As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Procedimento para criar uma CA (console)
Conclua as estas etapas para criar uma CA privada usando o AWS Management Console.
Para começar a usar o console
Faça login na sua AWS conta e abra o CA privada da AWS console emhttps://console.aws.amazon.com/acm-pca/home.
-
Se estiver abrindo o console em uma região em que não possui CAs privadas, a página introdutória será exibida. Escolha Criar uma CA privada.
-
Se estiver abrindo o console em uma região em que já criou uma CA, a página Autoridades de certificação privadas será aberta com uma lista das suas CAs. Escolha Criar CA.
Opções de modos
Na seção Opções de modos do console, escolha o modo de expiração dos certificados emitidos pela sua CA.
-
Uso geral: emite certificados que podem ser configurados com qualquer data de expiração. Esse é o padrão.
-
Certificado de curta duração: emite certificados com um período máximo de validade de sete dias. Em alguns casos, um curto período de validade pode substituir, um mecanismo de revogação.
Opções de tipos de CA
Na seção Opções de tipo do console, escolha o tipo de autoridade de certificação privada que você deseja criar.
-
A escolha da Raiz estabelece uma nova hierarquia de CA. Essa CA é baseada em um certificado autoassinado. Ele serve como autoridade de assinatura final para outras CAs e certificados de entidade final na hierarquia.
-
A escolha de uma Subordinada cria uma CA que deve ser assinada por uma CA pai acima dela na hierarquia. As CAs subordinadas normalmente são usadas para criar outras CAs subordinadas ou para emitir certificados de entidade final para usuários, computadores e aplicações.
nota
CA privada da AWS fornece um processo de assinatura automatizado quando a CA principal de sua CA subordinada também é hospedada pela CA privada da AWS. Você só precisa escolher a CA principal a ser usada.
Talvez sua CA subordinada precise ser assinada por um provedor externo de serviços de confiança. Nesse caso, CA privada da AWS fornece uma solicitação de assinatura de certificado (CSR) que você deve baixar e usar para obter um certificado CA assinado. Para ter mais informações, consulte Instalar um certificado de CA subordinada assinado por uma CA pai externa.
Opções de nomes distintos de requerentes
Em Opções de nome distinto do requerente, configure o nome do requerente da CA privada. É necessário inserir um valor para pelo menos uma das seguintes opções:
-
Organização (O): por exemplo, o nome de uma empresa
-
Unidade organizacional (UO): por exemplo, uma divisão dentro de uma empresa
-
Nome do país (C): código do país com duas letras
-
Nome do estado ou província: nome completo de um estado ou província
-
Nome da localidade: o nome de uma cidade
-
Nome comum (CN) — Uma string legível por humanos para identificar a CA.
nota
É possível personalizar ainda mais o nome do requerente de um certificado, aplicando um modelo APIPassthrough no momento da emissão. Para obter informações e um exemplo detalhado, consulte Emita um certificado com um nome de requerente personalizado usando um modelo APIPassthrough.
Como o certificado de suporte é autoassinado, as informações de requerente que você fornece para uma CA privada provavelmente são mais escassas do que as que uma CA pública conteria. Para obter mais informações sobre cada um dos valores que compõem um nome distinto de objeto, consulte RFC 5280
Opções de algoritmos de chave
Em Opções de algoritmos de chave, escolha o algoritmo de chave e o tamanho de bits da chave. O valor padrão é um algoritmo RSA com um comprimento de chave de 2048 bits. É possível escolher entre os seguintes algoritmos:
-
RSA 2048
-
RSA 4096
-
ECDSA P256
-
ECDSA P384
Opções de revogação de certificados
Em Opções de revogação de certificados, você pode selecionar entre dois métodos de compartilhamento do status de revogação com clientes que usam seus certificados:
-
Ativar distribuição de CRL
-
Ativar OCSP
É possível configurar uma, nenhuma ou ambas as opções de revogação para a sua CA. Embora opcional, a revogação gerenciada é recomendada como melhor prática. Antes de concluir essa etapa, consulte Configurar um método de revogação de certificado para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.
nota
Se você criar uma CA sem configurar a revogação, sempre poderá configurá-la mais tarde. Para ter mais informações, consulte Atualizar a CA privada.
-
Em Opções de revogação de certificados, escolha Ativar distribuição de CRL.
-
Para criar um bucket do Amazon S3 para as entradas da sua CRL, selecione Criar um novo bucket do S3 e digite um nome de bucket exclusivo. (Você não precisa incluir o caminho para o bucket.) Caso contrário, em URI de bucket do S3, escolha um bucket existente na lista.
Quando você cria um novo bucket por meio do console, o CA privada da AWS tenta anexar a política de acesso necessária ao bucket e desabilitar a configuração padrão de Bloqueio de acesso público (BPA) do S3. Em vez disso, se você especificar um bucket existente, deverá garantir que o BPA esteja desabilitado para a conta e o bucket. Caso contrário, a operação de criação da CA falhará. Se a CA for criada com sucesso, você ainda deverá anexar manualmente uma política a ela antes de começar a gerar CRLs. Use um dos padrões de política descritos em Políticas de acesso para CRLs no Amazon S3 . Para obter mais informações, consulte Adicionar uma política de bucket usando o console do Amazon S3.
Importante
Uma tentativa de criar uma CA usando o CA privada da AWS console falhará se todas as condições a seguir se aplicarem:
-
Você está configurando uma CRL.
-
Você solicita CA privada da AWS a criação automática de um bucket do S3.
-
Você está aplicando configurações de BPA no S3.
Nessa situação, o console cria um bucket, mas tenta e não consegue torná-lo publicamente acessível. Verifique as configurações do Amazon S3 se isso ocorrer, desabilite o BPA conforme necessário e repita o procedimento para criar uma CA. Para obter mais informações, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3.
-
-
Expanda Configurações de CRL para obter opções de configuração adicionais.
-
Adicione um Nome de CRL personalizado para criar um alias para o bucket do Amazon S3. Esse nome está contido em certificados emitidos pela CA na extensão “Pontos de distribuição de CRL” definida pela RFC 5280.
-
Digite a Validade em dias em que sua CRL permanecerá válida. O valor padrão é de 7 dias. Para CRLs online, um período de validade de dois a sete dias é comum. O CA privada da AWS tenta gerar novamente a CRL no ponto médio do período especificado.
-
-
Expanda Configurações do S3 para a configuração opcional de Versionamento de bucket e Registro em log de acesso ao bucket.
-
Em Opções de revogação de certificados, escolha Ativar OCSP.
-
No campo Endpoint do OCSP personalizado - opcional, é possível fornecer um nome de domínio totalmente qualificado (FQDN) para um endpoint do OCSP que não seja da Amazon.
Quando você fornece um FQDN nesse campo, CA privada da AWS insere o FQDN na extensão Authority Information Access de cada certificado emitido no lugar do URL padrão do respondente OCSP. AWS Quando um endpoint recebe um certificado contendo o FQDN personalizado, ele consulta esse endereço para obter uma resposta do OCSP. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
-
Use um servidor proxy para encaminhar o tráfego que chega ao seu FQDN personalizado para o respondente AWS OCSP.
-
Adicionar um registro CNAME correspondente ao seu banco de dados DNS.
dica
Para obter mais informações sobre a implementação de uma solução OCSP completa usando um CNAME personalizado, consulte Configurar um URL personalizado para OCSP da CA privada da AWS.
Por exemplo, aqui está um registro CNAME para OCSP personalizado exibido no Amazon Route 53.
Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para alternative.example.com
CNAME Simples - proxy.example.com nota
O valor do CNAME não deve incluir um prefixo de protocolo como “http://” ou “https://”.
-
Adicionar tags
Na página Adicionar etiquetas, é possível marcar sua CA. As tags são pares chave-valor que servem como metadados para identificar e organizar recursos da AWS . Para obter uma lista de parâmetros de CA privada da AWS tags e instruções sobre como adicionar tags às CAs após a criação, consulteGerenciamento de etiquetas para sua CA privada.
nota
Para anexar etiquetas a uma CA privada durante o procedimento de criação, um administrador de CA deve primeiro associar uma política do IAM interna à ação CreateCertificateAuthority e permitir explicitamente a marcação. Para ter mais informações, consulte Tag-on-create: Anexando tags a uma CA no momento da criação.
Opções dde permissões de CA
Nas opções de permissões da CA, você pode, opcionalmente, delegar permissões de renovação automática ao responsável pelo AWS Certificate Manager serviço. O ACM só poderá renovar automaticamente os certificados de entidade final privada gerados por essa CA se essa permissão for concedida. Você pode atribuir permissões de renovação a qualquer momento com a CA privada da AWS CreatePermissionAPI ou o comando da CLI create-permission.
O padrão é habilitar essas permissões.
nota
AWS Certificate Manager não suporta a renovação automática de certificados de curta duração.
Definição de preço
Em Preços, confirme que você entende os preços de uma CA privada.
nota
Para obter as informações mais recentes sobre CA privada da AWS preços, consulte AWS Private Certificate Authority Preços
Criar uma CA
Escolha Criar CA depois de verificar a precisão de todas as informações inseridas. A página de detalhes da CA é aberta e exibe seu status como Certificado pendente.
nota
Na página de detalhes, você pode concluir a configuração da CA escolhendo Ações, Instalar certificado de CA ou pode retornar posteriormente à lista Autoridades de certificação privadas e concluir o procedimento de instalação aplicável:
