Membuat dan menginstal sertifikat CA - AWS Private Certificate Authority
Algoritma penandatanganan yang kompatibelMemasang sertifikat CA rootMemasang sertifikat CA bawahan yang diselenggarakan oleh AWS Private CAMemasang sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dan menginstal sertifikat CA

Selesaikan prosedur berikut untuk membuat dan menginstal sertifikat CA privat Anda. CA Anda kemudian akan siap digunakan.

AWS Private CA mendukung tiga skenario untuk menginstal sertifikat CA:

  • Menginstal sertifikat untuk root CA yang dihosting oleh AWS Private CA

  • Memasang sertifikat CA bawahan yang otoritas induknya dihosting oleh AWS Private CA

  • Menginstal sertifikat CA bawahan yang otoritas induknya di-host secara eksternal

Bagian berikut menjelaskan prosedur untuk setiap skenario. Prosedur konsol dimulai pada halaman konsol Pribadi CAs.

Algoritma penandatanganan yang kompatibel

Dukungan algoritma penandatanganan untuk sertifikat CA tergantung pada algoritma penandatanganan CA induk dan pada Wilayah AWS. Kendala berikut berlaku untuk konsol dan operasi. AWS CLI

  • CA induk dengan algoritme RSA penandatanganan dapat mengeluarkan sertifikat dengan algoritme berikut:

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • Dalam warisan Wilayah AWS, CA induk dengan algoritme EDCSA penandatanganan dapat mengeluarkan sertifikat dengan algoritme berikut:

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    Warisan Wilayah AWS meliputi:

    Nama Wilayah

    Lokasi geografis

    eu-north-1

    Eropa (Stockholm)

    me-south-1

    Timur Tengah (Bahrain)

    ap-south-1

    Asia Pasifik (Mumbai)

    eu-west-3

    Eropa (Paris)

    us-east-2

    AS Timur (Ohio)

    af-south-1

    Afrika (Cape Town)

    eu-west-1

    Eropa (Irlandia)

    eu-central-1

    Eropa (Frankfurt)

    sa-east-1

    Amerika Selatan (Sao Paulo)

    ap-east-1

    Asia Pasifik (Hong Kong)

    us-east-1

    AS Timur (Virginia Utara)

    ap-northeast-2

    Asia Pasifik (Seoul)

    eu-west-2

    Eropa (London)

    ap-northeast-1

    Asia Pasifik (Tokyo)

    us-gov-east-1

    AWS GovCloud (AS-Timur)

    us-gov-west-1

    AWS GovCloud (AS-Barat)

    us-west-2

    AS Barat (Oregon)

    us-west-1

    AS Barat (California Utara)

    ap-southeast-1

    Asia Pasifik (Singapura)

    ap-southeast-2

    Asia Pasifik (Sydney)

  • Dalam non-warisan Wilayah AWS, aturan berikut berlaku untuk: EDCSA

    • CA induk dengan algoritma penandatanganan EC_Prime256v1 dapat mengeluarkan sertifikat dengan P256. ECDSA

    • CA induk dengan algoritma penandatanganan EC_Secp384R1 dapat mengeluarkan sertifikat dengan P384. ECDSA

Memasang sertifikat CA root

Anda dapat menginstal sertifikat CA root dari AWS Management Console atau file AWS CLI.

Untuk membuat dan menginstal sertifikat untuk CA root pribadi Anda (konsol)

  1. (Opsional) Jika Anda belum berada di halaman detail CA, buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah. Pada halaman Otoritas sertifikat pribadi, pilih CA root dengan status Sertifikat tertunda atau Aktif.

  2. Pilih Tindakan, Instal sertifikat CA untuk membuka halaman sertifikat CA root Install.

  3. Di bawah Tentukan parameter sertifikat CA root, tentukan parameter sertifikat berikut:

    Tinjau pengaturan Anda untuk kebenaran, lalu pilih Konfirmasi dan instal. AWS Private CA mengekspor a CSR untuk CA Anda, menghasilkan sertifikat menggunakan templat sertifikat CA root, dan menandatangani sendiri sertifikat. AWS Private CA kemudian mengimpor sertifikat CA root yang ditandatangani sendiri.

  4. Halaman detail untuk CA menampilkan status instalasi (sukses atau gagal) di bagian atas. Jika penginstalan berhasil, CA root yang baru selesai menampilkan status Aktif di panel Umum.

Untuk membuat dan menginstal sertifikat untuk root pribadi CA (AWS CLI)

  1. Buat permintaan penandatanganan sertifikat (CSR).

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    File yang dihasilkanca.csr, PEM file yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    Anda dapat menggunakan Open SSL untuk melihat dan memverifikasi isiCSR.

    openssl req -text -noout -verify -in ca.csr

    Ini menghasilkan output yang mirip dengan yang berikut ini.

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. Menggunakan CSR dari langkah sebelumnya sebagai argumen untuk --csr parameter, keluarkan sertifikat root.

    catatan

    Jika Anda menggunakan AWS CLI versi 1.6.3 atau yang lebih baru, gunakan awalan fileb:// saat menentukan file input yang diperlukan. Ini memastikan bahwa AWS Private CA mem-parsing data yang dikodekan Base64 dengan benar.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. Ambil sertifikat akar.

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    File yang dihasilkancert.pem, PEM file yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Anda dapat menggunakan Buka SSL untuk melihat dan memverifikasi isi sertifikat.

    openssl x509 -in cert.pem -text -noout

    Ini menghasilkan output yang mirip dengan yang berikut ini.

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. Impor sertifikat CA root untuk menginstalnya di CA.

    catatan

    Jika Anda menggunakan AWS CLI versi 1.6.3 atau yang lebih baru, gunakan awalan fileb:// saat menentukan file input yang diperlukan. Ini memastikan bahwa AWS Private CA mem-parsing data yang dikodekan Base64 dengan benar.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

Periksa status baru CA.

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

Status sekarang muncul sebagaiACTIVE.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Memasang sertifikat CA bawahan yang diselenggarakan oleh AWS Private CA

Anda dapat menggunakan AWS Management Console untuk membuat dan menginstal sertifikat untuk CA bawahan Anda yang AWS Private CA dihosting.

Untuk membuat dan menginstal sertifikat untuk CA bawahan Anda yang AWS Private CA dihosting

  1. (Opsional) Jika Anda belum berada di halaman detail CA, buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah. Pada halaman Otoritas sertifikat pribadi, pilih CA bawahan dengan status Sertifikat tertunda atau Aktif.

  2. Pilih Tindakan, Instal Sertifikat CA untuk membuka halaman Instal sertifikat CA bawahan.

  3. Pada halaman Instal sertifikat CA bawahan, di bawah Pilih jenis CA, pilih AWS Private CAuntuk menginstal sertifikat yang dikelola oleh AWS Private CA.

  4. Di bawah Pilih CA induk, pilih CA dari daftar CA pribadi Induk. Daftar ini disaring untuk ditampilkan CAs yang memenuhi kriteria berikut:

    • Anda memiliki izin untuk menggunakan CA.

    • CA tidak akan menandatangani sendiri.

    • CA berada di negara bagianACTIVE.

    • Mode CA adalahGENERAL_PURPOSE.

  5. Di bawah Tentukan parameter sertifikat CA bawahan, tentukan parameter sertifikat berikut:

    • Validitas - Menentukan tanggal kedaluwarsa dan waktu untuk sertifikat CA.

    • Algoritma tanda tangan - Menentukan algoritma penandatanganan yang akan digunakan saat root CA mengeluarkan sertifikat baru. Pilihannya adalah:

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • Panjang jalur — Jumlah lapisan kepercayaan yang dapat ditambahkan CA bawahan saat menandatangani sertifikat baru. Panjang jalur nol (default) berarti hanya sertifikat entitas akhir, dan bukan sertifikat CA, yang dapat dibuat. Panjang jalur satu atau lebih berarti bahwa CA bawahan dapat mengeluarkan sertifikat untuk membuat CAs bawahan tambahan untuk itu.

    • Template ARN - ARN Menampilkan template konfigurasi untuk sertifikat CA ini. Templat berubah jika Anda mengubah Panjang jalur yang ditentukan. Jika Anda membuat sertifikat menggunakan perintah atau API IssueCertificatetindakan CLI issue-certificate, Anda harus menentukan secara manual. ARN Untuk informasi tentang templat sertifikat CA yang tersedia, lihat Memahami templat sertifikat.

  6. Tinjau pengaturan Anda untuk kebenaran, lalu pilih Konfirmasi dan instal. AWS Private CA mengekspor aCSR, menghasilkan sertifikat menggunakan templat sertifikat CA bawahan, dan menandatangani sertifikat itu dengan CA induk yang dipilih. AWS Private CA kemudian mengimpor sertifikat CA bawahan yang ditandatangani.

  7. Halaman detail untuk CA menampilkan status instalasi (sukses atau gagal) di bagian atas. Jika penginstalan berhasil, CA bawahan yang baru selesai menampilkan status Aktif di panel Umum.

Memasang sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal

Setelah Anda membuat CA privat bawahan seperti yang dijelaskan dalam Prosedur untuk membuat CA (konsol) atau Prosedur untuk membuat CA (CLI) , Anda dapat mengaktifkannya dengan menginstal sertifikat CA yang ditandatangani oleh otoritas penandatanganan eksternal. Menandatangani sertifikat CA bawahan Anda dengan CA eksternal mengharuskan Anda terlebih dahulu menyiapkan penyedia layanan kepercayaan eksternal sebagai otoritas penandatanganan Anda, atau mengatur penggunaan penyedia pihak ketiga.

catatan

Prosedur untuk membuat atau memperoleh penyedia layanan kepercayaan eksternal berada di luar cakupan panduan ini.

Setelah Anda membuat CA bawahan dan Anda memiliki akses ke otoritas penandatanganan eksternal, selesaikan tugas-tugas berikut:

  1. Dapatkan permintaan penandatanganan sertifikat (CSR) dari AWS Private CA.

  2. Kirimkan CSR ke otoritas penandatanganan eksternal Anda dan dapatkan sertifikat CA yang ditandatangani bersama dengan sertifikat rantai apa pun.

  3. Impor sertifikat CA dan rantai ke AWS Private CA untuk mengaktifkan CA bawahan Anda.

Untuk prosedur terperinci, lihat Sertifikat CA pribadi yang ditandatangani secara eksternal .