Como posso criar uma lista de revogação de certificados (CRL) para minha ACM PCA?

4 minuto de leitura

Estou tentando criar uma lista de revogação de certificados (CRL) para minha autoridade de certificação (CA) privada do AWS Certificate Manager (ACM). Como posso fazer isso?

Breve descrição

A CA privada do ACM coloca a CRL em um bucket do Amazon Simple Storage Service (Amazon S3) que for designada para uso. Seu bucket do Amazon S3 deve ser protegido por uma política de permissões anexada. Usuários autorizados e entidades principais de serviço precisam da permissão Put para permitir que a CA privada do ACM coloque objetos no bucket e obtenha permissão para recuperá-los.

Para obter mais informações, consulte as políticas de acesso para CRLs no Amazon S3.

Resolução

Siga estas instruções para criar um bucket do Amazon S3 e uma distribuição do Amazon CloudFront e para configurar a CA para a CRL.

Observação:

Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.
Novos buckets do Amazon S3 são configurados por padrão com o recurso de bloqueio de acesso público (BPA) ativado.

Etapa 1: criar um novo bucket do Amazon S3 com as configurações de BPA habilitadas

1. Abra o console do Amazon S3 e escolha Create bucket (Criar bucket).

2. Em Bucket name (Nome do bucket), insira um nome para o bucket.

3. Em Object Ownership (Propriedade do objeto), escolha ACLs enabled (ACLs habilitadas) e depois escolha Create bucket (Criar bucket).

4. Em Buckets, escolha o bucket criado na etapa 3.

5. Escolha a guia Permissions (Permissões).

6. Em Bucket policy (Política do bucket), escolha Edit (Editar).

7. Em Policy (Política), copie e cole a seguinte política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Observação: substitua o nome do bucket do S3, o ID da conta e o ARN da ACM PCA pelas suas variáveis.

8. Escolha Save changes (Salvar alterações).

Para obter mais informações, consulte Criar um bucket.

Etapa 2: criar uma distribuição do CloudFront

1. Abra o console do CloudFront e escolha Create Distribution (Criar distribuição).

2. Em Origin domain (Domínio de origem), insira o nome do bucket que você criou nas etapas anteriores.

3. Em S3 bucket access (Acesso ao bucket do S3), escolha Yes use OAI (bucket can restrict access to only CloudFront) (Sim, usar OAI - o bucket pode restringir o acesso somente ao CloudFront).

4. Em Origin access identity (Identidade de acesso de origem), escolha Create new OAI (Criar novo OAI) e escolha Create (Criar).

5. Escolha Create distribution (Criar distribuição).

Para obter mais informações, consulte Criar uma distribuição.

Etapa 3: configurar sua CA com a CRL

1. Crie a CA usando o comando da AWS CLI create-certificate-authority, semelhante ao seguinte:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

O arquivo revoke_config.txt contém as informações de revogação com as seguintes semelhanças:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Observação: se você configurou sua CRL usando o Console de Gerenciamento da AWS, um erro “ValidationException” poderá aparecer. Repita a Etapa 1 para atualizar a configuração de revogação da CA usando a AWS CLI

(Opcional) Etapa 4: criptografar sua CRL

Você pode configurar a criptografia automática ou personalizada no bucket do Amazon S3 que contém suas CRLs. Para obter instruções, consulte Criptografar suas CRLs.

Informações relacionadas

Planejar uma lista de revogação de certificados (CRL)

Como criar e armazenar com segurança sua CRL para o ACM Private CA

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como posso revogar meu certificado privado do ACM?
AWS OFICIALAtualizada há 2 anos
Como faço para solicitar um certificado privado usando o console do ACM quando o período de validade do ACM-PCA é inferior a 13 meses?
AWS OFICIALAtualizada há 2 anos
Como soluciono erros ao emitir um novo certificado do ACM-PCA?
AWS OFICIALAtualizada há 2 anos
Por que recebi um erro de permissão GetBucketACL do Amazon S3 ao atualizar a minha configuração de CRL da Private Certificate Authority do ACM?
AWS OFICIALAtualizada há 2 anos