Comment puis-je configurer la reprise après sinistre pour AWS Private CA ?

Lecture de 2 minute(s)

Je souhaite savoir comment configurer l'autorité de certification privée AWS pour la reprise après sinistre.

Résolution

Étant donné qu’AWS Private CA est disponible dans plusieurs Régions AWS, vous pouvez créer des CA subordonnées redondantes dans plusieurs régions. Vous pouvez ensuite chaîner les CA subordonnées à la même autorité de certification racine dans une seule région.

Procédez comme suit :

Créez une CA subordonnée (sub_CA_2) dans une région AWS différente (sub_CA_2_region) à partir de la région CA racine (root_CA_region).

Exécutez la commande suivante pour obtenir le certificat sub_CA_2 depuis la région sub_CA_2_region :

aws acm-pca get-certificate-authority-csr --certificate-authority-arn sub_CA_2_ARN --region sub_CA_2_region

Exécutez la commande suivante pour émettre le certificat sub_CA_2 à partir de la CA racine de la région root_CA_region :

aws acm-pca issue-certificate --certificate-authority-arn root_CA_ARN --csr fileb://<CSRfile> --signing-algorithm SHA256WITHRSA --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1 --validity Value=5,Type="YEARS" --region root_CA_region

Exécutez la commande suivante pour obtenir le certificat et la chaîne de certificats du certificat sub_CA_2 :

aws acm-pca get-certificate --certificate-authority-arn root_CA_ARN --certificate-arn certificate-arn-from-the-previous-step --region root_CA_region --output json > cert.json

Exécutez les commandes suivantes pour séparer le certificat et la chaîne de certificats en deux fichiers :

cert.pem for the subordinate CA certificate
cert_chain.pem for the root CA certificate chain details

cat cert.json | jq -r .Certificate > cert.pem
cat cert.json | jq -r .CertificateChain > cert_chain.pem

Exécutez la commande suivante pour importer le certificat signé du certificat sub_CA_2 dans la région sub_CA_2_region :

aws acm-pca import-certificate-authority-certificate --certificate-authority-arn sub_CA_2_ARN --certificate fileb://cert.pem --certificate-chain fileb://cert_chain.pem --region sub_CA_2_region

La configuration de la CA subordonnée dans la deuxième région est maintenant terminée et peut être utilisée pour émettre des certificats privés pour la reprise après sinistre.

Pour plus d'informations, consultez la section Redondance et reprise après sinistre.

Informations connexes

Bonnes pratiques d'AWS Private CA

Sujets: Security, Identity, & Compliance
Balises: AWS Private Certificate Authority
Langue: Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Reprise gestion AWS
Réponse acceptée
rePost-User-1006075
demandé il y a 3 ans
Héberger des données de santé sur un EC2
benjamin
demandé il y a 9 mois
AWS ACM erreur "le délai de validation a expiré"
rePost-User-1383310
demandé il y a 2 ans
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a 2 ans
Probleme premiere connexion WHM/Cpanel Lightsail
rePost-User-1172258
demandé il y a 3 ans
Pourquoi ne puis-je pas voir ma CA partagée lorsque j'installe un certificat de CA subordonnée dans la console AWS Private CA ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi est-ce que je reçois une erreur d'autorisation GetBucketACL Amazon S3 lorsque je mets à jour la configuration de ma CRL AWS Private CA ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je créer une CRL pour ma CA privée AWS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre les erreurs lorsqu'une CA privée émet un nouveau certificat ?
AWS OFFICIELA mis à jour il y a un an