Come posso creare un elenco di revoche di certificati (CRL) per la mia ACM PCA?

Ultimo aggiornamento: 20/06/2022

Sto cercando di creare un elenco di revoche di certificati (CRL) per la mia autorità di certificazione privata (CA) di Gestione certificati AWS (ACM). In che modo posso farlo?

Breve descrizione

ACM Private CA inserisce il CRL in un bucket Amazon Simple Storage Service (Amazon S3) designato per l'uso. Il bucket Amazon S3 deve essere protetto da una policy di autorizzazioni allegata. Gli utenti autorizzati e le entità di servizio necessitano dell'autorizzazione Put per consentire ad ACM Private CA di posizionare oggetti nel bucket e dell'autorizzazione Get per recuperarli.

Per ulteriori informazioni, consulta Access policies for CRLs in Amazon S3.

Risoluzione

Segui queste istruzioni per creare un bucket Amazon S3, una distribuzione Amazon CloudFront e configurare la CA per il CRL.

Nota:

Fase 1: crea un nuovo bucket Amazon S3 con le impostazioni BPA abilitate

1.    Apri la console Amazon S3, quindi seleziona Crea bucket.

2.    In Nome bucket, inserisci un nome per il tuo bucket.

3.    In Proprietà dell'oggetto, seleziona ACL abilitate, quindi seleziona Crea bucket.

4.    In Bucket, seleziona il bucket che hai creato nella fase 3.

5.    Seleziona la scheda Autorizzazioni.

6.    In Policy del bucket, seleziona Modifica.

7.    In Policy, copia e incolla la seguente policy:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Nota: sostituisci il nome del bucket S3, l'ID account e l'ARN di ACM PCA con le tue variabili.

8.    Seleziona Salva le modifiche.

Per ulteriori informazioni, consulta Creazione di un bucket.

Fase 2: crea una distribuzione CloudFront

1.    Apri la console CloudFront, quindi seleziona Crea distribuzione.

2.    In Dominio di origine, inserisci il nome del bucket che hai creato nelle fasi precedenti.

3.    In Accesso al bucket S3, seleziona Sì, utilizza identità di accesso di origine (il bucket può limitare l'accesso solo a CloudFront).

4.    In Identità di accesso di origine, seleziona Crea nuova identità di accesso di origine, quindi scegli Crea.

5.    Seleziona Crea distribuzione.

Per ulteriori informazioni, consulta Creazione di una distribuzione.

Fase 3: configura la CA con CRL

1.    Crea la CA utilizzando il comando di AWS CLI create-certificate-authority simile al seguente:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

Il file revoke_config.txt contiene informazioni sulla revoca simili alle seguenti:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Nota: se hai configurato il CRL utilizzando la Console di gestione AWS, potresti visualizzare l'errore "ValidationException". Ripeti la fase 1 per aggiornare la configurazione di revoca delle CA utilizzando AWS CLI.

(Facoltativo) Fase 4: esegui la crittografia del CRL

È possibile configurare la crittografia automatica o personalizzata sul bucket Amazon S3 contenente i CRL. Per avere istruzioni in merito, consulta Crittografare i CRL.