¿Cómo puedo crear una lista de revocación de certificados (CRL) para mi ACM PCA?

4 minutos de lectura

Estoy intentando crear una lista de revocación de certificados (CRL) para mi AWS Certificate Manager (ACM) Private Certificate Authority (CA). ¿Cómo puedo hacerlo?

Descripción breve

ACM Private CA coloca la CRL en un bucket de Amazon Simple Storage Service (Amazon S3) que usted designe para su uso. Su bucket de Amazon S3 debe estar protegido por una política de permisos adjunta. Los usuarios autorizados y las entidades principales de servicio requieren permiso Put para permitir que ACM Private CA coloque objetos en el bucket y permiso Get para recuperarlos.

Para obtener más información, consulte Políticas de acceso para CRL en Amazon S3.

Resolución

Siga estas instrucciones para crear un bucket de Amazon S3, una distribución de Amazon CloudFront y configurar la CA para la CRL.

Nota:

Si se producen errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de que utiliza la versión más reciente de la AWS CLI.
Los nuevos buckets de Amazon S3 se configuran de forma predeterminada con la característica Bloquear acceso público (BPA) activada.

Paso 1: creación de un nuevo bucket de Amazon S3 con la configuración de BPA habilitada

1. Abra la consola de Amazon S3 y elija Create bucket (Crear bucket).

2. En Bucket name (Nombre del bucket), introduzca un nombre para el bucket.

3. En Object Ownership (Propiedad de objetos), elija ACL enabled (ACL habilitadas) y, a continuación, elija Create bucket (Crear bucket).

4. En Buckets, elija el bucket que creó en el paso 3.

5. Haga clic en la pestaña Permissions (Permisos).

6. En Bucket policy (Política del bucket), elija Edit (Editar).

7. En Policy (Política), copie y pegue la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Nota: Reemplace el nombre del bucket de S3, el ID de cuenta y el ARN de ACM PCA por sus variables.

8. Elija Save changes (Guardar cambios).

Para obtener más información, consulte Crear un bucket.

Paso 2: creación de una distribución de CloudFront

1. Abra la consola de CloudFront y elija Create Distribution (Crear distribución).

2. En Origin domain (Dominio de origen), ingrese el nombre del bucket que creó en los pasos anteriores.

3. En S3 bucket access (Acceso al bucket de S3), elija Yes use OAI (bucket can restrict access to only CloudFront) (Sí, usar OAI [el bucket puede restringir el acceso solo a CloudFront]).

4. En Origin access identity (Identidad de acceso de origen), elija Create new OAI (Crear nueva OAI) y, a continuación, Create (Crear).

5. Elija Create distribution (Crear distribución).

Para obtener más información, consulte Creación una distribución.

Paso 3: configuración de la CA con la CRL

1. Cree la CA con el comando create-certificate-authority de la CLI de AWS similar al siguiente:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

El archivo revoke_config.txt contiene información de revocación similar a la siguiente:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Nota: Si configuró su CRL con la consola de administración de AWS, es posible que reciba un error “ValidationException” (Excepción de validación). Repita el paso 1 para actualizar la configuración de revocación de la CA mediante la AWS CLI

(Opcional) Paso 4: cifrado de la CRL

Puede configurar el cifrado automático o personalizado en el bucket de Amazon S3 que contiene sus CRL. Para obtener instrucciones, consulte Cifrado de las CRL.

Información relacionada

Planificación de una lista de revocación de certificados (CRL)

How to securely create and store your CRL for ACM Private CA (Cómo crear y almacenar de forma segura su CRL para ACM Private CA)

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Certificate Manager

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cuál es el periodo de validez máximo de AWS Private CA que puedo utilizar al solicitar un nuevo certificado privado?
OFICIAL DE AWSActualizada hace un año
¿Por qué recibí un error de permiso GetBucketACL de Amazon S3 al actualizar la configuración de CRL de la autoridad de certificación privada de ACM?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué Client VPN no ha revocado a los usuarios que especifiqué en mi CRL?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo puedo revocar mi certificado privado de ACM?
OFICIAL DE AWSActualizada hace 2 años