Etapa 2 do CA do Windows Server: Criar um CA do Windows Server com o AWS CloudHSM

Para criar um CA do Windows Server, adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao adicionar essa função, você usa um provedor de armazenamento de chaves (KSP) do AWS CloudHSM para criar e armazenar a chave privada da CA no cluster do AWS CloudHSM.

nota

Ao criar a CA do Windows Server, você pode optar por criar uma CA raiz ou uma CA subordinada. Você normalmente toma essa decisão com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

Para adicionar a função AD CS ao Windows Server e criar a chave privada da CA

1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2 para instâncias do Windows.

2. No Windows Server, inicie o Server Manager.

3. No painel Server Manager, escolha Add roles and features.

4. Leia as informações de Before you begin e escolha Next.

5. Em Installation Type (Tipo de instalação), escolha Role-based or feature-based installation (Instalação com base na função ou no recurso). Em seguida, escolha Next (Próximo).

6. Em Server Selection, escolha Select a server from the server pool. Em seguida, escolha Next (Próximo).

7. Em Server Roles, faça o seguinte:

   1. Selecione Active Directory Certificate Services.

   2. Em Add features that are required for Active Directory Certificate Services, escolha Add Features.

   3. Escolha Próximo para terminar de selecionar funções de servidor.

8. Em Recursos, aceite os padrões e escolha Next.

9. Em AD CS, faça o seguinte:

   1. Escolha Next (Próximo).

   2. Selecione Certification Authority e escolha Next.

10. Em Confirmation, leia as informações de confirmação e escolha Install. Não feche a janela.

11. Escolha o link destacado Configurar Active Directory Certificate Services no servidor de destino.

12. Em Credentials, verifique ou altere as credenciais exibidas. Em seguida, escolha Next (Próximo).

13. Em Role Services, selecione Certification Authority. Em seguida, escolha Next (Próximo).

14. Em Setup Type, selecione Standalone CA. Em seguida, escolha Next (Próximo).

15. Em CA Type, selecione Root CA. Em seguida, escolha Next (Próximo).

    nota

    Você pode optar por criar uma CA raiz ou uma CA subordinada com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

16. Em Private Key, selecione Create a new private key. Em seguida, escolha Next (Próximo).

17. Em Cryptography, faça o seguinte:

    1. Em Select a cryptographic provider, escolha uma das opções de Cavium Key Storage Provider no menu. Esses são os provedores de armazenamento de chaves do AWS CloudHSM. Por exemplo, você pode escolher RSA#Cavium Key Storage Provider.

    2. Em Key length, escolha uma das opções de tamanho de chave.

    3. Em Select the hash algorithm for signing certificates issued by this CA, escolha uma das opções de algoritmo hash.

    Escolha Next (Próximo).

18. Em CA Name, faça o seguinte:

    1. (Opcional) Edite o nome comum.

    2. (Opcional) Digite um sufixo de nome distinto.

    Escolha Next (Próximo).

19. Em Validity Period, especifique um período em anos, meses, semanas ou dias. Em seguida, escolha Next (Próximo).

20. Em Certificate Database, aceite os valores padrão ou, se desejar, altere o local do banco de dados e do log do banco de dados. Em seguida, escolha Next (Próximo).

21. Em Confirmation, analise as informações sobre a CA e escolha Configure.

22. Escolha Close e, em seguida, escolha Close novamente.

Agora você tem uma CA do Windows Server com o AWS CloudHSM. Para saber como assinar uma solicitação de assinatura de certificado (CSR) com a CA, vá para Assine uma CSR.