Solicitando um certificado privado PKI - AWS Certificate Manager
Configuração de acesso a uma CA privadaSolicitar um PKI certificado privado usando o ACM consoleSolicite um PKI certificado privado usando o CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solicitando um certificado privado PKI

Se você tiver acesso a uma CA privada existente criada por CA privada da AWS, ACM pode solicitar um certificado adequado para uso em sua autoridade privadaPKI. A CA pode residir em sua conta ou ser compartilhada com você por uma outra conta. Para obter informações sobre como criar uma CA privada, consulte Criar uma Autoridade de certificação privada.

Os certificados assinados por uma CA privada não são confiáveis por padrão e ACM não oferecem suporte a nenhuma forma de validação para eles. Consequentemente, um administrador deve tomar medidas para instalá-los nos armazenamentos de confiança de clientes de sua organização.

ACMOs certificados privados seguem o padrão X.509 e estão sujeitos às seguintes restrições:

  • Nomes: você deve usar nomes DNS de assuntos compatíveis. Para ter mais informações, consulte Nomes de domínio.

  • Algoritmo: para criptografia, o algoritmo da chave privada do certificado deve ser de 2048 bitsRSA, 256 ECDSA bits ou 384 bits. ECDSA

    nota

    A família de algoritmos de assinatura especificada (RSAouECDSA) deve corresponder à família de algoritmos da chave secreta da CA.

  • Expiração: cada certificado é válido por 13 meses (395 dias). A data de término do certificado CA de assinatura deve exceder a data de término do certificado solicitado, caso contrário, a solicitação de certificado falhará.

  • Renovação: ACM tenta renovar automaticamente um certificado privado após 11 meses.

A CA privada usada para assinar os certificados da entidade final está sujeita às suas próprias restrições:

  • A CA deve ter o status de ativo.

  • O algoritmo de chave privada da CA deve ser RSA 2048 ou RSA 4096.

nota

Ao contrário de certificados publicamente confiáveis, certificados assinados por uma CA privada não requerem validação.

Configuração de acesso a uma CA privada

Você pode usar CA privada da AWS para assinar seus ACM certificados em um dos dois casos:

  • Conta única: a CA de assinatura e o ACM certificado emitido residem na mesma AWS conta.

    Para que a emissão e as renovações de conta única sejam habilitadas, o CA privada da AWS administrador deve conceder permissão ao responsável pelo ACM serviço para criar, recuperar e listar certificados. Isso é feito usando a CA privada da AWS API ação CreatePermissionou o AWS CLI comando create-permission. O proprietário da conta atribui essas permissões a um IAM usuário, grupo ou função responsável pela emissão de certificados.

  • Conta cruzada: a CA assinante e o ACM certificado emitido residem em AWS contas diferentes, e o acesso à CA foi concedido à conta em que o certificado reside.

    Para permitir a emissão e renovações entre contas, o CA privada da AWS administrador deve anexar uma política baseada em recursos à CA usando a CA privada da AWS API ação PutPolicyou o comando put-policy. AWS CLI A política especifica as entidades primárias em outras contas que têm permissão de acesso limitado à CA. Para obter mais informações, consulte Usando uma política baseada em recursos com CA ACM privada.

    O cenário entre contas também exige ACM a configuração de uma função vinculada ao serviço (SLR) para interagir como principal com a política. PCA ACMcria o SLR automaticamente ao emitir o primeiro certificado.

    ACMpode alertá-lo de que não é possível determinar se SLR existe um em sua conta. Se a iam:GetRole permissão necessária já tiver sido concedida ACM SLR à sua conta, o alerta não se repetirá após SLR a criação. Se isso ocorrer novamente, talvez você ou o administrador da conta precisem conceder a iam:GetRole permissão ou associar sua conta à ACM política ACM gerenciada. AWSCertificateManagerFullAccess

    Para obter mais informações, consulte Usando uma função vinculada ao serviço com ACM.

Importante

Seu ACM certificado deve estar associado ativamente a um AWS serviço compatível antes de ser renovado automaticamente. Para obter informações sobre os recursos que ACM oferecem suporte, consulteServiços integrados com AWS Certificate Manager.

Solicitar um PKI certificado privado usando o ACM console

  1. Faça login no AWS Management Console e abra o ACM console em https://console.aws.amazon.com/acm/casa.

    Selecione Request a certificate.

  2. Na página Request certificate (Solicitar certificado), escolha Request a private certificate (Solicitar um certificado privado) e Next (Próximo) para continuar.

  3. Na seção Detalhes da autoridade certificadora, clique no menu Autoridade certificadora e escolha uma das opções privadas disponíveisCAs. Se a CA for compartilhada de outra conta, ela ARN será precedida por informações de propriedade.

    Os seguintes detalhes sobre a CA são exibidos para ajudar você a verificar se escolheu a CA correta:

    • Proprietário

    • Tipo

    • Nome comum (CN)

    • Organização (O)

    • Unidade organizacional (OU)

    • Nome do país (C)

    • Estado ou província

    • Nome da localidade

  4. Na seção Domain names (Nomes de domínio), digite seu nome de domínio. Você pode usar um nome de domínio totalmente qualificado (FQDN), comowww.example.com, ou um nome de domínio simples ou ápice, como. example.com Você também pode usar um asterisco (*) como um caractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio. Por exemplo, *.example.com protege corp.example.com e images.example.com. O nome do curinga aparecerá no campo Assunto e na extensão Nome alternativo do assunto do ACM certificado.

    nota

    Quando você solicita um certificado-curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o *.example.com pode proteger login.example.com e test.example.com mas não consegue proteger test.login.example.com. Note também que *.example.com protege apenas os subdomínios de example.com, ele não protege o domínio vazio ou apex (example.com). Para proteger ambos, consulte a próxima etapa

    Opcionalmente, escolha Add another name to this certificate (Adicionar outro nome a este certificado) e digite o nome na caixa de texto. Isso é útil para autenticar tanto um domínio vazio ou apex (como example.com) e seus subdomínios (como *.example.com).

  5. Na seção Algoritmo chave, escolha um dos três algoritmos disponíveis:

    • RSA2048 (padrão)

    • ECDSAP 256

    • ECDSAP 384

    Para obter informações que ajudem você a escolher um algoritmo, consulte Algoritmos-chave.

  6. Na seção Tags (Etiquetas), é possível marcar seu certificado opcionalmente. As tags são pares de valores-chave que servem como metadados para identificar e organizar recursos. AWS Para obter uma lista de parâmetros de ACM tag e instruções sobre como adicionar tags aos certificados após a criação, consulteMarcação de certificados do AWS Certificate Manager.

  7. Na seção Certificate renewal permissions (Permissões de renovação de certificado), confirme o aviso sobre permissões de renovação de certificado. Essas permissões permitem a renovação automática de PKI certificados privados que você assina com a CA selecionada. Para obter mais informações, consulte Usando uma função vinculada ao serviço com ACM.

  8. Após fornecer todas as informações necessárias, clique em Request (Solicitar). O console retorna para a lista de certificados, na qual você pode visualizar seu novo certificado.

    nota

    Dependendo de como tiver ordenado a lista, talvez o certificado procurado não esteja imediatamente visível. Você pode clicar no triângulo preto à direita para alterar a ordem. Também é possível navegar por várias páginas de certificados usando os números de página no canto superior direito.

Solicite um PKI certificado privado usando o CLI

Use o comando request-certificate para solicitar um certificado privado em. ACM

nota

Quando você solicita um PKI certificado privado assinado por uma CA AWS Private CA, a família de algoritmos de assinatura especificada (RSAouECDSA) deve corresponder à família de algoritmos da chave secreta da CA.

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

Esse comando gera o Amazon Resource Name (ARN) do seu novo certificado privado.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

Na maioria dos casos, anexa ACM automaticamente uma função vinculada ao serviço (SLR) à sua conta na primeira vez que você usa uma CA compartilhada. SLRIsso permite a renovação automática dos certificados da entidade final que você emite. Para verificar se o SLR está presente, você pode consultar IAM com o seguinte comando:

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Se o SLR estiver presente, a saída do comando deverá ser semelhante à seguinte:

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

Se SLR estiver faltando, consulte Usando uma função vinculada ao serviço com ACM.