Creazione e installazione del certificato CA - AWS Private Certificate Authority
Algoritmi di firma compatibiliInstallazione di un certificato CA rootInstallazione di un certificato CA subordinato ospitato da CA privata AWSInstallazione di un certificato CA subordinato firmato da una CA principale esterna

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e installazione del certificato CA

Completare le procedure seguenti per creare e installare il certificato emesso da una CA privata. La CA sarà quindi pronta per l'uso.

CA privata AWS supporta tre scenari per l'installazione di un certificato CA:

  • Installazione di un certificato per una CA root ospitata da CA privata AWS

  • Installazione di un certificato emesso da una CA subordinata la cui autorità padre è ospitata da CA privata AWS

  • Installazione di un certificato emesso da una CA subordinata la cui autorità padre è ospitata esternamente

Nelle sezioni seguenti vengono descritte le procedure per ogni scenario. Le procedure della console iniziano nella pagina della console CA private.

Algoritmi di firma compatibili

Il supporto dell'algoritmo di firma per i certificati CA dipende dall'algoritmo di firma della CA principale e da. Regione AWS I seguenti vincoli si applicano sia alla console che alle operazioni. AWS CLI

  • Una CA principale con l'algoritmo di firma RSA può emettere certificati con i seguenti algoritmi:

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • In una versione precedente Regione AWS, una CA principale con l'algoritmo di firma EDCSA può emettere certificati con i seguenti algoritmi:

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    L'eredità Regioni AWS include:

    Nome Regione

    Ubicazione geografica

    eu-north-1

    Europa (Stoccolma)

    me-south-1

    Medio Oriente (Bahrein)

    ap-south-1

    Asia Pacifico (Mumbai)

    eu-west-3

    Europa (Parigi)

    us-east-2

    Stati Uniti orientali (Ohio)

    af-south-1

    Africa (Città del Capo)

    eu-west-1

    Europa (Irlanda)

    eu-central-1

    Europa (Francoforte)

    sa-east-1

    Sud America (San Paolo)

    ap-east-1

    Asia Pacifico (Hong Kong)

    us-east-1

    Stati Uniti orientali (Virginia settentrionale)

    ap-northeast-2

    Asia Pacifico (Seul)

    eu-west-2

    Europa (Londra)

    ap-northeast-1

    Asia Pacifico (Tokyo)

    us-gov-east-1

    AWS GovCloud (Stati Uniti orientali)

    us-gov-west-1

    AWS GovCloud (Stati Uniti occidentali)

    us-west-2

    US West (Oregon)

    us-west-1

    Stati Uniti occidentali (California settentrionale)

    ap-southeast-1

    Asia Pacifico (Singapore)

    ap-southeast-2

    Asia Pacifico (Sydney)

  • In un caso non preesistente Regione AWS, all'EDCSA si applicano le seguenti regole:

    • Una CA principale con l'algoritmo di firma EC_Prime256v1 può emettere certificati con ECDSA P256.

    • Una CA principale con l'algoritmo di firma EC_SECP384R1 può emettere certificati con ECDSA P384.

Installazione di un certificato CA root

È possibile installare un certificato CA root da AWS Management Console o da AWS CLI.

Per creare e installare un certificato per la CA (console) root privata

  1. (Facoltativo) Se non sei già nella pagina dei dettagli della CA, apri la CA privata AWS console all'indirizzo https://console.aws.amazon.com/acm-pca/home. Nella pagina Autorità di certificazione private, scegli una CA root con stato Certificato in sospeso o Attivo.

  2. Scegli Azioni, Installa certificato CA per aprire la pagina Installa certificato CA root.

  3. In Specificare i parametri del certificato CA principale, specificare i seguenti parametri del certificato:

    • Validità: specifica la data e l'ora di scadenza del certificato CA. Il periodo di validità CA privata AWS predefinito per un certificato CA principale è di 10 anni.

    • Algoritmo di firma: specifica l'algoritmo di firma da utilizzare quando la CA principale emette nuovi certificati. Le opzioni disponibili variano a seconda del Regione AWS luogo in cui si crea la CA. Per ulteriori informazioni, vedere Algoritmi di firma compatibiliAlgoritmi crittografici supportati, e SigningAlgorithmin CertificateAuthorityConfiguration.

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    Controlla le impostazioni per verificarne la correttezza, quindi scegli Conferma e installa. CA privata AWS esporta una CSR per la tua CA, genera un certificato utilizzando un modello di certificato CA principale e firma automaticamente il certificato. CA privata AWS quindi importa il certificato CA root autofirmato.

  4. La pagina dei dettagli della CA mostra lo stato dell'installazione (riuscita o fallita) nella parte superiore. Se l'installazione ha avuto esito positivo, la CA root appena completata visualizza lo stato Attivo nel riquadro Generale.

Per creare e installare un certificato per la vostra CA root privata (AWS CLI)

  1. Genera una richiesta di firma del certificato (CSR).

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    Il file risultanteca.csr, un file PEM codificato in formato base64, ha il seguente aspetto.

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    Puoi usare OpenSSL per visualizzare e verificare il contenuto della CSR.

    openssl req -text -noout -verify -in ca.csr

    Ciò produce un output simile al seguente.

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. Utilizzando la CSR del passaggio precedente come argomento per il --csr parametro, emettete il certificato principale.

    Nota

    Se utilizzate la AWS CLI versione 1.6.3 o successiva, utilizzate il prefisso fileb:// quando specificate il file di input richiesto. Ciò garantisce che i dati codificati in Base64 vengano CA privata AWS analizzati correttamente.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. Recupera il certificato principale.

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    Il file risultantecert.pem, un file PEM codificato in formato base64, ha il seguente aspetto.

    -----BEGIN CERTIFICATE-----
MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw
bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF
U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO
BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt
MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT
YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G
A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7
t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow
cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu
b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU
BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x
bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4
YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E
FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3
DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc
g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2
t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid
Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX
2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W
YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4
-----END CERTIFICATE-----

    È possibile utilizzare OpenSSL per visualizzare e verificare il contenuto del certificato.

    openssl x509 -in cert.pem -text -noout

    Ciò produce un output simile al seguente.

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. Importa il certificato CA principale per installarlo sulla CA.

    Nota

    Se si utilizza la AWS CLI versione 1.6.3 o successiva, utilizzare il prefisso per specificare fileb:// il file di input richiesto. Ciò garantisce che i dati codificati in Base64 vengano CA privata AWS analizzati correttamente.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

Ispeziona il nuovo stato della CA.

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

Lo stato ora appare come ATTIVO.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "DOC-EXAMPLE-BUCKET1"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Installazione di un certificato CA subordinato ospitato da CA privata AWS

È possibile utilizzare il AWS Management Console per creare e installare un certificato per la CA subordinata CA privata AWS ospitata.

Per creare e installare un certificato per la CA subordinata CA privata AWS ospitata

  1. (Facoltativo) Se non sei già nella pagina dei dettagli della CA, apri la CA privata AWS console all'indirizzo https://console.aws.amazon.com/acm-pca/home. Nella pagina Autorità di certificazione private, scegli una CA subordinata con lo stato Certificato in sospeso o Attivo.

  2. Scegli Azioni, Installa certificato CA per aprire la pagina Installa certificato CA subordinato.

  3. Nella pagina Installa certificato CA subordinato, in Seleziona il tipo di CA, scegli AWS Private CAdi installare un certificato gestito da. CA privata AWS

  4. In Seleziona CA principale, scegli una CA dall'elenco delle CA private principali. L'elenco viene filtrato per visualizzare le CA che soddisfano i seguenti criteri:

    • L'utente è autorizzato a utilizzare la CA.

    • La CA non si firmerebbe da sola.

    • La CA è in statoACTIVE.

    • La modalità CA èGENERAL_PURPOSE.

  5. In Specificare i parametri del certificato CA subordinato, specificare i seguenti parametri del certificato:

    • Validità: specifica la data e l'ora di scadenza del certificato CA.

    • Algoritmo di firma: specifica l'algoritmo di firma da utilizzare quando la CA principale emette nuovi certificati. Le opzioni sono:

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • Lunghezza del percorso: il numero di livelli di fiducia che la CA subordinata può aggiungere quando firma nuovi certificati. Una lunghezza del percorso pari a zero (impostazione predefinita) significa che è possibile creare solo certificati di entità finale e non certificati CA. Una lunghezza del percorso di uno o più significa che la CA subordinata può emettere certificati per creare ulteriori CA subordinate ad essa.

    • ARN del modello: visualizza l'ARN del modello di configurazione per questo certificato CA. Il modello cambia se si modifica la lunghezza del percorsospecificata. Se si crea un certificato utilizzando il comando CLI issue-certificate o l'IssueCertificateazione API, è necessario specificare l'ARN manualmente. Per informazioni sui modelli di certificato emessi da una CA disponibili, consulta Informazioni sui modelli di certificato.

  6. Controlla la correttezza delle impostazioni, quindi scegli Conferma e installa. CA privata AWS esporta una CSR, genera un certificato utilizzando un modello di certificato CA subordinato e lo firma con la CA principale selezionata. CA privata AWS quindi importa il certificato CA subordinato firmato.

  7. La pagina dei dettagli della CA mostra lo stato dell'installazione (riuscita o fallita) nella parte superiore. Se l'installazione ha avuto esito positivo, la CA subordinata appena completata visualizza lo stato Attivo nel riquadro Generale.

Installazione di un certificato CA subordinato firmato da una CA principale esterna

Dopo aver creato una CA privata subordinata come descritto in Procedura per la creazione di una CA (console) oppureProcedura per la creazione di una CA (CLI) , è possibile attivarla installando un certificato CA firmato da un'autorità di firma esterna. La firma del certificato CA subordinato con una CA esterna richiede innanzitutto la configurazione di un provider di servizi fiduciari esterno come autorità di firma o l'utilizzo di un provider di terze parti.

Nota

Le procedure per creare o ottenere un fornitore esterno di servizi fiduciari non rientrano nell'ambito di questa guida.

Dopo aver creato una CA subordinata e aver avuto accesso a un'autorità di firma esterna, completa le seguenti attività:

  1. Ottieni una richiesta di firma del certificato (CSR) da. CA privata AWS

  2. Invia la CSR all'autorità di firma esterna e ottieni un certificato CA firmato insieme a tutti i certificati della catena.

  3. Importa il certificato CA e la catena in CA privata AWS per attivare la CA subordinata.

Per le procedure dettagliate, consulta Certificati CA privati firmati esternamente .