Come posso creare un elenco di revoche di certificati (CRL) per la mia ACM PCA?

3 minuti di lettura

Sto cercando di creare un elenco di revoche di certificati (CRL) per la mia autorità di certificazione privata (CA) di Gestione certificati AWS (ACM). In che modo posso farlo?

Breve descrizione

ACM Private CA inserisce il CRL in un bucket Amazon Simple Storage Service (Amazon S3) designato per l'uso. Il bucket Amazon S3 deve essere protetto da una policy di autorizzazioni allegata. Gli utenti autorizzati e le entità di servizio necessitano dell'autorizzazione Put per consentire ad ACM Private CA di posizionare oggetti nel bucket e dell'autorizzazione Get per recuperarli.

Per ulteriori informazioni, consulta Access policies for CRLs in Amazon S3.

Risoluzione

Segui queste istruzioni per creare un bucket Amazon S3, una distribuzione Amazon CloudFront e configurare la CA per il CRL.

Nota:

se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
I nuovi bucket Amazon S3 sono configurati per impostazione predefinita con la funzione Blocco dell'accesso pubblico (BPA) attivata.

Fase 1: crea un nuovo bucket Amazon S3 con le impostazioni BPA abilitate

1. Apri la console Amazon S3, quindi seleziona Crea bucket.

2. In Nome bucket, inserisci un nome per il tuo bucket.

3. In Proprietà dell'oggetto, seleziona ACL abilitate, quindi seleziona Crea bucket.

4. In Bucket, seleziona il bucket che hai creato nella fase 3.

5. Seleziona la scheda Autorizzazioni.

6. In Policy del bucket, seleziona Modifica.

7. In Policy, copia e incolla la seguente policy:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Nota: sostituisci il nome del bucket S3, l'ID account e l'ARN di ACM PCA con le tue variabili.

8. Seleziona Salva le modifiche.

Per ulteriori informazioni, consulta Creazione di un bucket.

Fase 2: crea una distribuzione CloudFront

1. Apri la console CloudFront, quindi seleziona Crea distribuzione.

2. In Dominio di origine, inserisci il nome del bucket che hai creato nelle fasi precedenti.

3. In Accesso al bucket S3, seleziona Sì, utilizza identità di accesso di origine (il bucket può limitare l'accesso solo a CloudFront).

4. In Identità di accesso di origine, seleziona Crea nuova identità di accesso di origine, quindi scegli Crea.

5. Seleziona Crea distribuzione.

Per ulteriori informazioni, consulta Creazione di una distribuzione.

Fase 3: configura la CA con CRL

1. Crea la CA utilizzando il comando di AWS CLI create-certificate-authority simile al seguente:

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

Il file revoke_config.txt contiene informazioni sulla revoca simili alle seguenti:

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

Nota: se hai configurato il CRL utilizzando la Console di gestione AWS, potresti visualizzare l'errore "ValidationException". Ripeti la fase 1 per aggiornare la configurazione di revoca delle CA utilizzando AWS CLI.

(Facoltativo) Fase 4: esegui la crittografia del CRL

È possibile configurare la crittografia automatica o personalizzata sul bucket Amazon S3 contenente i CRL. Per avere istruzioni in merito, consulta Crittografare i CRL.

Informazioni correlate

Pianificazione di un elenco di revoche di certificati (CRL)

Come creare e archiviare in modo sicuro il CRL per ACM Private CA

Best practice di sicurezza per Amazon S3

Best practice di ACM Private CA

Argomenti

Sicurezza, identità e conformità

Tag

AWS Certificate Manager

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Perché durante l'aggiornamento della configurazione del CRL di ACM Private Certificate Authority visualizzo un errore di autorizzazione GetBucketAcl Amazon S3?
AWS UFFICIALEAggiornata 2 anni fa
Come posso richiedere un certificato privato utilizzando la console ACM quando il periodo di validità ACM-PCA è inferiore a 13 mesi?
AWS UFFICIALEAggiornata 2 anni fa
Come posso revocare il mio certificato privato ACM?
AWS UFFICIALEAggiornata 2 anni fa
Perché Client VPN non ha revocato gli utenti a cui avevo specificato la mia CRL?
AWS UFFICIALEAggiornata 8 mesi fa