Wie kann ich eine Zertifikatssperrliste (CRL) für meinen ACM PCA erstellen?

Letzte Aktualisierung: 20.06.2022

Ich versuche, eine Zertifikatssperrliste (CRL) für meine private AWS Certificate Manager (ACM)-Zertifizierungsstelle (CA) zu erstellen. Wie kann ich vorgehen?

Kurzbeschreibung

ACM Private CA platziert die CRL in einem Bucket von Amazon Simple Storage Service (Amazon S3), den Sie zur Verwendung festlegen. Ihr Amazon-S3-Bucket muss durch eine angefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Serviceprinzipale benötigen die Berechtigung „Put“, damit ACM Private CA Objekte in den Bucket platzieren kann, und die Get-Berechtigung zum Abrufen dieser Objekte.

Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3.

Auflösung

Folgen Sie diesen Anweisungen, um einen Amazon-S3-Bucket, Amazon-CloudFront-Verteilung, zu erstellen und die CA für die CRL zu konfigurieren.

Hinweis:

Schritt 1: Erstellen Sie einen neuen Amazon-S3-Bucket mit aktivierten BPA-Einstellungen

1.    Öffnen Sie die Amazon-S3-Konsole und wählen Sie dann Create bucket(Bucket erstellen).

2.    Geben Sie im Feld Bucket name (Bucket-Name) einen Namen für Ihren Bucket ein.

3.    Wählen Sie unter Object Ownership (Objekteigentümerschaft) die Option ACLs enabled (ACLs aktiviert) und dann Create bucket (Bucket erstellen).

4.    Wählen Sie in Buckets den Bucket aus, den Sie in Schritt 3 erstellt haben.

5.    Wählen Sie die Registerkarte Permissions (Berechtigungen).

6.    Wählen Sie in der Bucket policy (Bucket-Richtlinie) Edit (Bearbeiten) aus.

7.    Kopieren Sie unter Policy (Richtlinie) die folgende Richtlinie, und fügen Sie sie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Hinweis: Ersetzen Sie den S3-Bucket-Namen, die Konto-ID und den ACM-PCA-ARN durch Ihre Variablen.

8.    Wählen Sie Save changes (Änderungen speichern).

Weitere Informationen finden Sie unter Creating a bucket (Erstellen eines Buckets).

Schritt 2: Erstellen Sie eine CloudFront-Verteilung

1.    Öffnen Sie die CloudFront-Konsole und wählen Sie dann Create Distribution (Verteilung erstellen).

2.    Geben Sie unter Origin domain (Originale Domäne) den Namen des Buckets ein, den Sie in den vorherigen Schritten erstellt haben.

3.    Wählen Sie unter S3 bucket access (S3-Bucket-Zugriff) Ja, OAI verwenden (Bucket kann den Zugriff nur auf CloudFront einschränken).

4.    Wählen Sie in Origin access identity (Herkunftszugriffsidentität) Create new OAI (Neue OAI estellen) und dann Create (Erstellen) aus.

5.    Wählen Sie Create distribution (Verteilung anlegen).

Weitere Informationen finden Sie unter Creating a distribution (Erstellen einer Verteilung).

Schritt 3: Konfigurieren Sie Ihre CA mit CRL

1.    Erstellen Sie die CA mithilfe des AWS-CLI-Befehls create-certificate-authority ähnlich wie im Folgenden beschrieben:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

Die Datei revoke_config.txt enthält Sperrinformationen, die den folgenden ähneln:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Hinweis: Wenn Sie Ihre CRL mithilfe der AWS-Managementkonsole konfiguriert haben, wird möglicherweise ein „ValidationException“-Fehler angezeigt. Wiederholen Sie Schritt 1, um die CA-Sperrkonfiguration mithilfe der AWS-CLI zu aktualisieren.

(Optional) Schritt 4: Verschlüsseln Sie Ihre CRL

Sie können die automatische oder benutzerdefinierte Verschlüsselung für den Amazon-S3-Bucket konfigurieren, der Ihre CRLs enthält. Anweisungen finden Sie unter Encrypting your CRLs (Verschlüsseln Ihrer CRLs).