Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Procedura per la creazione di una CA (CLI)
Utilizzare il comando create-certificate-authority per creare una CA privata. È necessario specificare la configurazione della CA (contenente informazioni sull'algoritmo e sul nome dell'oggetto), la configurazione di revoca (se si prevede di utilizzare OCSP e/o un CRL) e il tipo di CA (principale o subordinato). I dettagli della configurazione e della revoca sono contenuti in due file forniti come argomenti del comando. Facoltativamente, è anche possibile configurare la modalità di utilizzo della CA (per l'emissione di certificati standard o di breve durata), allegare tag e fornire un token di idempotenza.
Se stai configurando un CRL, devi disporre di un bucket Amazon S3 protetto prima di emettere il comando. create-certificate-authority Per ulteriori informazioni, consulta Politiche di accesso per i CRL in Amazon S3 .
Il file di configurazione CA specifica le seguenti informazioni:
-
Il nome dell'algoritmo
-
La dimensione della chiave da utilizzare per creare la chiave privata CA
-
Il tipo di algoritmo di firma che la CA utilizza per firmare
-
Informazioni sull'oggetto X.500
La configurazione di revoca per OCSP definisce un OcspConfiguration
oggetto con le seguenti informazioni:
-
Il
Enabled
flag impostato su «true». -
(Facoltativo) Un CNAME personalizzato dichiarato come valore per
OcspCustomCname
.
La configurazione di revoca per un CRL definisce un CrlConfiguration
oggetto con le seguenti informazioni:
-
Il
Enabled
flag impostato su «true». -
Il periodo di scadenza del CRL in giorni (periodo di validità del CRL).
-
Il bucket Amazon S3 che conterrà il CRL.
-
(Facoltativo) Un ObjectAcl valore S3 che determina se il CRL è accessibile al pubblico. Nell'esempio qui presentato, l'accesso pubblico è bloccato. Per ulteriori informazioni, consulta Abilitazione di S3 Block Public Access (BPA) con CloudFront.
-
(Facoltativo) Un alias CNAME per il bucket S3 incluso nei certificati emessi dalla CA. Se il CRL non è accessibile al pubblico, ciò indicherà un meccanismo di distribuzione come Amazon CloudFront.
-
(Facoltativo) Un
CrlDistributionPointExtensionConfiguration
oggetto con le seguenti informazioni:-
Il
OmitExtension
flag impostato su «true» o «false». Questo controlla se il valore predefinito per l'estensione CDP verrà scritto su un certificato emesso dalla CA. Per ulteriori informazioni sull'estensione CDP, vedere. Determinazione dell'URI del punto di distribuzione CRL (CDP) A CustomCname non può essere impostato se OmitExtension è «true».
-
Nota
È possibile abilitare entrambi i meccanismi di revoca sulla stessa CA definendo sia un OcspConfiguration
oggetto che un CrlConfiguration
oggetto. Se non si fornisce alcun --revocation-configuration parametro, entrambi i meccanismi sono disabilitati per impostazione predefinita. Se in un secondo momento è necessario il supporto per la convalida della revoca, consulta. Aggiornamento di una CA (CLI)
Gli esempi seguenti presuppongono che la directory di .aws
configurazione sia stata configurata con una regione, un endpoint e delle credenziali predefiniti validi. Per informazioni sulla configurazione AWS CLI dell'ambiente, consulta Configurazione e impostazioni dei file di credenziali. Per motivi di leggibilità, forniamo l'input di configurazione e revoca della CA come file JSON nei comandi di esempio. Modificate i file di esempio in base alle vostre esigenze.
Tutti gli esempi utilizzano il seguente file ca_config.txt
di configurazione, salvo diversa indicazione.
File: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
Esempio 1: creare una CA con OCSP abilitato
In questo esempio, il file di revoca abilita il supporto OCSP predefinito, che utilizza il CA privata AWS risponditore per verificare lo stato del certificato.
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della nuova CA.
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato
In questo esempio, il file di revoca abilita il supporto OCSP personalizzato. Il OcspCustomCname
parametro accetta come valore un nome di dominio completo (FQDN).
Quando si fornisce un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
-
Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.
-
Aggiungi un record CNAME corrispondente al tuo database DNS.
Suggerimento
Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Configurazione di un URL personalizzato per OCSP CA privata AWS
Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.
Nome record | Type | Policy di routing | Differenziatore | Valore/instradamento traffico a |
---|---|---|---|---|
alternative.example.com |
CNAME | Semplice | - | proxy.example.com |
Nota
Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».
File: revoke_config.txt per OCSP
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
Esempio 3: creare una CA con un CRL allegato
In questo esempio, la configurazione di revoca definisce i parametri CRL.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"DOC-EXAMPLE-BUCKET
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "DOC-EXAMPLE-BUCKET
"
},
...
}
Esempio 4: creazione di una CA con un CRL allegato e un CNAME personalizzato abilitato
In questo esempio, la configurazione di revoca definisce i parametri CRL che includono un CNAME personalizzato.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"DOC-EXAMPLE-BUCKET
" } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "DOC-EXAMPLE-BUCKET
",
...
}
}
Esempio 5: creare una CA e specificare la modalità di utilizzo
In questo esempio, la modalità di utilizzo della CA viene specificata durante la creazione di una CA. Se non è specificato, il parametro della modalità di utilizzo è predefinito su GENERAL_PURPOSE. In questo esempio, il parametro è impostato su SHORT_LIVED_CERTIFICATE, il che significa che la CA emetterà certificati con un periodo di validità massimo di sette giorni. In situazioni in cui è scomodo configurare la revoca, un certificato di breve durata che è stato compromesso scade rapidamente nell'ambito delle normali operazioni. Di conseguenza, questo esempio di CA non dispone di un meccanismo di revoca.
Nota
CA privata AWS non esegue controlli di validità sui certificati CA root.
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
Utilizzare il describe-certificate-authoritycomando in AWS CLI per visualizzare i dettagli sulla CA risultante, come illustrato nel comando seguente:
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
Esempio 6: creazione di una CA per l'accesso ad Active Directory
È possibile creare una CA privata adatta all'uso nell'archivio Enterprise NTAuth di Microsoft Active Directory (AD), dove può emettere certificati card-logon o domain-controller. Per informazioni sull'importazione di un certificato CA in AD, vedere Come importare certificati di autorità di certificazione (CA) di terze parti
Lo strumento Microsoft certutil
Questo esempio utilizza il seguente file ca_config_AD.txt
di configurazione.
File: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
Esempio 7: creazione di una Matter CA con un CRL allegato e l'estensione CDP omessa dai certificati emessi
È possibile creare una CA privata adatta all'emissione di certificati per lo standard Matter per la casa intelligente. In questo esempio, la configurazione CA in ca_config_PAA.txt
definisce una Matter Product Attestation Authority (PAA) con il Vendor ID (VID) impostato su FFF1.
File: ca_config_PAA.txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
La configurazione di revoca abilita i CRL e configura la CA in modo da omettere l'URL CDP predefinito da tutti i certificati emessi.
File: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"DOC-EXAMPLE-BUCKET
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
Comando
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
Usa il seguente comando per controllare la configurazione della tua CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Questa descrizione deve contenere la sezione seguente.
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "DOC-EXAMPLE-BUCKET
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...