Wie kann ich eine Zertifikatssperrliste (CRL) für meinen ACM PCA erstellen?

Lesedauer: 3 Minute

Ich versuche, eine Zertifikatssperrliste (CRL) für meine private AWS Certificate Manager (ACM)-Zertifizierungsstelle (CA) zu erstellen. Wie kann ich vorgehen?

Kurzbeschreibung

ACM Private CA platziert die CRL in einem Bucket von Amazon Simple Storage Service (Amazon S3), den Sie zur Verwendung festlegen. Ihr Amazon-S3-Bucket muss durch eine angefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Serviceprinzipale benötigen die Berechtigung „Put“, damit ACM Private CA Objekte in den Bucket platzieren kann, und die Get-Berechtigung zum Abrufen dieser Objekte.

Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3.

Auflösung

Folgen Sie diesen Anweisungen, um einen Amazon-S3-Bucket, Amazon-CloudFront-Verteilung, zu erstellen und die CA für die CRL zu konfigurieren.

Hinweis:

Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.
Neue Amazon-S3-Buckets werden standardmäßig mit aktivierter Funktion Block Public Access (BPA) konfiguriert.

Schritt 1: Erstellen Sie einen neuen Amazon-S3-Bucket mit aktivierten BPA-Einstellungen

1. Öffnen Sie die Amazon-S3-Konsole und wählen Sie dann Create bucket(Bucket erstellen).

2. Geben Sie im Feld Bucket name (Bucket-Name) einen Namen für Ihren Bucket ein.

3. Wählen Sie unter Object Ownership (Objekteigentümerschaft) die Option ACLs enabled (ACLs aktiviert) und dann Create bucket (Bucket erstellen).

4. Wählen Sie in Buckets den Bucket aus, den Sie in Schritt 3 erstellt haben.

5. Wählen Sie die Registerkarte Permissions (Berechtigungen).

6. Wählen Sie in der Bucket policy (Bucket-Richtlinie) Edit (Bearbeiten) aus.

7. Kopieren Sie unter Policy (Richtlinie) die folgende Richtlinie, und fügen Sie sie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Hinweis: Ersetzen Sie den S3-Bucket-Namen, die Konto-ID und den ACM-PCA-ARN durch Ihre Variablen.

8. Wählen Sie Save changes (Änderungen speichern).

Weitere Informationen finden Sie unter Creating a bucket (Erstellen eines Buckets).

Schritt 2: Erstellen Sie eine CloudFront-Verteilung

1. Öffnen Sie die CloudFront-Konsole und wählen Sie dann Create Distribution (Verteilung erstellen).

2. Geben Sie unter Origin domain (Originale Domäne) den Namen des Buckets ein, den Sie in den vorherigen Schritten erstellt haben.

3. Wählen Sie unter S3 bucket access (S3-Bucket-Zugriff) Ja, OAI verwenden (Bucket kann den Zugriff nur auf CloudFront einschränken).

4. Wählen Sie in Origin access identity (Herkunftszugriffsidentität) Create new OAI (Neue OAI estellen) und dann Create (Erstellen) aus.

5. Wählen Sie Create distribution (Verteilung anlegen).

Weitere Informationen finden Sie unter Creating a distribution (Erstellen einer Verteilung).

Schritt 3: Konfigurieren Sie Ihre CA mit CRL

1. Erstellen Sie die CA mithilfe des AWS-CLI-Befehls create-certificate-authority ähnlich wie im Folgenden beschrieben:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

Die Datei revoke_config.txt enthält Sperrinformationen, die den folgenden ähneln:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Hinweis: Wenn Sie Ihre CRL mithilfe der AWS-Managementkonsole konfiguriert haben, wird möglicherweise ein „ValidationException“-Fehler angezeigt. Wiederholen Sie Schritt 1, um die CA-Sperrkonfiguration mithilfe der AWS-CLI zu aktualisieren.

(Optional) Schritt 4: Verschlüsseln Sie Ihre CRL

Sie können die automatische oder benutzerdefinierte Verschlüsselung für den Amazon-S3-Bucket konfigurieren, der Ihre CRLs enthält. Anweisungen finden Sie unter Encrypting your CRLs (Verschlüsseln Ihrer CRLs).

Relevante Informationen

Planung einer Zertifikatssperrliste (CRL)

So erstellen und speichern Sie Ihre CRL für ACM Private CA auf sichere Weise

Bewährte Amazon-S3-Sicherheitsmethoden

Bewährte ACM-Private-CA-Methoden

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Was ist die maximale Gültigkeitsdauer von AWS Private CA, die ich verwenden kann, wenn ich ein neues privates Zertifikat anfordere?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich über die ACM-Konsole ein privates Zertifikat anfordern, wenn die ACM-PCA-Gültigkeitsdauer weniger als 13 Monate beträgt?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum hat Client VPN die Benutzer, für die ich meine CRL angegeben habe, nicht gesperrt?
AWS OFFICIALAktualisiert vor 8 Monaten