Procedura per la creazione di una CA (CLI) - AWS Private Certificate Authority
Esempio 1: creare una CA con OCSP abilitatoEsempio 2: creare una CA con OCSP e un CNAME personalizzato abilitatoEsempio 3: creare una CA con un CRL allegatoEsempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitatoEsempio 5: creare una CA e specificare la modalità di utilizzoEsempio 6: creazione di una CA per l'accesso ad Active DirectoryEsempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedura per la creazione di una CA (CLI)

Utilizzare il comando create-certificate-authority per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o un CRL) e il tipo di CA (principale o subordinato). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.

Se stai configurando un CRL, devi disporre di un bucket Amazon S3 protetto prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per i CRL in Amazon S3 .

Il file di configurazione CA specifica le seguenti informazioni:

  • Il nome dell'algoritmo

  • La dimensione della chiave da utilizzare per creare la chiave privata CA

  • Il tipo di algoritmo di firma che la CA utilizza per firmare

  • Informazioni sull'oggetto X.500

La configurazione di revoca per OCSP definisce un OcspConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • (Facoltativo) Un CNAME personalizzato dichiarato come valore perOcspCustomCname.

La configurazione di revoca per un CRL definisce un CrlConfiguration oggetto con le seguenti informazioni:

  • Il Enabled flag impostato su «true».

  • Il periodo di scadenza del CRL in giorni (periodo di validità del CRL).

  • Il bucket Amazon S3 che conterrà il CRL.

  • (Facoltativo) Un ObjectAcl valore S3 che determina se il CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilitazione di S3 Block Public Access (BPA) con CloudFront.

  • (Facoltativo) Un alias CNAME per il bucket S3 incluso nei certificati emessi dalla CA. Se il CRL non è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.

  • (Facoltativo) Un CrlDistributionPointExtensionConfiguration oggetto con le seguenti informazioni:

    • Il OmitExtension flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'estensione CDP verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'estensione CDP, vedere. Determinazione dell'URI del punto di distribuzione CRL (CDP) A CustomCname non può essere impostato se OmitExtension è «true».

Nota

È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration oggetto che un CrlConfiguration oggetto. Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)

Gli esempi seguenti presuppongono che la directory di .aws configurazione sia stata configurata con una regione, un endpoint e delle credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come file JSON nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.

Tutti gli esempi utilizzano il seguente file ca_config.txt di configurazione, salvo diversa indicazione.

File: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Esempio 1: creare una CA con OCSP abilitato

In questo esempio, il file di revoca abilita il supporto OCSP predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Comando

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato

In questo esempio, il file di revoca abilita il supporto OCSP personalizzato. Il OcspCustomCname parametro accetta come valore un nome di dominio completo (FQDN).

Quando si fornisce un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

  • Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.

  • Aggiungi un record CNAME corrispondente al tuo database DNS.

Suggerimento

Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Configurazione di un URL personalizzato per OCSP CA privata AWS

Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.

Nome record Type Policy di routing Differenziatore Valore/instradamento traffico a

alternative.example.com

 CNAME Semplice - proxy.example.com
Nota

Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».

File: revoke_config.txt per OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Esempio 3: creare una CA con un CRL allegato

In questo esempio, la configurazione di revoca definisce i parametri CRL.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET"
   },
   ...
}

Esempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitato

In questo esempio, la configurazione di revoca definisce i parametri CRL che includono un CNAME personalizzato.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"DOC-EXAMPLE-BUCKET"
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
   ...
   }
}

Esempio 5: creare una CA e specificare la modalità di utilizzo

In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è predefinito su GENERAL_PURPOSE. In questo esempio, il parametro è impostato su SHORT_LIVED_CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.

Nota

CA privata AWS non esegue controlli di validità sui certificati CA root.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Esempio 6: creazione di una CA per l'accesso ad Active Directory

È possibile creare una CA privata adatta all'uso nell'archivio Enterprise NTAuth di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, vedere Come importare certificati di autorità di certificazione (CA) di terze parti nell'archivio Enterprise NTAuth.

Lo strumento Microsoft certutil può essere utilizzato per pubblicare certificati CA in AD richiamando l'opzione. -dspublish Un certificato pubblicato su AD con certutil è considerato affidabile in tutta la foresta. Utilizzando i criteri di gruppo, è inoltre possibile limitare l'attendibilità a un sottoinsieme dell'intera foresta, ad esempio un singolo dominio o un gruppo di computer in un dominio. Affinché l'accesso funzioni, la CA emittente deve essere pubblicata anche nell'archivio NTAuth. Per ulteriori informazioni, consulta Distribuire certificati ai computer client utilizzando criteri di gruppo.

Questo esempio utilizza il seguente file ca_config_AD.txt di configurazione.

File: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Comando

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Esempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi

È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt definisce una Matter Product Attestation Authority (PAA) con il Vendor ID (VID) impostato su FFF1.

File: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

La configurazione di revoca abilita i CRL e configura la CA in modo da omettere l'URL CDP predefinito da tutti i certificati emessi.

File: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Comando

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Usa il seguente comando per controllare la configurazione della tua CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Questa descrizione deve contenere la sezione seguente.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "DOC-EXAMPLE-BUCKET",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...