan kapan saja dengan AWS Private CACreatePermissionAPI atau perintah CLI create-permission.

Dafault-nya adalah untuk mengaktifkan izin ini.

catatan

AWS Certificate Manager tidak mendukung pembaruan otomatis sertifikat berumur pendek.

Harga

Di bawah Harga, konfirmasikan bahwa Anda memahami harga untuk CA pribadi.

catatan

Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.

Buat CA

Pilih Buat CA setelah Anda memeriksa semua informasi yang dimasukkan untuk akurasi. Halaman detail untuk CA terbuka dan menampilkan statusnya sebagai sertifikat Tertunda.

catatan

Saat berada di halaman detail, Anda dapat menyelesaikan konfigurasi CA Anda dengan memilih Tindakan, Instal sertifikat CA, atau Anda dapat kembali nanti ke daftar otoritas sertifikat pribadi dan menyelesaikan prosedur instalasi yang berlaku dalam kasus Anda: