Windows Server CA 步驟 2:建立 Windows Server CA 與 AWS CloudHSM - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Windows Server CA 步驟 2:建立 Windows Server CA 與 AWS CloudHSM

若要建立 Windows Server CA,您可以將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。新增此角色時,您可以使用 AWS CloudHSM 金鑰儲存區提供者 (KSP) 在 AWS CloudHSM 叢集上建立並儲存 CA 的私密金鑰。

注意

建立您的 Windows Server CA 時,您可以選擇建立根 CA 或次級 CA。您一般會根據組織的公有金鑰基礎設施和安全政策的設計進行此決策。本教學課程說明如何建立根 CA 以簡化程序。

將 AD CS 角色新增至您的 Windows Server 和建立 CA 的私有金鑰

  1. 如果您尚未這麼做,請連接至您的 Windows 伺服器。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 Connect 到您的執行個體。

  2. 在 Windows 伺服器上,啟動 Server Manager (伺服器管理員)

  3. Server Manager (伺服器管理員) 儀表板中,選擇 Add roles and features (新增角色和功能)

  4. 閱讀 Before you begin (開始之前) 資訊,然後選擇 Next (下一步)

  5. 對於 Installation Type (安裝類型),選擇 Role-based or feature-based installation (角色型或功能型安裝)。然後選擇下一步

  6. 對於 Server Selection (伺服器選項),選擇 Select a server from the server pool (從伺服器集區選取伺服器)。然後選擇下一步

  7. 對於 Server Roles (伺服器角色),執行下列動作:

    1. 選取 Active Directory Certificate Services (Active Directory Certificate Services)

    2. 對於 Add features that are required for Active Directory Certificate Services (新增 Active Directory Certificate Services 需要的功能,選擇 Add Features (新增功能)

    3. 選擇 Next (下一步) 來完成伺服器角色的選取。

  8. 對於 Features (功能),接受預設值,然後選擇 Next (下一步)

  9. 對於 AD CS (AD CS),執行下列動作:

    1. 選擇下一步

    2. 選取 Certification Authority (憑證授權單位),然後選擇 Next (下一步)

  10. 對於 Confirmation (確認),閱讀確認資訊,然後選擇 Install (安裝)。請勿關閉視窗。

  11. 選擇反白顯示的 Configure Active Directory Certificate Services on the destination server (在目的地伺服器上設定 Active Directory Certificate Services) 連結。

  12. 對於 Credentials (登入資料),驗證或變更顯示的登入資料。然後選擇下一步

  13. 對於 Role Services (角色服務),選取 Certification Authority (憑證授權單位)。然後選擇下一步

  14. 對於 Setup Type (設定類型),選取 Standalone CA (獨立 CA)。然後選擇下一步

  15. 對於 CA Type (CA 類型),選取 Root CA (根 CA)。然後選擇下一步

    注意

    您可以根據公有金鑰基礎設施和組織安全政策的設計,選擇建立根 CA 或次級 CA。本教學課程說明如何建立根 CA 以簡化程序。

  16. 對於 Private Key (私有金鑰),選取 Create a new private key (建立新的私有金鑰)。然後選擇下一步

  17. 對於 Cryptography (加密法),執行下列動作:

    1. 對於 Select a cryptographic provider (選取密碼編譯供應商),從功能表選擇其中一個 Cavium Key Storage Provider (Cavium 金鑰儲存供應商) 選項。這些是 AWS CloudHSM 金鑰儲存供應商。例如,您可以選擇 RSA#Cavium Key Storage Provider (RSA#Cavium 金鑰儲存供應商)

    2. 對於 Key length (金鑰長度),選擇其中一個金鑰長度選項。

    3. 對於 Select the hash algorithm for signing certificates issued by this CA (選取用於簽署這個 CA 發出之憑證的雜湊演算法),請選擇其中一個雜湊演算法選項。

    選擇下一步

  18. 對於 CA Name (CA 名稱),執行下列動作:

    1. (選用) 編輯常用的名稱。

    2. (選用) 輸入辨別名稱尾碼。

    選擇下一步

  19. 對於 Validity Period (有效期間),以年、月、週或天指定時段。然後選擇下一步

  20. 對於 Certificate Database (憑證資料庫),您可以接受預設值,或選擇變更資料庫和資料庫日誌的位置。然後選擇下一步

  21. 對於 Confirmation (確認),檢閱您的 CA 的相關資訊,然後選擇 Configure (設定)

  22. 選擇 Close (關閉),然後再次選擇 Close (關閉)

您現在有一個視窗伺服器 CA AWS CloudHSM。若要了解如何使用您的 CA 來簽署憑證簽署要求 (CSR),請移至簽署 CSR