Comment puis-je installer les CA racine et subordonnés d'AWS Private CA dans différents comptes ou régions ?
Je souhaite installer les certificats CA racine et subordonnés d’AWS Private Certificate Authority dans différents comptes AWS ou régions AWS.
Brève description
Vous pouvez utiliser AWS Private CA pour héberger une CA racine privée ou une CA subordonnée privée. Vous pouvez utiliser la console de gestion AWS pour créer et installer une CA racine privée ou un certificat CA subordonné hébergés par AWS Private CA. Cependant, la CA racine privée et la CA subordonnée doivent appartenir au même compte et à la même région.
Pour installer un certificat dans un autre compte ou une autre région, vous devez utiliser l'interface de ligne de commande AWS (AWS CLI) ou l'API. Cela est dû au fait que vous ne pouvez pas utiliser la console de gestion AWS pour installer un certificat dans un autre compte ou une autre région.
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de ligne de commande AWS, consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'interface.
Résolution
Remarque :
- L'exemple suivant suppose que vous avez créé une CA privée dans la région 1.
- L'exemple utilise le type de CA comme CA racine privée.
- Pour utiliser les kits SDK pour effectuer des appels d'API, consultez la référence de l'API AWS Private CA.
- Remplacez région1 et région2 par vos régions.
Créer une CA subordonnée privée dans différents comptes ou régions
Utilisez la console de gestion AWS ou l'AWS CLI pour créer une CA subordonnée.
L'exemple suivant utilise la région1 pour créer une CA racine privée. L'exemple utilise la CA racine privée de la région1 pour émettre une CA privée subordonnée dans la région2.
Installer le certificat CA pour la CA racine privée
Utilisez la console de gestion AWS ou l’AWS CLI pour installer le certificat CA racine privé.
Obtenir la CSR auprès de la CA subordonnée
Pour obtenir la demande de signature de certificat (CSR) auprès de la CA subordonnée, exécutez la commande de l'interface de ligne de commande AWS get-certificate-authority-csr :
$ aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:region2:account2:certificate-authority/SUB_CA_ID \ --output text \ --region region2 > sub_ca.csr
Utiliser la CA racine privée de la région1 pour émettre le certificat de CA subordonnée privée
Utilisez la CA racine privée pour signer la CSR, puis utilisez la CA racine privée pour émettre le certificat de CA subordonnée.
Exécutez la commande issue-certificate de l’interface de ligne de commande AWS :
$ aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID \ --csr fileb://sub_ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/subordinateCAcertificate_PathLen0/V1 \ --validity Value=1095,Type=DAYS \ --region region1
Remarque : Le modèle précédent ne peut émettre que des certificats d'entité finale car la longueur du chemin du modèle est égale à 0. Pour obtenir la liste de tous les types de modèles pris en charge par AWS Private CA, consultez la section Comprendre les modèles de certificats.
Obtenir le certificat CA subordonné auprès de la CA racine privée de la région1
-
Exécutez la commande get-certificate de l'AWS CLI :
$ aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID \ --certificate-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID/certificate/SUB_CERTIFICATE_ID \ --output text \ --region region1 > sub_ca_cert.pem
Exemple de sub_ca_cert.pem :
-----BEGIN CERTIFICATE----- .....Content of your subordinate CA certificate...... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- .....Content of your parent Root CA certificate (Chain)...... -----END CERTIFICATE-----
-
Le premier bloc de texte entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- est le corps du certificat CA subordonné. Saisissez ce bloc de texte dans un nouveau fichier, puis enregistrez le fichier sous le nom sub_ca_cert_body.pem.
Remarque : Vous pouvez également utiliser le processeur JSON en ligne de commande, jq, pour analyser le certificat et le chaîner dans ses propres fichiers. Pour plus d'informations sur l'utilisation de jq avec la commande get-certificate de l'AWS CLI, consultez la section Émettre un certificat avec un nom de sujet personnalisé à l'aide d'un modèle APIPassthrough. -
Le deuxième bloc de texte entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- est la chaîne de certificats du certificat CA subordonné. La chaîne de certificats contient le certificat de la CA racine privée émettrice. Saisissez ce bloc de texte dans un nouveau fichier, puis enregistrez le fichier sous le nom sub_ca_cert_chain.pem.
Installer le certificat CA subordonné dans la région2
Exécutez la commande import-certificate-authority-certificate de l'interface de ligne de commande AWS :
$ aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region2:account2:certificate-authority/SUB_CA_ID \ --certificate fileb://sub_ca_cert_body.pem \ --certificate-chain fileb://sub_ca_cert_chain.pem \ --region region2
L'installation du certificat CA subordonné est maintenant terminée et vous pouvez émettre des certificats d'entité finale privés dans différents comptes et régions.
Informations connexes
Contenus pertinents
- demandé il y a 9 moislg...
- demandé il y a 5 moislg...
- demandé il y a 7 moislg...
- demandé il y a 7 moislg...
- demandé il y a 7 jourslg...
- AWS OFFICIELA mis à jour il y a 6 mois
- AWS OFFICIELA mis à jour il y a 5 mois
- AWS OFFICIELA mis à jour il y a 5 mois
- AWS OFFICIELA mis à jour il y a 2 mois