Configurazione di Windows Server come autorità di certificazione (CA) con AWS CloudHSM - AWS CloudHSM
PrerequisitiCreare un'autorità di certificazione (CA) Windows ServerFirma un CSR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Windows Server come autorità di certificazione (CA) con AWS CloudHSM

In un'infrastruttura a chiave pubblica (PKI), un'autorità di certificazione (CA) è un'entità attendibile che emette certificati digitali. Tali certificati digitali associano una chiave pubblica a un'identità (una persona o un'organizzazione) mediante crittografia a chiave pubblica e firme digitali. Per gestire una CA, è necessario mantenere l'attendibilità proteggendo la chiave privata che firma i certificati emessi dalla CA. È possibile archiviare la chiave privata HSM nel AWS CloudHSM cluster e utilizzarla HSM per eseguire le operazioni di firma crittografica.

In questo tutorial, si utilizza Windows Server e si AWS CloudHSM configura una CA. Puoi installare il client software AWS CloudHSM per Windows sul server Windows e quindi aggiungere il ruolo Active Directory Certificate Services (AD CS) a Windows Server. Quando configuri questo ruolo, utilizzi un provider di archiviazione delle AWS CloudHSM chiavi (KSP) per creare e archiviare la chiave privata della CA nel AWS CloudHSM cluster. KSPÈ il bridge che collega il server Windows al AWS CloudHSM cluster. Nell'ultimo passaggio, firmi una richiesta di firma del certificato (CSR) con la tua CA di Windows Server.

Per ulteriori informazioni, consulta i seguenti argomenti:

Fase 1: configurazione dei prerequisiti

Per configurare Windows Server come autorità di certificazione (CA) con AWS CloudHSM, è necessario quanto segue:

  • Un AWS CloudHSM cluster attivo con almeno unoHSM.

  • Un'EC2istanza Amazon che esegue un sistema operativo Windows Server con il software AWS CloudHSM client per Windows installato. In questo tutorial viene utilizzato Microsoft Windows Server 2016.

  • Un utente crittografico (CU) che possiede e gestisce la chiave privata della CA su. HSM

Per configurare i prerequisiti per una CA Windows Server con AWS CloudHSM

  1. Completa le fasi descritte in Nozioni di base. Quando avvii il EC2 client Amazon, scegli un server WindowsAMI. In questo tutorial viene utilizzato Microsoft Windows Server 2016. Una volta completati questi passaggi, hai un cluster attivo con almeno unoHSM. Hai anche un'istanza EC2 client Amazon che esegue Windows Server con il software AWS CloudHSM client per Windows installato.

  2. (Facoltativo) HSMs Aggiungine altri al cluster. Per ulteriori informazioni, consulta Aggiungere un file HSM a un cluster AWS CloudHSM.

  3. Effettuare la connessione all'istanza del client. Per ulteriori informazioni, consulta Connect to Your Instance nella Amazon EC2 User Guide.

  4. Crea un utente crittografico (CU) utilizzando Managing HSM users with Cloud HSM CLI o Managing HSM users with Cloud HSM Management Utility (CMU). Prendere nota del nome utente e della password del CU, Saranno necessari per completare la fase successiva.

  5. Imposta le credenziali di accesso per HSM, utilizzando il nome utente e la password CU che hai creato nel passaggio precedente.

  6. Nel passaggio 5, se hai utilizzato Windows Credentials Manager per impostare le HSM credenziali, scarica psexec.exeda SysInternals per eseguire il comando seguente come NT Authority\: SYSTEM

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Replace (Sostituisci) <USERNAME> e <PASSWORD> con le credenziali. HSM

Per creare una CA Windows Server con AWS CloudHSM, vai aCreare un'autorità di certificazione (CA) Windows Server.

Passaggio 2: creare una CA Windows Server con AWS CloudHSM

Per creare un'autorità di certificazione (CA) Windows Server, aggiungi il ruolo Active Directory Certificate Services (AD CS) al tuo Windows Server. Quando aggiungi questo ruolo, utilizzi un provider di archiviazione delle AWS CloudHSM chiavi (KSP) per creare e archiviare la chiave privata della CA nel tuo AWS CloudHSM cluster.

Nota

Quando crei la tua CA Windows Server, puoi scegliere di creare una CA radice o una CA subordinata. La scelta dipende in genere da come la tua infrastruttura a chiave pubblica è stata progettata e dalle policy di sicurezza della tua organizzazione. Per semplicità, questo tutorial spiega come creare una CA radice.

Per aggiungere un ruolo AD CS al tuo Windows Server e creare una chiave privata CA

  1. Effettuare la connessione al server Windows, se non è stato ancora fatto. Per ulteriori informazioni, consulta Connect to Your Instance nella Amazon EC2 User Guide.

  2. Su Windows Server avviare Server Manager.

  3. Nel pannello di controllo Server Manager scegliere Add roles and features (Aggiungi ruoli e funzionalità).

  4. Leggere le informazioni Before you begin (Prima di iniziare), quindi scegliere Next (Successivo).

  5. Per Installation Type (Tipo di installazione) scegliere Role-based or feature-based installation (Installazione basata su ruoli o su funzionalità). Quindi scegli Successivo.

  6. Per Server Selection (Selezione server) scegliere Select a server from the server pool (Seleziona un server dal gruppo di server). Quindi scegli Successivo.

  7. Per Server Roles (Ruoli server) utilizzare la seguente procedura:

    1. Selezionare Active Directory Certificate Services.

    2. Per Add features that are required for Active Directory Certificate Services (Aggiungi le funzionalità richieste per Active Directory Certificate Services) scegliere Add Features (Aggiungi funzionalità).

    3. Selezionare Next (Successivo) per terminare la selezione dei ruoli server.

  8. Per Features (Funzionalità), accettare i valori predefiniti, quindi scegliere Next (Successivo).

  9. Per AD CS procedere nel seguente modo:

    1. Scegli Next (Successivo).

    2. Selezionare Certification Authority (Autorità di certificazione), quindi Next (Successivo).

  10. Per Confirmation (Conferma), leggere le informazioni di conferma, quindi scegliere Install (Installa). Non chiudere la finestra.

  11. Scegliere il link evidenziato Configure Active Directory Certificate Services on the destination server (Configura Active Directory Certificate Services sul server di destinazione).

  12. Per Credentials (Credenziali), verificare o cambiare le credenziali visualizzate. Quindi scegli Successivo.

  13. Per Role Services (Servizi ruolo), selezionare Certification Authority (Autorità di certificazione). Quindi scegli Successivo.

  14. Per Setup Type (Tipo di installazione) selezionare Standalone CA (CA indipendente). Quindi scegli Successivo.

  15. Per CA Type (Tipo CA) selezionare Root CA (CA radice). Quindi scegli Successivo.

    Nota

    La scelta tra creare una CA radice o una CA subordinata dipende da come l'infrastruttura a chiave pubblica è stata progettata e dalle policy di sicurezza dell'organizzazione. Per semplicità, questo tutorial spiega come creare una CA radice.

  16. Per Private Key (Chiave privata) selezionare Create a new private key (Crea una nuova chiave privata). Quindi scegli Successivo.

  17. Per Cryptography (Crittografia) procedere nel seguente modo:

    1. Per Select a cryptographic provider (Seleziona un provider di crittografia) scegliere una delle opzioni Cavium Key Storage Provider (Provider di archiviazione chiavi Cavium) nel menu. Questi sono i provider di archiviazione chiavi AWS CloudHSM . Ad esempio, puoi scegliere RSA#Cavium Key Storage Provider.

    2. Per Key length (Lunghezza chiave) scegliere una delle opzioni disponibili.

    3. Per Select the hash algorithm for signing certificates issued by this CA (Seleziona l'algoritmo hash per firmare i certificati rilasciati da questa CA) scegliere una delle opzioni di algoritmo hash disponibili.

    Scegli Next (Successivo).

  18. Per CA Name (Nome CA) procedere nel seguente modo:

    1. (Opzionale) Modificare il nome comune.

    2. (Opzionale) Digitare un suffisso del nome distinto.

    Scegli Next (Successivo).

  19. Per Validity Period (Periodo di validità) specificare un periodo di tempo in anni, mesi, settimane o giorni. Quindi scegli Successivo.

  20. Per Certificate Database (Database certificati), è possibile accettare i valori predefiniti oppure modificare la posizione per il database e il log del database. Quindi scegli Successivo.

  21. Per Confirmation (Conferma) rivedere le informazioni relative alla CA, quindi scegliere Configure (Configura).

  22. Selezionare Close (Chiudi) e poi ancora Close (Chiudi).

Ora disponi di una CA Windows Server con AWS CloudHSM. Per informazioni su come firmare una richiesta di firma di un certificato (CSR) con la tua CA, vai aFirma un CSR.

Passaggio 3: Firma una richiesta di firma del certificato (CSR) con la CA di Windows Server con AWS CloudHSM

Puoi utilizzare la tua CA di Windows Server con AWS CloudHSM per firmare una richiesta di firma del certificato (CSR). Per completare questi passaggi, è necessario un documento validoCSR. È possibile creare un file CSR in diversi modi, tra cui i seguenti:

  • Utilizzo di Open SSL

  • Utilizzo di Windows Server Internet Information Services (IIS) Manager

  • Utilizzo di snap-in di certificati in Microsoft Management Console

  • Utilizzo dell'utility a riga di comando certreq su Windows

I passaggi per creare un file CSR non rientrano nell'ambito di questo tutorial. Se ne hai unoCSR, puoi firmarlo con la tua CA di Windows Server.

Per firmare un documento CSR con la tua CA di Windows Server

  1. Effettuare la connessione al server Windows, se non è stato ancora fatto. Per ulteriori informazioni, consulta Connect to Your Instance nella Amazon EC2 User Guide.

  2. Su Windows Server avviare Server Manager.

  3. Nel pannello di controllo Server Manager, nell'angolo in alto a destra, scegliere Tools (Strumenti), Certification Authority (Autorità di certificazione).

  4. Nella finestra Certification Authority (Autorità di certificazione), scegliere il nome del computer.

  5. Dal menu Action (Azione), scegliere All Tasks (Tutte le attività), Submit new request (Invia nuova richiesta).

  6. Seleziona il CSR file, quindi scegli Apri.

  7. Nella finestra Certification Authority (Autorità di certificazione), fare doppio clic su Pending Requests (Richieste in sospeso).

  8. Selezionare la richiesta in sospeso. Quindi, dal menu Action (Azione), scegliere All Tasks (Tutte le attività), Issue (Invia).

  9. Nella finestra Certification Authority (Autorità di certificazione), fare doppio clic su Issued Requests (Richieste emesse) per visualizzare il certificato firmato.

  10. (Opzionale) Per esportare il certificato firmato in un file, completare i seguenti passaggi:

    1. Nella finestra Certification Authority (Autorità di certificazione), fare doppio clic sul certificato.

    2. Scegliere la scheda Details (Dettagli), quindi scegliere Copy to File (Copia su file).

    3. Seguire le istruzioni in Certificate Export Wizard (Esportazione guidata certificati).

Ora disponi di una CA di Windows Server con AWS CloudHSM e di un certificato valido firmato dalla CA di Windows Server.