Comment puis-je créer une liste de révocation de certificats (CRL) pour mon ACM PCA ?

Brève description

L'autorité de certification privée ACM place la CRL dans un compartiment Amazon Simple Storage Service (Amazon S3) que vous avez désigné pour l’utilisation. Votre compartiment Amazon S3 doit être sécurisé par une politique d'autorisations associée. Les utilisateurs autorisés et les principaux de service ont besoin de l'autorisation Put pour autoriser ACM Private CA à placer des objets dans le compartiment, et de l'autorisation Get pour les récupérer.

Pour plus d'informations, consultez Politiques d'accès pour les listes CRL dans Amazon S3.

Solution

Suivez ces instructions pour créer un compartiment Amazon S3, une distribution Amazon CloudFront et configurer l'autorité de certification pour la CRL.

Remarque :

• Si vous recevez des erreurs lors de l'exécution de commandes AWS Command Line Interface (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.
• Les nouveaux compartiments Amazon S3 sont configurés par défaut avec la fonctionnalité Bloquer l'accès public (BPA) activée.

Étape 1 : créer un nouveau compartiment Amazon S3 avec les paramètres BPA activés

1.    Ouvrez la console Amazon S3, puis choisissez les Create bucket (Créer un compartiment).

2.    Dans Bucket name (Nom du compartiment), saisissez le nom du compartiment.

3.    Dans Object Ownership (Propriété de l’objet), choisissez ACL enabled (ACL activée), puis Create bucket (Créer un compartiment).

4.    Dans Buckets (Compartiments), choisissez le compartiment que vous avez créé à l'étape 3.

5.    Sélectionnez l'onglet Permissions (Autorisations).

6.    Dans Bucket policy(politique des compartiments), choisissez Edit(Modifier).

7.    Dans Policy(Politique), copiez et collez la politique suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Remarque : remplacez le nom du compartiment S3, l'identifiant du compte et l'ARN ACM PCA par vos variables.

8.    Choisissez Enregistrer les modifications.

Pour plus d'informations, consultez la section Création d'un compartiment.

Étape 2 : créer une distribution CloudFront

1.    Ouvrez la console CloudFront, puis choisissez Créer une distribution.

2.    Dans Domaine Origin (Origine du domaine), saisissez le nom du compartiment que vous avez créé lors des étapes précédentes.

3.    Dans S3 bucket access (Accès au compartiment S3) sélectionnez Yes use OAI (bucket can restrict access to only CloudFront) (Oui, utiliser l'identité OAI [le compartiment peut restreindre l'accès à CloudFront uniquement]).

4.    Dans Origin access identity (Identité d’accès d’origine), choisissez Create new OAI (Créer une identité OAI), puis Create (Créer).

5.    Choisissez Créer une distribution.

Pour plus d'informations, consultez Creating a Distribution (Création d'une distribution).

Étape 3 : configurer l’autorité de certification (CA) avec la liste CRL

1.    Créez l'autorité de certification (CA) à l'aide de la commande AWS CLI create-certificate-authority similaire à ce qui suit :

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

Le fichier revoke_config.txt contient des informations de révocation similaires aux informations suivantes :

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Remarque : si vous avez configuré votre liste CRL à l'aide de la console de gestion AWS, vous pouvez recevoir une erreur « ValidationException ». Répétez l’étape 1 pour mettre à jour la configuration de révocation de l'autorité de certification à l'aide de l’interface de ligne de commande AWS (CLI).

Étape 4 (Facultatif): crypter votre liste CRL

Vous pouvez configurer le chiffrement automatique ou personnalisé sur le compartiment Amazon S3 contenant vos listes CRL. Pour obtenir des instructions, consultez la section Chiffrement de vos listes CRL.

---

Informations connexes

Planification d’une liste de révocation de certifications (CRL)

Comment créer et stocker en toute sécurité votre liste CRL pour l’autorité de certification (CA) privée ACM

Bonnes pratiques de sécurité pour Amazon S3

Bonnes pratiques liées à l’autorité de certification (CA) privée ACM