aws certificate manager private certificate authority

AWS Certificate ManagerPrivate Certificate Authority

Panduan PenggunaVersi latest

AWS Certificate Manager PrivateCertificate Authority Panduan Pengguna

AWS Certificate Manager Private Certificate Authority: Panduan PenggunaCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Merek dagang dan tampilan dagang Amazon tidak boleh digunakan sehubungan dengan produk atau layanan apa punyang bukan milik Amazon, dengan cara apa pun yang dapat menyebabkan kebingungan antara para pelanggan, ataudengan cara apa pun yang menghina atau mendiskreditkan Amazon. Semua merek dagang lain yang tidak dimilikioleh Amazon merupakan milik dari pemiliknya masing-masing, yang mungkin berafiliasi dengan, terhubung ke, ataudisponsori oleh Amazon.


Table of ContentsApa itu ACM Private CA? .................................................................................................................... 1

Apa layanan sertifikat terbaik untuk kebutuhan saya? ....................................................................... 1Regions ..................................................................................................................................... 2Layanan terintegrasi .................................................................................................................... 2Algoritme yang didukung ............................................................................................................. 2Quotas ...................................................................................................................................... 3Kepatuhan RFC ......................................................................................................................... 4Pricing ...................................................................................................................................... 4

Keamanan ......................................................................................................................................... 5Perlindungan data ....................................................................................................................... 5

Kepatuhan penyimpanan dan keamanan kunci privat ACM Private CA ........................................ 6Identity and Access Management .................................................................................................. 7

Authentication .................................................................................................................... 7Memahami sumber daya, kepemilikan, dan kebijakan izin ......................................................... 8........................................................................................................................................ 9

Kebijakan inline ................................................................................................................ 14Akses lintas akun ...................................................................................................................... 17

Kebijakan berbasis sumber daya ......................................................................................... 17Pencatatan dan pemantauan ...................................................................................................... 19

Metrik CloudWatch ............................................................................................................ 20Menggunakan CloudWatch Events ...................................................................................... 20Menggunakan CloudTrail .................................................................................................... 25

Validasi Kepatuhan ................................................................................................................... 38Membuat laporan audit ...................................................................................................... 38

Keamanan infrastruktur .............................................................................................................. 43VPC Endpoint (AWS PrivateLink) ........................................................................................ 44Praktik terbaik ACM Private CA .......................................................................................... 46

Merencanakan CA privat .................................................................................................................... 49Merancang hierarki CA .............................................................................................................. 49

Memvalidasi sertifikat entitas akhir ....................................................................................... 51Merencanakan struktur hierarki CA ...................................................................................... 52Menetapkan batasan panjang pada jalur sertifikasi ................................................................. 54

Mengelola siklus hidup CA ......................................................................................................... 56Memilih masa berlaku ........................................................................................................ 56Mengelola suksesi CA ....................................................................................................... 57Mencabut CA ................................................................................................................... 58

Ketahanan ............................................................................................................................... 58Redundansi dan pemulihan bencana ................................................................................... 58

Membuat dan mengelola CA privat ...................................................................................................... 59Menyiapkan .............................................................................................................................. 59

Daftar untuk AWS ............................................................................................................. 59Instal CLI (opsional) .......................................................................................................... 60

Buat dan konfigurasi CA ............................................................................................................ 60Struktur CRL .................................................................................................................... 60Kebijakan akses untuk CRL di Amazon S3 ........................................................................... 61Blokir Akses Publik S3 ...................................................................................................... 63Mengenkripsi CRL Anda .................................................................................................... 64Prosedur untuk membuat CA (konsol) .................................................................................. 66Prosedur untuk membuat CA (CLI) ...................................................................................... 69Membuat CA dengan AWS CloudFormation .......................................................................... 70

Menginstal sertifikat CA ............................................................................................................. 70Jika Anda menginstal sertifikat CA akar ............................................................................... 70Jika Anda menginstal sertifikat CA bawahan yang di-host oleh ACM Private CA .......................... 71Jika Anda menginstal sertifikat CA bawahan yang ditandatangani oleh CA induk eksternal ............ 72

Versi latestiii


Mengendalikan akses ................................................................................................................ 73Membuat izin akun tunggal untuk pengguna IAM ................................................................... 73Lampirkan kebijakan untuk akses lintas akun ........................................................................ 75

Memperbarui CA ....................................................................................................................... 77Memperbarui status CA ..................................................................................................... 77Memperbarui konfigurasi CRL ............................................................................................. 80Tambahkan tag ................................................................................................................ 81

Menghapus CA ......................................................................................................................... 82Memulihkan CA ........................................................................................................................ 83

Memulihkan CA privat (konsol) ........................................................................................... 84Memulihkan CA privat (AWS CLI) ....................................................................................... 84

Menerbitkan dan mencabut sertifikat .................................................................................................... 86Penerbitan ............................................................................................................................... 86

Menerbitkan sertifikat (AWS CLI) ......................................................................................... 87Mengambil ............................................................................................................................... 87Daftar sertifikat privat ................................................................................................................ 88Mencabut ................................................................................................................................. 92

Sertifikat yang dicabut di CRL ............................................................................................. 92Sertifikat yang dicabut dalam laporan audit ........................................................................... 93

Templat sertifikat ...................................................................................................................... 94Variasi templat ................................................................................................................. 94Urutan templat operasi ...................................................................................................... 99Definisi templat ................................................................................................................. 99

Menggunakan API (Contoh Java) ...................................................................................................... 126Membuat dan mengaktifkan CA akar secara terprogram ................................................................ 127Membuat dan mengaktifkan CA bawahan secara terprogram ......................................................... 132CreateCertificateAuthority ......................................................................................................... 139CreateCertificateAuthorityAuditReport ......................................................................................... 141CreatePermission .................................................................................................................... 143DeleteCertificateAuthority .......................................................................................................... 144DeletePermission .................................................................................................................... 146DeletePolicy ........................................................................................................................... 147DescribeCertificateAuthority ...................................................................................................... 149DescribeCertificateAuthorityAuditReport ...................................................................................... 150GetCertificate .......................................................................................................................... 152GetCertificateAuthorityCertificate ................................................................................................ 154GetCertificateAuthorityCsr ......................................................................................................... 155GetPolicy ............................................................................................................................... 157ImportCertificateAuthorityCertificate ............................................................................................ 158IssueCertificate ....................................................................................................................... 160ListCertificateAuthorities ........................................................................................................... 162ListPermissions ....................................................................................................................... 165ListTags ................................................................................................................................. 167PutPolicy ................................................................................................................................ 168RestoreCertificateAuthority ........................................................................................................ 170RevokeCertificate .................................................................................................................... 171TagCertificateAuthorities ........................................................................................................... 172UntagCertificateAuthority .......................................................................................................... 174UpdateCertificateAuthority ......................................................................................................... 175

Menggunakan CA eksternal .............................................................................................................. 178Mendapatkan CSR .................................................................................................................. 178

Cara mengambil CSR (konsol): Metode 1 ........................................................................... 179Cara mengambil CSR (konsol): Metode 2 ........................................................................... 180Mengambil CSR (AWS CLI) .............................................................................................. 180

Menandatangani sertifikat CA Anda ........................................................................................... 180Mengimpor sertifikat CA ........................................................................................................... 182

Mengimpor sertifikat CA privat (konsol) ............................................................................... 182

Versi latestiv


Mengimpor sertifikat CA privat (AWS CLI) ........................................................................... 183Menegakkan kendala nama pada CA privat ................................................................................ 183

Contoh kebijakan kendala nama ........................................................................................ 184Mengamankan Kubernetes ............................................................................................................... 186

Solusi contoh .......................................................................................................................... 187Troubleshooting .............................................................................................................................. 188

Penandatanganan CSR ............................................................................................................ 188Bucket Amazon S3 .................................................................................................................. 188Menghapus sertifikat CA yang ditandatangani sendiri .................................................................... 188Kesalahan S3 ......................................................................................................................... 188Menangani pengecualian .......................................................................................................... 189

Istilah dan Konsep .......................................................................................................................... 191Kriptografi Kunci Asimetris ........................................................................................................ 191Panjang Jalur Kendala Dasar .................................................................................................... 191Otoritas Sertifikat ..................................................................................................................... 192Sertifikat Otoritas Sertifikasi (CA) ............................................................................................... 192Kedalaman CA ....................................................................................................................... 193sertifikat CA ........................................................................................................................... 193Tanda Tangan Sertifikat ........................................................................................................... 193Jalur Sertifikat ......................................................................................................................... 193Domain Name System ............................................................................................................. 194Nama Domain ........................................................................................................................ 194Sertifikat Entitas Akhir .............................................................................................................. 195CA Privat ............................................................................................................................... 195Sertifikat Privat ....................................................................................................................... 195Infrastruktur Kunci Publik (PKI) .................................................................................................. 196CA akar ................................................................................................................................. 196Sertifikat Akar ......................................................................................................................... 197Secure Sockets Layer (SSL) ..................................................................................................... 197HTTPS aman ......................................................................................................................... 197Sertifikat yang Ditandatangani Sendiri ........................................................................................ 197Sertifikat Server SSL ............................................................................................................... 197Keamanan Lapisan Pengangkutan (TLS) .................................................................................... 197Trust ..................................................................................................................................... 198Nama Khusus X.500 ................................................................................................................ 198

Riwayat Dokumen ........................................................................................................................... 199Pembaruan Sebelumnya .......................................................................................................... 202

Versi latestv


Apa layanan sertifikat terbaik untuk kebutuhan saya?

Apa itu ACM Private CA?ACM Private CA memungkinkan pembuatan hierarki otoritas sertifikat (CA) privat, termasuk CA akar danbawahan, tanpa biaya investasi dan pemeliharaan untuk mengoperasikan CA on premise. CA privat Andadapat mengeluarkan sertifikat X.509 entitas akhir yang berguna dalam skenario termasuk:

• Membuat saluran komunikasi TLS terenkripsi• Mengautentikasi pengguna, komputer, titik akhir API, dan perangkat IoT• Kode penandatanganan kriptografi• Menerapkan Protokol Status Sertifikat Online (OCSP) untuk mendapatkan status pencabutan sertifikat

Operasi ACM Private CA dapat diakses dari AWS Management Console, menggunakan ACM Private CAAPI, atau menggunakan AWS CLI.

Apa layanan sertifikat terbaik untuk kebutuhansaya?

Ada dua layanan AWS untuk menerbitkan dan men-deploy sertifikat X.509. Pilih salah satu yang palingsesuai dengan kebutuhan Anda. Pertimbangan mencakup apakah Anda memerlukan sertifikat yang dapatdiakses publik atau privat, sertifikat yang disesuaikan, sertifikat yang ingin Anda terapkan ke layanan AWSlain, atau manajemen dan perpanjangan sertifikat otomatis.

1. ACM Private CA—Layanan ini untuk pelanggan perusahaan yang membangun infrastruktur kunci publik(PKI) di dalam cloud AWS dan ditujukan untuk penggunaan privat dalam suatu organisasi. Dengan ACMPrivate CA, Anda dapat membuat hierarki CA Anda sendiri dan menerbitkan sertifikat dengannya untukmengautentikasi pengguna internal, komputer, aplikasi, layanan, server, dan perangkat lain, dan untukmenandatangani kode komputer. Sertifikat yang dikeluarkan oleh CA privat hanya dipercaya di dalamorganisasi Anda, bukan di internet.

Setelah membuat CA privat, Anda memiliki kemampuan untuk menerbitkan sertifikat secara langsung(yaitu, tanpa memperoleh validasi dari CA pihak ketiga) dan menyesuaikannya untuk memenuhikebutuhan internal organisasi Anda. Misalnya, Anda mungkin ingin:• Membuat sertifikat dengan nama subjek apa saja.• Membuat sertifikat dengan tanggal kedaluwarsa.• Menggunakan algoritme kunci privat yang didukung dan panjang kunci.• Menggunakan algoritme penandatanganan yang didukung.• Kontrol penerbitan sertifikat menggunakan templat.

Anda berada di tempat yang tepat untuk layanan ini. Untuk memulai, masuk ke konsol https://console.aws.amazon.com/acm-pca/.

2. AWS Certificate Manager (ACM)—Layanan ini mengelola sertifikat untuk pelanggan korporasi yangmembutuhkan kehadiran web aman tepercaya publik menggunakan TLS. Anda dapat menerapkansertifikat ACM ke dalam Elastic Load Balancing AWS, Amazon CloudFront, Amazon API Gateway, danlayanan terintegrasi lainnya. Aplikasi paling umum dari jenis ini adalah situs web publik yang amandengan persyaratan lalu lintas yang signifikan.

Dengan layanan ini, Anda dapat menggunakan sertifikat publik yang disediakan oleh ACM (sertifikatACM) atau sertifikat yang Anda impor ke ACM. Jika Anda menggunakan ACM Private CA untuk

Versi latest1

https://console.aws.amazon.com/acm-pca/

https://console.aws.amazon.com/acm-pca/

https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html

https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html


Regions

membuat CA, ACM dapat mengelola penerbitan sertifikat dari CA privat tersebut dan mengotomatiskanperpanjangan sertifikat.

Untuk informasi lebih lanjut, lihat Panduan Pengguna AWS Certificate Manager.

Regions (p. 2)

Layanan terintegrasi (p. 2)

Quotas (p. 3)

Kepatuhan RFC (p. 4)

Pricing (p. 4)

RegionsSeperti kebanyakan sumber daya AWS, Private Certificate Authority (CA) adalah sumber daya Wilayah.Untuk menggunakan CA privat di lebih dari satu Wilayah, Anda harus membuat CA di Wilayah tersebut.Anda tidak dapat menyalin CA privat antar Wilayah. Kunjungi Wilayah dan Titik Akhir AWS di ReferensiUmum AWS atau Tabel Wilayah AWS untuk melihat ketersediaan Wilayah untuk ACM Private CA.

Note

ACM saat ini tersedia di beberapa wilayah yang tidak dimiliki oleh ACM Private CA.

Layanan terintegrasi dengan AWS CertificateManager Private Certificate Authority

Jika Anda menggunakan AWS Certificate Manager untuk meminta sertifikat privat, Anda dapat mengaitkansertifikat itu dengan layanan apa pun yang terintegrasi dengan ACM. Ini berlaku untuk sertifikat yangdirantai ke akar ACM Private CA dan untuk sertifikat yang dirantai ke akar eksternal. Untuk informasiselengkapnya, lihat Layanan Terintegrasi di Panduan Pengguna AWS Certificate Manager.

Anda juga dapat mengintegrasikan CA privat ke dalam Amazon Elastic Kubernetes Service untukmemberikan penerbitan sertifikat di dalam klaster Kubernetes. Untuk informasi lebih lanjut, lihatMengamankan Kubernetes dengan ACM Private CA (p. 186).

Note

Amazon Elastic Kubernetes Service bukan layanan terintegrasi ACM.

Jika Anda menggunakan ACM Private CA API atau AWS CLI untuk menerbitkan sertifikat atau mengeksporsertifikat privat dari ACM, Anda dapat menginstal sertifikat di mana pun yang Anda inginkan.

Algoritme kriptografi yang didukungACM Private CA mendukung algoritme kriptografi berikut untuk pembuatan kunci privat danpenandatanganan sertifikat. Daftar ini hanya berlaku untuk sertifikat yang diterbitkan langsung oleh ACMPrivate CA melalui konsol, API, atau baris perintah.

Versi latest2

https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#acm-pca_region

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/



Quotas

Algoritme yang didukung

Algoritme kunci privat Algoritme penandatanganan

RSA_2048

RSA_4096

EC_prime256v1

EC_secp384r1

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSASHA384WITHRSA

SHA512WITHRSA

Note

Saat AWS Certificate Manager menerbitkan sertifikat menggunakan CA dari ACM Private CA,ini mendukung beberapa tetapi tidak semua algoritme ini. Untuk informasi selengkapnya, lihatMeminta Sertifikat Privat di Panduan Pengguna AWS Certificate Manager.

QuotasACM Private CA memberikan kuota ke jumlah sertifikat dan otoritas sertifikasi (CA) yang diizinkan. Tarifpermintaan untuk tindakan API juga bergantung pada kuota. Kuota ACM Private CA khusus untuk akunAWS dan Wilayah.

ACM Private CA throttling permintaan API pada tingkat yang berbeda tergantung pada operasi API.Throttling berarti ACM Private CA menolak permintaan yang dinyatakan valid karena permintaanmelebihi kuota operasi untuk jumlah permintaan per detik. Saat permintaan throttling, ACM Private CAmengembalikan kesalahan ThrottlingException. ACM Private CA tidak menjamin tingkat permintaanminimum untuk API.

Anda dapat melihat kuota dan meminta penambahan kuota menggunakan Service Quotas AWS.

Untuk melihat daftar terbaru kuota ACM Private CA Anda

1. Masuk ke akun AWS.2. Buka konsol Service Quotas di https://console.aws.amazon.com/servicequotas/.3. Dalam daftar Layanan, pilih AWS Certificate Manager Private Certificate Authority (ACM PCA). Setiap

kuota dalam daftar Service Quotas menunjukkan nilai kuota yang Anda gunakan saat ini, nilai kuotadefault, dan apakah kuota dapat disesuaikan atau tidak. Pilih nama kuota untuk informasi lebih lanjut.

Untuk meminta peningkatan kuota

1. Dalam daftar Service Quotas, pilih tombol radio untuk kuota yang dapat disesuaikan.2. Pilih tombol Minta peningkatan kuota.3. Lengkapi dan kirimkan formulir Permintaan peningkatan kuota.

ACM Private CA terintegrasi dengan AWS Certificate Manager. Anda dapat menggunakan konsol ACM,AWS CLI, atau ACM API untuk meminta sertifikat privat dari CA privat yang ada. Sertifikat PKI privat ini,yang dikelola oleh ACM, bergantung pada kuota PCA dan kuota yang ditempatkan ACM pada sertifikatpublik dan impor. Untuk informasi selengkapnya tentang persyaratan ACM, lihat Meminta Sertifikat Privatdan Kuota di Panduan Pengguna AWS Certificate Manager.

Versi latest3

https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/CommonErrors.html

https://console.aws.amazon.com/servicequotas/

https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html

https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html


Kepatuhan RFC

Kepatuhan RFCACM Private CA tidak memberlakukan kendala tertentu yang ditentukan dalam RFC 5280. Situasisebaliknya juga benar: kendala tambahan tertentu yang sesuai untuk CA privat diberlakukan.

Ditegakkan

• Tidak Setelah tanggal. Sesuai dengan RFC 5280, ACM Private CA mencegah penerbitan sertifikat yangmemiliki tanggal Not After lebih lambat dari tanggal Not After sertifikat CA yang menerbitkan.

• Kendala dasar. ACM Private CA memberlakukan kendala dasar dan panjang jalur dalam sertifikat CAyang diimpor.

Kendala dasar menunjukkan apakah sumber daya yang diidentifikasi oleh sertifikat adalah CA dan dapatmengeluarkan sertifikat. Sertifikat CA yang diimpor ke ACM Private CA harus menyertakan ekstensikendala dasar, dan ekstensi harus ditandai critical. Selain flag critical, CA=true harus diatur.ACM Private CA memberlakukan kendala dasar dengan kegagalan pengecualian validasi karena alasanberikut:• Ekstensi tidak termasuk dalam sertifikat CA.• Ekstensi tidak ditandai critical.

Panjang jalur menentukan kedalaman maksimum jalur sertifikasi yang valid di bawah sertifikat CA yangdiimpor dalam rantai validasi. ACM Private CA memberlakukan panjang jalur dengan gagal denganpengecualian validasi karena alasan berikut:• Mengimpor sertifikat CA akan melanggar kendala panjang jalur dalam sertifikat CA atau sertifikat CA

apa pun dalam rantai.• Menerbitkan sertifikat akan melanggar kendala panjang jalur.

• Kendala nama. Kendala ini pada CA mengatur apa nama subjek yang berlaku untuk sertifikatdownstream. Untuk informasi lebih lanjut, lihat Menegakkan kendala nama pada CA privat (p. 183).

Tidak ditegakkan

• Kendala kebijakan. Kendala ini membatasi kapasitas CA untuk menerbitkan sertifikat CA bawahan.• Subject Key Identifier (SKI) dan Authority Key Identifier (AKI). RFC memerlukan sertifikat CA yang berisi

ekstensi SKI. Sertifikat yang diterbitkan oleh CA harus berisi ekstensi AKI yang cocok SKI sertifikatCA. AWS tidak menegakkan persyaratan ini. Jika Sertifikat CA Anda tidak berisi SKI, entitas akhir yangditerbitkan atau sertifikat CA bawahan AKI akan menjadi hash SHA-1 dari kunci publik penerbit.

• SubjectPublicKeyInfo dan Nama Alternatif Subjek (SAN). Saat menerbitkan sertifikat, ACM Private CAmenyalin ekstensi SubjectPublicKeyInfo dan SAN dari CSR yang disediakan tanpa melakukan validasi.

PricingAkun Anda dikenai harga bulanan untuk setiap CA privat mulai dari saat Anda membuatnya. Anda jugadikenakan biaya untuk setiap sertifikat yang Anda keluarkan. Biaya ini termasuk sertifikat yang Anda ekspordari ACM dan sertifikat yang Anda buat dari ACM Private CA API atau ACM Private CA CLI. Anda tidakdikenakan biaya untuk CA privat setelah dihapus. Namun, jika Anda memulihkan CA privat, Anda akandikenakan biaya untuk waktu antara penghapusan dan pemulihan. Sertifikat privat yang kunci privatnyatidak dapat Anda akses gratis. Ini termasuk sertifikat yang digunakan dengan Layanan Terintegrasi sepertiElastic Load Balancing, CloudFront, dan API Gateway. Untuk informasi harga ACM Private CA terbaru,lihat halaman Harga ACM di situs web AWS.

Versi latest4

https://tools.ietf.org/html/rfc5280

https://tools.ietf.org/html/rfc5280#section-4.1.2.5

https://tools.ietf.org/html/rfc5280






https://tools.ietf.org/html/rfc5280#section-4.1



http://aws.amazon.com/certificate-manager/pricing/


Perlindungan data

Keamanan dalam AWS CertificateManager Private Certificate Authority

Keamanan cloud di AWS merupakan prioritas tertinggi. Sebagai pelanggan AWS, Anda mendapatkanmanfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasiyang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara AWS dan Anda. Model tanggung jawab bersamamenggambarkan ini sebagai keamanan dari cloud dan keamanan di dalam cloud:

• Keamanan cloud – AWSbertanggung jawab untuk melindungi infrastruktur yang menjalankan layananAWS di AWSCloud. AWS juga menyediakan layanan yang dapat Anda gunakan dengan aman. Auditorpihak ketiga menguji dan memverifikasi efektivitas keamanan kami secara berkala sebagai bagian dariProgram Kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWSCertificate Manager Private Certificate Authority, lihat Layanan AWS dalam Lingkup Program Kepatuhan.

• Keamanan di cloud – Tanggung jawab Anda ditentukan menurut layanan AWS yang Anda gunakan.Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaanAnda, serta hukum dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saatmenggunakan ACM Private CA. Topik berikut menunjukkan kepada Anda cara mengonfigurasi ACMPrivate CA untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari caramenggunakan layanan AWS lain yang membantu Anda memantau dan mengamankan sumber daya ACMPrivate CA.

Topik• Perlindungan data dalam AWS Certificate Manager Private Certificate Authority (p. 5)• Identity and Access Management untuk AWS Certificate Manager Private Certificate

Authority (p. 7)• Akses lintas akun ke CA privat (p. 17)• Pencatatan dan pemantauan untuk AWS Certificate Manager Private Certificate Authority (p. 19)• Validasi kepatuhan untuk AWS Certificate Manager Private Certificate Authority (p. 38)• Keamanan infrastruktur di AWS Certificate Manager Private Certificate Authority (p. 43)

Perlindungan data dalam AWS Certificate ManagerPrivate Certificate Authority

Model tanggung jawab bersama AWS berlaku untuk perlindungan data dalam Certificate ManagerPrivate Certificate Authority AWS. Sebagaimana diuraikan dalam model ini, AWS bertanggung jawabuntuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawabuntuk menjaga kendali terhadap konten Anda yang dihosting pada infrastruktur ini. Konten ini mencakupkonfigurasi keamanan dan tugas manajemen untuk layanan AWS yang Anda gunakan. Untuk informasiselengkapnya tentang privasi data, lihat Pertanyaan Umum Privasi Data. Untuk informasi tentangperlindungan data di Eropa, lihat kiriman blog Model Tanggung Jawab Bersama AWS dan PeraturanPerlindungan Data Umum (GDPR) di Blog Keamanan AWS.

Untuk tujuan perlindungan data, kami merekomendasikan agar Anda melindungi kredensial Akun AWSdan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Dengan

Versi latest5

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/


Kepatuhan penyimpanan dankeamanan kunci privat ACM Private CA

cara tersebut, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tugas pekerjaan mereka.Kami juga menyarankan agar Anda mengamankan data Anda dengan cara-cara berikut:

• Gunakan multi-factor authentication (MFA) pada setiap akun.• Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya AWS. Kami merekomendasikan TLS 1.2

atau versi yang lebih baru.• Siapkan API dan log aktivitas pengguna dengan AWS CloudTrail.• Gunakan solusi enkripsi AWS, bersama semua kontrol keamanan default dalam layanan AWS.• Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan

dan mengamankan data pribadi yang disimpan di Amazon S3.• Jika Anda memerlukan modul kriptografi yang divalidasi FIPS 140-2 ketika mengakses AWS melalui

antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titikakhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat menyarankan agar Anda tidak memasukkan informasi rahasia atau sensitif apa pun, sepertialamat email pelanggan Anda, ke dalam tanda atau kolom isian teks bebas seperti kolom Nama. Initermasuk saat Anda bekerja dengan ACM Private CA atau layanan AWS lainnya menggunakan konsoltersebut, API, AWS CLI, atau SDK AWS. Data apa pun yang Anda masukkan ke dalam tanda atau bidangformulir bebas yang digunakan untuk nama dapat digunakan untuk penagihan atau log diagnostik. JikaAnda menyediakan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakaninformasi kredensial dalam URL untuk memvalidasi permintaan Anda ke server itu.

Kepatuhan penyimpanan dan keamanan kunci privatACM Private CAKunci privat untuk CA privat disimpan dalam modul keamanan perangkat keras terkelola (HSM) AWS. HSMmematuhi Persyaratan Keamanan FIPS PUB 140-2 untuk Modul Kriptografi. Tingkat tingkat kepatuhankeamanan FIPS bervariasi menurut Wilayah, sebagai berikut:

Nama region Region FIPS PUB 140-2 Level 2(atau yang lebih tinggi)

FIPS PUB 140-2 Level 3(atau yang lebih tinggi)

Timur AS (Ohio) as-timur-2 ✓

AS Timur (VirginiaUtara)

as-timur-1 ✓

AS Barat (N. California) as-barat-1 ✓

AS Barat (Oregon) as-barat-2 ✓

Afrika (Cape Town) af-selatan-1 ✓

Asia Pasifik (HongKong)

ap-timur-1 ✓

Asia Pasifik (Mumbai) ap-selatan-1 ✓

Asia Pacific (Osaka) ap-northeast-3 ✓

Asia Pasifik (Seoul) ap-timur laut-2 ✓

Asia Pasifik (Singapura) ap-tenggara-1 ✓

Asia Pasifik (Sydney) ap-tenggara-2 ✓

Versi latest6

http://aws.amazon.com/compliance/fips/


Identity and Access Management

Nama region Region FIPS PUB 140-2 Level 2(atau yang lebih tinggi)

FIPS PUB 140-2 Level 3(atau yang lebih tinggi)

Asia Pasifik (Tokyo) ap-timur laut-1 ✓

Kanada (Pusat) ca-sentral-1 ✓

Eropa (Frankfurt) eu-sentral-1 ✓

Eropa (Irlandia) eu-barat-1 ✓

Eropa (London) eu-barat-2 ✓

Eropa (Milan) eu-selatan-1 ✓

Eropa (Paris) eu-barat-3 ✓

Eropa (Stockholm) eu-utara-1 ✓

Timur Tengah (Bahrain) me-selatan-1 ✓

Amerika Selatan (SãoPaulo)

sa-timur-1 ✓

AWS GovCloud (US-East)

us-gov-east-1 ✓

AWS GovCloud (US-West)

us-gov-west-1 ✓

Identity and Access Management untuk AWSCertificate Manager Private Certificate Authority

Akses ke ACM Private CA membutuhkan kredensial yang dapat digunakan AWS untuk mengautentikasipermintaan Anda. Topik berikut memberikan detail tentang bagaimana Anda dapat menggunakan (IAM)AWS Identity and Access Management untuk membantu mengamankan otoritas sertifikasi (CA) privat Andadengan mengontrol siapa yang dapat mengaksesnya.

AuthenticationAnda dapat mengakses AWS sebagai salah satu jenis identitas berikut:

• Pengguna akar Akun AWS – Saat pertama kali membuat Akun AWS, Anda memulai dengan identitasmasuk tunggal yang memiliki akses penuh ke semua layanan dan sumber daya AWS dalam akuntersebut. Identitas ini disebut Akun AWS pengguna root dan diakses dengan cara masuk menggunakanalamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agarAnda tidak menggunakan pengguna asal untuk tugas sehari-hari, bahkan tugas administratif. Sebagaigantinya, patuhi praktik terbaik dalam menggunakan pengguna asal saja untuk membuat pengguna IAMpertama Anda. Kemudian, kunci kredensial pengguna utama dengan aman dan gunakan kredensial ituuntuk melakukan beberapa tugas manajemen akun dan layanan saja.

• Pengguna IAM – Pengguna IAM adalah identitas dalam akun Akun AWS Anda yang memiliki izin khususspesifik (misalnya, izin untuk membuat direktori di ACM Private CA). Anda dapat menggunakan namapengguna dan kata sandi IAM untuk masuk guna mengamankan halaman web AWS seperti AWSManagement Console, AWS Forum Diskusi, atau AWS Support Pusat.

Versi latest7

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://console.aws.amazon.com/

http://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/


Memahami sumber daya, kepemilikan, dan kebijakan izin

Selain nama pengguna dan kata sandi, Anda juga dapat membuat kunci akses untuk setiap pengguna.Anda dapat menggunakan kunci ini ketika mengakses layanan AWS secara terprogram, baik melaluisalah satu dari beberapa SDK atau dengan menggunakan AWS Command Line Interface (CLI). AlatSDK dan CLI menggunakan access key untuk menandatangani permintaan Anda secara kriptografis.Jika Anda tidak menggunakan alat AWS, Anda harus menandatangani permintaan tersebut sendiri.ACM Private CA mendukung Tanda Tangan Versi 4, protokol untuk mengautentikasi permintaan APIinbound. Untuk informasi lebih lanjut tentang autentikasi permintaan, lihat proses penandatangananTanda Tangan Versi 4 dalam Referensi Umum AWS.

• IAM role – IAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik.

IAM role serupa dengan pengguna IAM di mana IAM merupakan identitas AWS dengan kebijakan izinyang menentukan apa yang dapat dan tidak dapat dilakukan identitas di AWS. Namun, alih-alih secaraunik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapapun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar sepertikata sandi atau access key yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran,kredensial keamanan sementara untuk sesi peran Anda akan diberikan. IAM role dengan kredensialsementara berguna dalam situasi berikut:

• Akses pengguna gabungan – Daripada membuat pengguna IAM, Anda dapat menggunakan identitas

yang tersedia dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyediaidentitas web. Ini dikenal sebagai pengguna gabungan. AWS menugaskan peran kepada penggunagabungan saat akses diminta melalui identity provider. Untuk informasi lebih lanjut tentang penggunafederasi, lihat Pengguna dan peran yang difederasi dalam Panduan Pengguna IAM.

• Akses layanan AWS – Peran layanan adalah IAM role yang dimiliki layanan untuk melakukan tindakan

atas nama Anda. Peran layanan hanya menyediakan akses dalam akun Anda dan tidak dapatdigunakan untuk memberikan akses ke layanan dalam akun lain. Administrator IAM dapat membuat,mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihatMembuat peran untuk mendelegasikan izin untuk layanan AWS dalam Panduan Pengguna IAM.

• Aplikasi yang berjalan di Amazon EC2 – Anda dapat menggunakan IAM role untuk mengelola

kredensial sementara untuk aplikasi yang berjalan pada instans EC2 dan membuat permintaan AWSCLI atau AWS API. Ini lebih disukai dibandingkan menyimpan kunci akses di dalam instans EC2.Untuk menugaskan sebuah peran AWS ke instans EC2 dan membuatnya tersedia untuk semuaaplikasinya, Anda dapat membuat sebuah profil instans yang dilampirkan ke instans. Profil instansberisi peran dan mengaktifkan program yang berjalan di instans EC2 untuk mendapatkan kredensialsementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin keaplikasi yang berjalan di instans Amazon EC2 dalam Panduan Pengguna IAM.

Memahami sumber daya, kepemilikan, dan kebijakanizinDi ACM Private CA, sumber daya utama yang Anda gunakan adalah otoritas sertifikasi (CA). Setiap CAprivat yang Anda miliki atau kendalikan diidentifikasi oleh Amazon Resource Name (ARN), yang memilikiformulir berikut.

arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

Versi latest8

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

http://aws.amazon.com/tools/#sdk

http://aws.amazon.com/cli/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html



Pemilik sumber daya adalah entitas utama dari akun AWS tempat sumber daya AWS dibuat. Contohberikut menggambarkan cara kerjanya.

• Jika Anda menggunakan kredensial pengguna akar Akun AWS Anda untuk membuat CA privat, akunAWS Anda memiliki CA tersebut.

• Jika Anda membuat pengguna IAM di akun AWS Anda, Anda dapat memberikan izin kepada penggunatersebut untuk membuat CA privat. Namun, akun tempat pengguna tersebut memiliki CA.

• Jika Anda membuat IAM role di akun AWS Anda dan memberikannya izin untuk membuat CA privat,siapa pun yang dapat menggunakan peran tersebut dapat membuat CA. Namun, akun yang memilikiperan tersebut akan memiliki CA privat.

Kebijakan izin menjelaskan orang yang memiliki akses ke objek. Diskusi berikut menjelaskan pilihan yangtersedia untuk membuat kebijakan izin.

Note

Dokumentasi ini membahas penggunaan IAM dalam konteks ACM Private CA. Bagian ini tidakmemberikan informasi terperinci tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihatPanduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihatReferensi Kebijakan IAM AWS.

Ketika Anda menyiapkan dan kontrol akses dan kebijakan izin yang Anda rencanakan untuk lampirkan keidentitas IAM (kebijakan berbasis identitas), gunakan tabel berikut sebagai referensi. Kolom pertama dalamtabel mencantumkan setiap operasi ACM Private CA API. Anda menentukan tindakan di elemen Actionkebijakan. Kolom yang tersisa memberikan informasi tambahan.

Operasi dan izin ACM Private CA API

Operasi ACM Private CA API Izin yang diperlukan Sumber daya

CreateCertificateAuthority acm-pca:CreateCertificateAuthority


CreateCertificateAuthorityAuditReportacm-pca:CreateCertificateAuthorityAuditReport


CreatePermission acm-pca:CreatePermission arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

DeleteCertificateAuthority acm-pca:DeleteCertificateAuthority


DeletePermission acm-pca:DeletePermission arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

DeletePolicy acm-pca:DeletePolicy arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

DescribeCertificateAuthority acm-pca:DescribeCertificateAuthority


Versi latest9


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_CreateCertificateAuthority.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_CreateCertificateAuthorityAuditReport.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_CreatePermission.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DeleteCertificateAuthority.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DeletePermission.html


https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DescribeCertificateAuthority.html



Operasi ACM Private CA API Izin yang diperlukan Sumber daya

DescribeCertificateAuthorityAuditReportacm-pca:DescribeCertificateAuthorityAuditReport


GetCertificate acm-pca:GetCertificate arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

GetCertificateAuthorityCertificate acm-pca:GetCertificateAuthorityCertificate


GetCertificateAuthorityCsr acm-pca:GetCertificateAuthorityCsr


GetPolicy acm-pca:GetPolicy arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

ImportCertificateAuthorityCertificateacm-pca:ImportCertificateAuthorityCertificate


IssueCertificate acm-pca:IssueCertificate arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

ListCertificateAuthorities acm-pca:ListCertificateAuthorities

N/A

ListPermissions acm-pca:ListPermissions arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

ListTags acm-pca:ListTags N/A

PutPolicy acm-pca:PutPolicy arn:aws:acm-pca:AWS_Region:AWS_Account:certificate-authority/CA_ID

RevokeCertificate acm-pca:RevokeCertificate


TagCertificateAuthority acm-pca:TagCertificateAuthority


UntagCertificateAuthority acm-pca:UntagCertificateAuthority


UpdateCertificateAuthority acm-pca:UpdateCertificateAuthority


Versi latest10

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DescribeCertificateAuthorityAuditReport.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_GetCertificate.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_GetCertificateAuthorityCertificate.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_GetCertificateAuthorityCsr.html


https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_ImportCertificateAuthorityCertificate.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_IssueCertificate.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_ListCertificateAuthorities.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_ListPermissions.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_ListTags.html


https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_RevokeCertificate.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_TagCertificateAuthority.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_UntagCertificateAuthority.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_UpdateCertificateAuthority.html



Anda dapat menggunakan IAM untuk membuat kebijakan yang menerapkan izin ke pengguna, grup, danperan IAM. Ini disebut kebijakan berbasis identitas. IAM menawarkan jenis kebijakan berbasis identitasberikut:

• Kebijakan yang dikelola AWS (p. 11) adalah kebijakan yang tersedia secara default dengan ACMPrivate CA. Kebijakan ini membahas peran pengguna dasar.

• Kebijakan yang dikelola pelanggan (p. 14) adalah kebijakan yang Anda buat dan kelola dalam akunAWS Anda dan yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran. Anda memilikikontrol yang lebih tepat saat menggunakan kebijakan terkelola pelanggan daripada saat menggunakankebijakan terkelola AWS.

• Kebijakan inline (p. 14) adalah kebijakan yang Anda buat dan kelola dan yang disematkan secaralangsung ke dalam satu pengguna, grup, atau peran.

• Kebijakan berbasis sumber daya (p. 17) digunakan oleh ACM Private CA untuk mengaktifkan akseslintas-akun ke CA privat.

Kebijakan yang dikelola AWSACM Private CA mencakup serangkaian kebijakan terkelola AWS yang telah ditentukan sebelumnyauntuk administrator, pengguna, dan auditor. Memahami kebijakan ini dapat membantu Anda menerapkanKebijakan yang dikelola pelanggan (p. 14).

• FullAccess – Pengendalian administratif tak terbatas.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*" } ]}

• ReadOnly – Akses terbatas pada operasi API hanya-baca.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:ListCertificateAuthorities", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"*" }}

• PrivilegedUser – Kemampuan untuk mengeluarkan dan mencabut sertifikat CA. Kebijakan ini tidakmemiliki kemampuan administratif lain dan tidak memiliki kemampuan untuk menerbitkan sertifikat entitasakhir. Izin bersifat saling eksklusif dengan kebijakan Pengguna.

Versi latest11



{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*", "Condition":{ "StringLike":{ "acm-pca:TemplateArn":[ "arn:aws:acm-pca:::template/*CACertificate*/V*" ] } } }, { "Effect":"Deny", "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*", "Condition":{ "StringNotLike":{ "acm-pca:TemplateArn":[ "arn:aws:acm-pca:::template/*CACertificate*/V*" ] } } }, { "Effect":"Allow", "Action":[ "acm-pca:RevokeCertificate", "acm-pca:GetCertificate", "acm-pca:ListPermissions" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*" }, { "Effect":"Allow", "Action":[ "acm-pca:ListCertificateAuthorities" ], "Resource":"*" } ]}

• Pengguna – Kemampuan untuk mengeluarkan dan mencabut sertifikat entitas akhir. Kebijakan ini tidakmemiliki kemampuan administratif dan tidak memiliki kemampuan untuk menerbitkan sertifikat CA. Izinbersifat saling eksklusif dengan kebijakan PrivilegedUser.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*",

Versi latest12



"Condition":{ "StringLike":{ "acm-pca:TemplateArn":[ "arn:aws:acm-pca:::template/EndEntityCertificate/V*" ] } } }, { "Effect":"Deny", "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*", "Condition":{ "StringNotLike":{ "acm-pca:TemplateArn":[ "arn:aws:acm-pca:::template/EndEntityCertificate/V*" ] } } }, { "Effect":"Allow", "Action":[ "acm-pca:RevokeCertificate", "acm-pca:GetCertificate", "acm-pca:ListPermissions" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*" }, { "Effect":"Allow", "Action":[ "acm-pca:ListCertificateAuthorities" ], "Resource":"*" } ]}

• Auditor – Akses ke operasi API hanya-baca dan izin untuk menghasilkan laporan audit CA.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:CreateCertificateAuthorityAuditReport", "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:*:*:certificate-authority/*" }, { "Effect":"Allow", "Action":[ "acm-pca:ListCertificateAuthorities" ],

Versi latest13


Kebijakan inline

"Resource":"*" } ]}

Kebijakan yang dikelola pelangganSebagai praktik terbaik, jangan gunakan pengguna akar Akun AWS Anda untuk berinteraksi dengan AWS,termasuk ACM Private CA. Sebagai ganti AWS Identity and Access Management (IAM) untuk membuatpengguna IAM, gunakan IAM role, atau pengguna gabungan. Buat grup administrator dan tambahkan Andasendiri ke dalamnya. Kemudian, masuk sebagai administrator. Tambahkan pengguna tambahan ke grupsesuai kebutuhan.

Praktik terbaik lainnya adalah membuat kebijakan IAM yang dikelola pelanggan yang dapat Anda tetapkankepada pengguna. Kebijakan terkelola pelanggan adalah kebijakan berbasis identitas yang dapat Andabuat dan yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam akun AWS Anda.Kebijakan tersebut membatasi pengguna untuk hanya melakukan tindakan ACM Private CA yang Andatentukan.

Contoh kebijakan yang dikelola pelanggan berikut memungkinkan pengguna membuat laporan audit CA.Ini hanya contoh. Anda dapat memilih operasi ACM Private CA yang Anda inginkan. Untuk contoh lainnya,lihat Kebijakan inline (p. 14).

Untuk membuat kebijakan terkelola pelanggan

1. Masuk ke konsol IAM menggunakan kredensial administrator AWS.2. Di panel navigasi kiri konsol tersebut, pilih Kebijakan.3. Pilih Buat kebijakan.4. Pilih tab JSON.5. Salin kebijakan bucket berikut dan tempelkan ke dalam editor.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:CreateCertificateAuthorityAuditReport", "Resource":"*" } ]}

6. Pilih Tinjau kebijakan.7. Untuk Nama, ketik PcaListPolicy.8. (Opsional) Ketik deskripsi.9. Pilih Buat kebijakan.

Administrator dapat melampirkan kebijakan ke pengguna IAM mana pun untuk membatasi tindakan ACMPrivate CA yang dapat dilakukan pengguna. Untuk cara menerapkan kebijakan izin, lihat Mengubah Izinuntuk Pengguna IAM di Panduan Pengguna IAM.

Kebijakan inlineKebijakan inline adalah kebijakan yang Anda buat dan kelola dan sematkan secara langsung ke dalamsatu pengguna, grup, atau peran. Contoh kebijakan berikut menunjukkan cara menetapkan izin untuk

Versi latest14

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console

https://docs.aws.amazon.com/IAM/latest/UserGuide/



Kebijakan inline

melakukan tindakan ACM Private CA. Untuk informasi umum tentang mengelola kebijakan inline, lihatBekerja dengan Kebijakan Inline di Panduan Pengguna IAM. Anda dapat menggunakan AWS ManagementConsole, AWS Command Line Interface (AWS CLI), atau IAM API untuk membuat dan menyematkankebijakan inline.

Topik• Mencantumkan CA privat (p. 15)• Mengambil sertifikat CA privat (p. 15)• Mengimpor sertifikat CA privat (p. 15)• Menghapus CA privat (p. 16)• Akses hanya baca ke ACM Private CA (p. 16)• Akses penuh ke ACM Private CA (p. 16)• Akses administrator ke semua sumber daya AWS (p. 16)

Mencantumkan CA privatKebijakan berikut memungkinkan pengguna untuk membuat daftar semua CA privat dalam akun.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:ListCertificateAuthorities", "Resource":"*" } ]}

Mengambil sertifikat CA privatKebijakan berikut memungkinkan pengguna untuk mengambil sertifikat CA privat tertentu.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:GetCertificateAuthorityCertificate", "Resource":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID" }}

Mengimpor sertifikat CA privatKebijakan berikut memungkinkan pengguna untuk mengimpor sertifikat CA privat.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:ImportCertificateAuthorityCertificate", "Resource":"arn:aws:acm-pca:region:account:certificate/certificate_ID" }}

Versi latest15

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html



Kebijakan inline

Menghapus CA privatKebijakan berikut memungkinkan pengguna untuk menghapus CA privat tertentu.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:DeleteCertificateAuthority", "Resource":"arn:aws:acm-pca:region:account:certificate/certificate_ID" }}

Akses hanya baca ke ACM Private CAKebijakan berikut memungkinkan pengguna untuk menjelaskan dan membuat daftar otoritas sertifikat privatdan untuk mengambil sertifikat CA privat dan rantai sertifikat.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificate" ], "Resource":"*" }}

Akses penuh ke ACM Private CAKebijakan berikut memungkinkan pengguna untuk melakukan tindakan ACM Private CA.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*" } ]}

Akses administrator ke semua sumber daya AWSKebijakan berikut memungkinkan pengguna untuk melakukan tindakan apa pun pada sumber daya AWSapa pun.

{

Versi latest16


Akses lintas akun

"Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"*", "Resource":"*" } ]}

Akses lintas akun ke CA privatAdministrator ACM Private CA dapat berbagi CA dengan entitas keamanan (pengguna, peran, dll.) di akunAWS lain menggunakan salah satu dari beberapa metode. Ketika bagian telah diterima dan diambil, entitaskeamanan dapat menggunakan CA untuk menerbitkan sertifikat entitas akhir menggunakan sumber dayaACM Private CA atau AWS Certificate Manager.

Important

Biaya yang terkait dengan sertifikat yang diterbitkan dalam skenario lintas akun ditagih ke akunAWS yang menerbitkan sertifikat.

Administrator ACM Private CA dapat memilih di antara metode berikut:

• Gunakan AWS Resource Access Manager (RAM) untuk berbagi CA sebagai sumber daya denganentitas keamanan di akun lain atau dengan AWS Organizations. RAM adalah metode standaruntuk berbagi sumber daya AWS di seluruh akun. Untuk informasi lebih lanjut tentang RAM, lihatPanduan Pengguna AWS RAM. Untuk informasi selengkapnya tentang AWS Organizations, lihat AWSOrganizations Panduan Pengguna.

• Gunakan ACM Private CA API atau CLI untuk melampirkan kebijakan berbasis sumber daya ke CA,sehingga memberikan akses ke entitas keamanan di akun lain. Untuk informasi lebih lanjut, lihatKebijakan berbasis sumber daya (p. 17).

Bagian Mengontrol akses ke CA privat (p. 73) panduan ini menyediakan alur kerja untuk memberikanakses ke CA dalam skenario akun tunggal dan lintas akun.

Kebijakan berbasis sumber dayaKebijakan berbasis sumber daya adalah kebijakan izin yang Anda buat dan lampirkan secara manual kesumber daya (dalam hal ini, CA privat), bukan ke identitas atau peran pengguna. Menggunakan RAM untukmenerapkan kebijakan berbasis sumber daya, administrator ACM Private CA dapat berbagi akses ke CAdengan pengguna di akun AWS yang berbeda secara langsung atau melalui AWS Organizations. Atau,administrator ACM Private CA dapat menggunakan PutPolicy, GetPolicy, dan DeletePolicy API PCA, atauperintah AWS CLI yang sesuai put-policy, get-policy, dan delete-policy, untuk menerapkan dan mengelolakebijakan berbasis sumber daya.

Untuk informasi umum tentang kebijakan berbasis sumber daya, lihat Kebijakan Berbasis Identitas danKebijakan Berbasis Sumber Daya dan Mengontrol Akses Menggunakan Kebijakan.

Pengguna AWS Certificate Manager (ACM) yang telah menerima akses bersama ke CA privat dapatmenerbitkan sertifikat entitas akhir terkelola yang ditandatangani oleh CA. Pengguna dengan aksesbersama lintas akun ke CA dapat menerbitkan sertifikat menggunakan templat sertifikat berikut:

• EndEntityCertificate/V1 (p. 108)• EndentityClientAuthCertificate/V1 (p. 110)• EndentityClientAuthCertificate/V1 (p. 110)

Versi latest17

https://docs.aws.amazon.com/ram/latest/userguide/

https://docs.aws.amazon.com/organizations/latest/userguide/

https://docs.aws.amazon.com/organizations/latest/userguide/

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_PutPolicy.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_GetPolicy.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DeletePolicy.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html


Kebijakan berbasis sumber daya

• BlankEndEntityCertificate_APICSRPassthrough (p. 100)

Contoh berikut berisi kebijakan berbasis sumber daya dan perintah untuk menerapkannya. Selainmenentukan ARN CA, administrator memberikan ID akun pengguna AWS atau ID AWS Organizations yangakan diberikan akses ke CA. Untuk keterbacaan, JSON dari setiap kebijakan disediakan sebagai file, bukaninline.

Note

Struktur kebijakan berbasis sumber daya JSON yang ditunjukkan di bawah ini harus sama persis.Hanya kolom ID untuk entitas keamanan (nomor akun AWS atau ID Organizations AWS) dan CAARN yang dapat dikonfigurasi oleh pelanggan.

Contoh 1: Berbagi akses ke CA dengan pengguna di akun yang berbeda

$ aws acm-pca put-policy \ --region ap-southeast-2 \ --resource-arn arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef \ --policy file:///[path]/policy1.json

File policy1.json berisi konten berikut.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"1", "Effect":"Allow", "Principal":{ "AWS":"0123456789ab" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, { "Sid":"1", "Effect":"Allow", "Principal":{ "AWS":"0123456789ab" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } }

Versi latest18


Pencatatan dan pemantauan

} ]}

Contoh 2: Berbagi akses ke CA melalui AWS Organizations

$ aws acm-pca put-policy \ --region ap-southeast-2 \ --resource-arn arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef --policy file:///[path]/policy2.json

File policy2.json berisi konten berikut.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"1", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-1b2c3d4z5" } } }, { "Sid":"1", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:ap-southeast-2:0123456789012:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" } } } ]}

Pencatatan dan pemantauan untuk AWS CertificateManager Private Certificate Authority

Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, serta performa AWSCertificate Manager Private Certificate Authority dan solusi AWS Anda. Anda harus mengumpulkan data

Versi latest19


Metrik CloudWatch

pemantauan dari semua bagian solusi AWS sehingga Anda bisa melakukan debug kegagalan multititiksecara lebih mudah jika kegagalan ini terjadi.

Topik berikut menjelaskan alat pemantauan cloud AWS yang tersedia untuk digunakan dengan ACMPrivate CA.

Topik• Metrik CloudWatch yang didukung (p. 20)• Menggunakan CloudWatch Events (p. 20)• Menggunakan CloudTrail (p. 25)

Metrik CloudWatch yang didukungAmazon CloudWatch adalah layanan pemantauan untuk sumber daya AWS. Anda dapat menggunakanCloudWatch untuk mengumpulkan dan melacak metrik, mengatur alarm, dan secara otomatis bereaksiterhadap perubahan pada sumber daya AWS Anda. ACM Private CA mendukung metrik CloudWatchberikut.

Metrik Deskripsi

CRLGenerated Daftar pencabutan sertifikat (CRL) telah dibuat.Metrik ini hanya berlaku untuk CA privat.

MisconfiguredCRLBucket Bucket S3 yang ditentukan untuk CRL tidakdikonfigurasi dengan benar. Periksa kebijakanbucket. Metrik ini hanya berlaku untuk CA privat.

Time Waktu dalam milidetik antara permintaanpenerbitan dan penyelesaian (atau kegagalan)penerbitan. Metrik ini hanya berlaku untuk operasiIssueCertificate.

Success Sertifikat berhasil diterbitkan. Metrik ini hanyaberlaku untuk operasi IssueCertificate.

Failure Operasi gagal. Metrik ini hanya berlaku untukoperasi IssueCertificate.

Untuk informasi selengkapnya tentang metrik CloudWatch, lihat topik-topik berikut.

• Menggunakan Metrik Amazon CloudWatch• Membuat Alarm Amazon CloudWatch

Menggunakan CloudWatch EventsAnda dapat menggunakan Amazon CloudWatch Events untuk mengotomatiskan layanan AWS Anda untukmerespons peristiwa sistem seperti masalah ketersediaan aplikasi atau perubahan sumber daya. Peristiwadari layanan AWS dikirimkan ke CloudWatch Events dalam hampir waktu nyata. Anda dapat menulis aturansederhana untuk menunjukkan kejadian mana yang sesuai kepentingan Anda dan tindakan otomatis apayang diambil ketika suatu kejadian sesuai dengan suatu aturan. Untuk informasi lebih lanjut, lihat MembuatAturan CloudWatch Events yang Memicu Peristiwa.

CloudWatch Events diubah menjadi tindakan menggunakan Amazon EventBridge. Dengan EventBridge,Anda dapat menggunakan peristiwa untuk memicu target termasuk fungsi AWS Lambda, tugas AWS

Versi latest20

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html


Menggunakan CloudWatch Events

Batch, topik Amazon SNS, dan banyak lainnya. Untuk informasi selengkapnya, lihat Apa yang dimaksuddengan Amazon EventBridge?

Berhasil atau gagal saat membuat CA privatPeristiwa ini dipicu oleh operasi CreateCertificateAuthority.

Success

Pada keberhasilan, operasi mengembalikan ARN CA baru.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Creation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T19:14:56Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"success" }}

Failure

Pada kegagalan, operasi mengembalikan ARN untuk CA. Menggunakan ARN, Anda dapat memanggilDescribeCertificateAuthorityuntuk menentukan status CA.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Creation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T19:14:56Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"failure" }}

Keberhasilan atau kegagalan saat menerbitkan sertifikatPeristiwa ini dipicu oleh operasi IssueCertificate.

Success

Pada keberhasilan, operasi mengembalikan ARN CA dan sertifikat baru.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Certificate Issuance",

Versi latest21

https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html

https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html






"source":"aws.acm-pca", "account":"account", "time":"2019-11-04T19:57:46Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID" ], "detail":{ "result":"success" }}

Failure

Pada kegagalan, operasi mengembalikan sertifikat ARN dan ARN CA. Dengan sertifikat ARN, Anda dapatmemanggil GetCertificate untuk melihat penyebab kegagalan tersebut.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Certificate Issuance", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T19:57:46Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID" ], "detail":{ "result":"failure" }}

Keberhasilan saat mencabut sertifikatPeristiwa ini dipicu oleh operasi RevokeCertificate.

Tidak ada peristiwa yang dikirim jika pencabutan gagal atau jika sertifikat telah dicabut.

Success

Pada keberhasilan, operasi mengembalikan ARN CA dan sertifikat akan dicabut.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Certificate Revocation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-05T20:25:19Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID" ], "detail":{ "result":"success"

Versi latest22

https://docs.aws.amazon.com/acm/latest/APIReference/API_GetCertificate.html




}}

Keberhasilan atau kegagalan saat membuat CRLPeristiwa ini dipicu oleh operasi RevokeCertificate, yang harus menghasilkan pembuatan daftarpencabutan sertifikat (CRL).

Success

Pada keberhasilan, operasi akan mengembalikan ARN CA yang berkaitan dengan CRL.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA CRL Generation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T21:07:08Z", "region":"region1", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"success" }}

Kegagalan 1 – CRL tidak dapat disimpan ke Amazon S3 karena kesalahan izin

Periksa izin bucket Amazon S3 Anda jika kesalahan ini terjadi.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA CRL Generation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-07T23:01:25Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"failure", "reason":"Failed to write CRL to S3. Check your S3 bucket permissions." }}

Kegagalan 2 – CRL tidak dapat disimpan ke Amazon S3 karena kesalahan internal

Coba operasi lagi jika kesalahan ini terjadi.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA CRL Generation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-07T23:01:25Z", "region":"region",

Versi latest23




"resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"failure", "reason":"Failed to write CRL to S3. Internal failure." }}

Kegagalan 3 – ACM PCA gagal membuat CRL

Untuk memecahkan masalah kesalahan ini, periksa Metrik CloudWatch Anda.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA CRL Generation", "source":"aws.acm-pca", "account":"1account", "time":"2019-11-07T23:01:25Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID" ], "detail":{ "result":"failure", "reason":"Failed to generate CRL. Internal failure." }}

Keberhasilan atau kegagalan saat membuat laporan audit CAPeristiwa ini dipicu oleh operasi CreateCertificateAuthorityAuditReport.

Success

Jika berhasil, operasi mengembalikan ARN CA dan ID laporan audit.

{ "version":"0", "id":"event_ID", "detail-type":"ACM Private CA Audit Report Generation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T21:54:20Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "audit_report_ID" ], "detail":{ "result":"success" }}

Failure

Laporan audit bisa gagal saat ACM PCA tidak memiliki izin PUT di bucket Amazon S3 Anda, saat enkripsidiaktifkan di bucket, atau karena alasan lain.

{

Versi latest24

https://docs.aws.amazon.com/acm-pca/latest/APIReference/PcaCloudWatch.html



Menggunakan CloudTrail

"version":"0", "id":"event_ID", "detail-type":"ACM Private CA Audit Report Generation", "source":"aws.acm-pca", "account":"account", "time":"2019-11-04T21:54:20Z", "region":"region", "resources":[ "arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "audit_report_ID" ], "detail":{ "result":"failure" }}

Menggunakan CloudTrailAnda dapat menggunakan AWS CloudTrail untuk merekam panggilan API yang dibuat oleh AWSCertificate Manager Private Certificate Authority. Untuk informasi lebih lanjut, lihat topik berikut.

Topik• Membuat kebijakan (p. 25)• Mengambil kebijakan (p. 26)• Menghapus kebijakan (p. 27)• Membuat otoritas sertifikasi (CA) (p. 28)• Membuat laporan audit (p. 29)• Menghapus otoritas sertifikasi (CA) (p. 29)• Memulihkan otoritas sertifikasi (CA) (p. 30)• Menggambarkan otoritas sertifikasi (CA) (p. 30)• Mengambil sertifikat otoritas sertifikasi (CA) (p. 31)• Mengambil permintaan penandatanganan otoritas sertifikasi (CA) (p. 31)• Mengambil sertifikat (p. 32)• Mengimpor sertifikat otoritas sertifikasi (CA) (p. 32)• Menerbitkan sertifikat (p. 33)• Daftar otoritas sertifikasi (CA) (p. 34)• Mencantumkan tanda (p. 35)• Mencabut sertifikat (p. 35)• Penandaan Private Certificate Authority (p. 36)• Menghapus tanda dari Private Certificate Authority (p. 36)• Memperbarui otoritas sertifikasi (CA) (p. 37)

Membuat kebijakanContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi PutPolicy.

{ "eventVersion":"1.08", "userIdentity":{ "type":"AssumedRole", "principalId":"account",

Versi latest25

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/




"arn":"arn:aws:sts::account:assumed-role/role", "accountId":"account", "accessKeyId":"key_ID", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"account", "arn":"arn:aws:iam::account:role/role", "accountId":"account", "userName":"name" }, "webIdFederationData":{ }, "attributes":{ "mfaAuthenticated":"false", "creationDate":"2021-02-26T21:01:38Z" } }, "invokedBy":"agent" }, "eventTime":"2021-02-26T21:25:36Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"PutPolicy", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "resourceArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "policy":"{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"01234567-89ab-cdef-0123-456789abcdef4-external-principals\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"account\"},\"Action\":\"acm-pca:IssueCertificate\",\"Resource\":\"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef\",\"Condition\":{\"StringEquals\":{\"acm-pca:TemplateArn\":\"arn:aws:acm-pca:::template/EndEntityCertificate/V1\"}}},{\"Sid\":\"01234567-89ab-cdef-0123-456789abcdef-external-principals\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"account\"},\"Action\":[\"acm-pca:DescribeCertificateAuthority\",\"acm-pca:GetCertificate\",\"acm-pca:GetCertificateAuthorityCertificate\",\"acm-pca:ListPermissions\",\"acm-pca:ListTags\"],\"Resource\":\"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef\"}]}" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "readOnly":false, "eventType":"AwsApiCall", "managementEvent":true, "eventCategory":"Management", "recipientAccountId":"account"}

Mengambil kebijakanContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi GetPolicy.

{ "eventVersion":"1.08", "userIdentity":{ "type":"AssumedRole", "principalId":"account", "arn":"arn:aws:sts::account:assumed-role/role", "accountId":"account", "accessKeyId":"key_ID", "sessionContext":{

Versi latest26




"sessionIssuer":{ "type":"Role", "principalId":"account", "arn":"arn:aws:iam::account:role/role", "accountId":"account", "userName":"name" }, "webIdFederationData":{ }, "attributes":{ "mfaAuthenticated":"false", "creationDate":"2021-02-26T20:49:51Z" } } }, "eventTime":"2021-02-26T21:19:14Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"GetPolicy", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "errorCode":"ResourceNotFoundException", "errorMessage":"Could not find policy for resource arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef.", "requestParameters":{ "resourceArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "readOnly":true, "eventType":"AwsApiCall", "managementEvent":true, "eventCategory":"Management", "recipientAccountId":"account"}

Menghapus kebijakanContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi DeletePolicy.

{ "eventVersion":"1.08", "userIdentity":{ "type":"AssumedRole", "principalId":"account", "arn":"arn:aws:sts::account:assumed-role/role", "accountId":"account", "accessKeyId":"key_ID", "sessionContext":{ "sessionIssuer":{ "type":"Role", "principalId":"account", "arn":"arn:aws:iam::account:role/role", "accountId":"account", "userName":"name" }, "webIdFederationData":{ }, "attributes":{ "mfaAuthenticated":"false",

Versi latest27




"creationDate":"2021-02-26T21:23:17Z" } } }, "eventTime":"2021-02-26T21:23:31Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"DeletePolicy", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "resourceArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "readOnly":false, "eventType":"AwsApiCall", "managementEvent":true, "eventCategory":"Management", "recipientAccountId":"account"}

Membuat otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi CreateCertificateAuthority.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T21:22:33Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"CreateCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityConfiguration":{ "keyType":"RSA2048", "signingAlgorithm":"SHA256WITHRSA", "subject":{ "country":"US", "organization":"Example Company", "organizationalUnit":"Corp", "state":"WA", "commonName":"www.example.com", "locality":"Seattle" } }, "revocationConfiguration":{ "crlConfiguration":{ "enabled":true, "expirationInDays":3650, "customCname":"your-custom-name", s3BucketName:"your-bucket-name" } },

Versi latest28




"certificateAuthorityType":"SUBORDINATE", "idempotencyToken":"98256344" }, "responseElements":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Membuat laporan auditContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi CreateCertificateAuthorityAuditReport.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T21:56:00Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"CreateCertificateAuthorityAuditReport", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", s3BucketName:"your-bucket-name", "auditReportResponseFormat":"JSON" }, "responseElements":{ "auditReportId":"01234567-89ab-cdef-0123-456789abcdef", s3Key:"audit-report/01234567-89ab-cdef-0123-456789abcdef/01234567-89ab-cdef-0123-456789abcdef.json" }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Menghapus otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi DeleteCertificateAuthority. Dalamcontoh ini, otoritas sertifikasi (CA) tidak dapat dihapus karena dalam negara bagian ACTIVE.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID"

Versi latest29





}, "eventTime":"2018-01-26T22:01:11Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"DeleteCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "errorCode":"InvalidStateException", "errorMessage":"The certificate authority is not in a valid state for deletion.", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:rregion:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Memulihkan otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi RestoreCertificateAuthority. Dalamcontoh ini, otoritas sertifikasi (CA) tidak dapat dihapus karena dalam negara bagian DELETED.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T22:01:11Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"RestoreCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "errorCode":"InvalidStateException", "errorMessage":"The certificate authority is not in a valid state for restoration.", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Menggambarkan otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi DescribeCertificateAuthority.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account",

Versi latest30

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_RestoreCertificateAuthority.html




"arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T21:58:18Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"DescribeCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mengambil sertifikat otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi GetCertificateAuthorityCertificate.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T22:03:52Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"GetCertificateAuthorityCertificate", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mengambil permintaan penandatanganan otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi GetCertificateAuthorityCsr.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account",

Versi latest31





"accessKeyId":"key_ID" }, "eventTime":"2018-01-26T21:40:33Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"GetCertificateAuthorityCsr", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mengambil sertifikatContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi GetCertificate.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T22:22:54Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"GetCertificate", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/6707447683a9b7f4055627ffd55cebcc" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mengimpor sertifikat otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi ImportCertificateAuthorityCertificate.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account",

Versi latest32





"accessKeyId":"key_ID" }, "eventTime":"2018-01-26T21:53:28Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"ImportCertificateAuthorityCertificate", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "certificate":{ "hb":[ 45, 45, ...10 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":1257, "limit":1257, "capacity":1257, "address":0 }, "certificateChain":{ "hb":[ 45, 45, ...10 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":1139, "limit":1139, "capacity":1139, "address":0 } }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Menerbitkan sertifikatContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi IssueCertificate.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" },

Versi latest33




"eventTime":"2018-01-26T22:18:43Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"IssueCertificate", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "csr":{ "hb":[ 45, 45, ...10 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":1090, "limit":1090, "capacity":1090, "address":0 }, "signingAlgorithm":"SHA256WITHRSA", "validity":{ "value":365, "type":"DAYS" }, "idempotencyToken":"1234" }, "responseElements":{ "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/6707447683a9b7f4055627ffd55cebcc" }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Daftar otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi ListCertificateAuthorities.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T22:09:43Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"ListCertificateAuthorities", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "maxResults":10 },

Versi latest34




"responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mencantumkan tandaContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi ListTags.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-02-02T00:21:56Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"ListTags", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" }, "responseElements":{ "tags":[ { "key":"Admin", "value":"Alice" }, { "key":"User", "value":"Bob" } ] }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Mencabut sertifikatContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi RevokeCertificate.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name "accessKeyId": "key_ID" }, "eventTime": "2018-01-26T22:35:03Z", "eventSource": "acm-pca.amazonaws.com",

Versi latest35





"eventName": "RevokeCertificate", "awsRegion": "region", "sourceIPAddress": "xx.xx.xx.xx", "userAgent": "agent", "requestParameters": { "certificateAuthorityArn": ""arn":"aws":"acm-pca":"region":"account":certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "certificateSerial": "67:07:44:76:83:a9:b7:f4:05:56:27:"ff":d5:5c:"eb":"cc", "revocationReason": "KEY_COMPROMISE" }, "responseElements": null, "requestID": "01234567-89ab-cdef-0123-456789abcdef", "eventID": "01234567-89ab-cdef-0123-456789abcdef", "eventType": "AwsApiCall", "recipientAccountId": "account"}

Penandaan Private Certificate AuthorityContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi TagCertificateAuthority.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-02-02T00:18:48Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"TagCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "tags":[ { "key":"Admin", "value":"Alice" } ] }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Menghapus tanda dari Private Certificate AuthorityContoh CloudTrail berikut menunjukkan hasil panggilan ke operasi UntagCertificateAuthority.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account",

Versi latest36





"arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-02-02T00:21:50Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"UntagCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "tags":[ { "key":"Admin", "value":"Alice" } ] }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"}

Memperbarui otoritas sertifikasi (CA)Contoh CloudTrail berikut menunjukkan hasil panggilan ke operasi UpdateCertificateAuthority.

{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"account", "arn":"arn:aws:iam::account:user/name", "accountId":"account", "accessKeyId":"key_ID" }, "eventTime":"2018-01-26T22:08:59Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"UpdateCertificateAuthority", "awsRegion":"region", "sourceIPAddress":"xx.xx.xx.xx", "userAgent":"agent", "requestParameters":{ "certificateAuthorityArn":"arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef", "revocationConfiguration":{ "crlConfiguration":{ "enabled":true, "expirationInDays":3650, "customCname":"your-custom-name", s3BucketName:"your-bucket-name" } }, "status":"DISABLED" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"account"

Versi latest37



Validasi Kepatuhan

}

Validasi kepatuhan untuk AWS Certificate ManagerPrivate Certificate Authority

Auditor pihak ketiga menilai keamanan dan kepatuhan AWS Certificate Manager Private CertificateAuthority sebagai bagian dari beberapa program kepatuhan AWS. Ini mencakup SOC, PCI, FedRAMP,HIPAA, dan lainnya.

Untuk daftar layanan AWS dalam cakupan program kepatuhan tertentu, lihat Layanan AWS dalamCakupan melalui Program Kepatuhan. Untuk informasi umum, lihat Program Kepatuhan AWS.

Anda bisa mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasiselengkapnya, lihat Pengunduhan Laporan dalam AWS Artifact.

Tanggung jawab kepatuhan Anda saat menggunakan ACM Private CA ditentukan oleh sensitivitas dataAnda, tujuan kepatuhan perusahaan Anda, serta hukum dan peraturan yang berlaku. AWS menyediakansumber daya berikut untuk membantu kepatuhan:

• Untuk organisasi yang diharuskan mengenkripsi bucket Amazon S3 mereka, topik berikut menjelaskancara mengonfigurasi enkripsi untuk mengakomodasi aset ACM Private CA:• Mengenkripsi Laporan Audit Anda• Mengenkripsi CRL Anda

• Panduan Quick Start Keamanan dan Kepatuhan — Panduan penerapan ini membahas pertimbanganarsitektur dan menyediakan langkah untuk deployment lingkungan dasar yang berfokus pada keamanandan kepatuhan di AWS.

• Merancang Laporan Resmi Keamanan dan Kepatuhan HIPAA – Laporan resmi ini menjelaskanbagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang patuh HIPAA.

• Sumber Daya Kepatuhan AWS — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industridan lokasi Anda.

• Mengevaluasi Sumber Daya dengan Aturan di Panduan Developer AWS Config — Layanan AWS Configmenilai seberapa baik konfigurasi sumber daya Anda sesuai dengan praktik internal, pedoman industri,dan peraturan.

• AWS Security Hub — Layanan AWS ini memberikan pandangan komprehensif tentang status keamananAnda di dalam AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industrikeamanan dan praktik terbaik.

Menggunakan laporan audit dengan CA privat AndaAnda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan ataudicabut oleh CA privat Anda. Laporan disimpan di bucket S3 baru atau yang sudah ada yang Andatentukan pada input.

Untuk informasi tentang cara menambahkan perlindungan enkripsi ke laporan audit Anda, lihatMengenkripsi laporan audit (p. 42).

File laporan audit memiliki jalur dan nama file berikut. The ARN untuk bucket Amazon S3 adalah nilai untukbucket-name. CA_ID adalah pengenal unik penerbitan CA. UUID adalah pengenal unik laporan audit.

bucket-name/audit-report/CA-ID/UUID.[json|csv]

Versi latest38



http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaAuditReport.html#audit-report-encryption

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html#crl-encryption

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html


Membuat laporan audit

Anda dapat membuat laporan baru setiap 30 menit dan mengunduhnya dari bucket Anda. Contoh berikutmenunjukkan laporan terpisah CSV.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/fedcba9876543210fedcba9876543210,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/0123456789abcdef0123456789abcdef,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

Contoh berikut menunjukkan laporan berformat JSON.

[ { "awsAccountId":"123456789012", "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/fedcba9876543210fedcba9876543210", "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff", "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore":"2020-02-26T18:39:57+0000", "notAfter":"2021-02-26T19:39:57+0000", "issuedAt":"2020-02-26T19:39:58+0000", "revokedAt":"2020-02-26T20:00:36+0000", "revocationReason":"UNSPECIFIED", "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" }, { "awsAccountId":"123456789012", "requestedByServicePrincipal":"acm.amazonaws.com", "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/0123456789abcdef0123456789abcdef", "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00", "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore":"2020-01-22T20:10:49+0000", "notAfter":"2021-01-17T21:10:49+0000", "issuedAt":"2020-01-22T21:10:49+0000", "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" }]

Note

Saat AWS Certificate Manager memperbarui sertifikat, laporan audit CA privat akan mengisi kolomrequestedByServicePrincipal dengan acm.amazonaws.com. Ini menunjukkan bahwalayanan AWS Certificate Manager memanggil tindakan IssueCertificate ACM Private CA APIatas nama pelanggan untuk memperbarui sertifikat.

Menyiapkan bucket Amazon S3 untuk laporan auditUntuk menyimpan laporan audit, Anda perlu menyiapkan bucket Amazon S3. Untuk informasiselengkapnya, lihat Bagaimana Cara Membuat bucket S3?

Bucket S3 Anda harus diamankan dengan kebijakan izin yang dilampirkan. Kebijakan ini melindungikonten bucket agar tidak diakses oleh pengguna dan entitas keamanan layanan yang tidak sah. Jika Anda

Versi latest39

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html



membuat bucket S3 baru melalui konsol ACM Private CA, kebijakan (Kebijakan 2 di bawah) dilampirkanke bucket secara otomatis. Jika Anda menggunakan bucket yang ada, atau jika Anda menggunakan AWSCLI untuk membuat laporan audit, Anda harus melampirkan kebijakan secara manual. Untuk informasiselengkapnya, lihat Bagaimana Cara Menambahkan Kebijakan Bucket S3?

Kami menawarkan dua contoh kebijakan untuk mengamankan bucket Amazon S3.

Kebijakan 1 (Terbatas)

Kebijakan ini memberikan izin terbatas pada bucket S3 ke entitas keamanan layanan ACM Private CA.Contoh ini membatasi dengan kedua akun AWS dan dengan ARN CA privat, tetapi juga dapat dikonfigurasiuntuk membatasi satu atau yang lain. Izin Put memungkinkan ACM Private CA untuk menempatkan objekdalam bucket. Izin Get memungkinkan objek dalam bucket agar diambil.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::bucket-name/*", "arn:aws:s3:::bucket-name" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"account", "aws:SourceArn":"arn:partition:acm-pca:region:account:certificate-authority/CA-ID" } } } ]}

Kebijakan 2 (Permisif)

Kebijakan ini memberikan Put dan Get izin pada bucket S3 ke entitas keamanan layanan ACM PrivateCA tanpa membatasi akses oleh CA atau pengguna. Izin Put memungkinkan ACM Private CA untukmenempatkan objek dalam bucket. Izin Get memungkinkan objek dalam bucket agar diambil. Kebijakanpermisif cocok jika ANda ingin bucket agar tersedia untuk beberapa CA atau beberapa pengguna.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl",

Versi latest40

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html



"s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::bucket-name/*", "arn:aws:s3:::bbucket-name" ] } ]}

Membuat laporan auditAnda dapat membuat laporan audit baik dari konsol tersebut atau AWS CLI.

Untuk membuat laporan audit (konsol)

1. Masuk ke akun AWS Anda dan buka konsol ACM Private CA di https://console.aws.amazon.com/acm-pca/home.

2. Pilih CA Privat.3. Pilih CA privat Anda dari daftar.4. Dari menu Tindakan, pilih Hasilkan laporan audit.5. Untuk Buat bucket S3 baru, pilih Ya dan ketik nama bucket yang unik atau pilih Tidak dan pilih bucket

yang ada dari daftar.

Jika Anda memilih Ya, ACM Private CA membuat dan melampirkan kebijakan yang diperlukan kebucket Anda. Jika Anda memilih Tidak, Anda harus melampirkan kebijakan ke bucket agar dapatmembuat laporan audit. Gunakan salah satu pola kebijakan yang dijelaskan dalam Menyiapkan bucketAmazon S3 untuk laporan audit (p. 39). Untuk informasi tentang melamporkan kebijakan, lihatBagaimana Saya Dapat Menambahkan Kebijakan Bucket S3?

6. Untuk Format output, pilih JSON untuk JavaScript Object Notation atau CSV untuk nilai yangdipisahkan koma.

7. Pilih Hasilkan laporan audit.

Untuk membuat laporan audit (AWS CLI)

1. Jika Anda belum memiliki bucket S3 untuk digunakan, buat satu.2. Lampirkan kebijakan ke bucket Anda Gunakan salah satu pola kebijakan yang dijelaskan dalam

Menyiapkan bucket Amazon S3 untuk laporan audit (p. 39). Untuk informasi tentang melamporkankebijakan, lihat Bagaimana Saya Dapat Menambahkan Kebijakan Bucket S3?

3. Gunakan perintah create-certificate-authority-audit-report untuk membuat laporanaudit dan menempatkannya di bucket S3 yang telah disiapkan.

$ aws acm-pca create-certificate-authority-audit-report \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/01234567-89ab-cdef-0123-456789abcdef \--s3-bucket-name bucket-name \--audit-report-response-format JSON

Mengambil laporan auditUntuk mengambil laporan audit untuk pemeriksaan, gunakan konsol Amazon S3, API, CLI, atau SDK.Untuk informasi selengkapnya, lihat Mengunduh objek di Panduan Pengguna Amazon Simple StorageService.

Versi latest41

https://console.aws.amazon.com/acm-pca/home





https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority-audit-report.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/download-objects.html



Mengenkripsi laporan auditAnda dapat secara opsional mengonfigurasi enkripsi pada bucket Amazon S3 yang berisi laporan auditAnda. ACM Private CA mendukung dua mode enkripsi untuk aset di S3:

• Enkripsi sisi server otomatis dengan kunci AES-256 terkelola Amazon S3.• Enkripsi terkelola pelanggan menggunakan AWS Key Management Service dan kunci utama pelanggan

(CMK) yang dikonfigurasi ke spesifikasi Anda.

Note

ACM Private CA tidak mendukung penggunaan CMK default yang dihasilkan secara otomatis olehS3.

Prosedur berikut menjelaskan cara menyiapkan setiap opsi enkripsi.

Untuk mengkonfigurasi enkripsi otomatis

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi sisi server S3.

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Dalam tabel Bucket, pilih bucket yang akan menyimpan aset ACM Private CA Anda.3. Pada halaman untuk bucket Anda, pilih tab Properti.4. Pilih kartu Enkripsi default.5. Pilih Aktifkan.6. Pilih Kunci Amazon S3 (SSE-S3).7. Pilih Simpan Perubahan.

Untuk mengkonfigurasi enkripsi kustom

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi menggunakan kunci kustom.

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Dalam tabel Bucket, pilih bucket yang akan menyimpan aset ACM Private CA Anda.3. Pada halaman untuk bucket Anda, pilih tab Properti.4. Pilih kartu Enkripsi default.5. Pilih Aktifkan.6. Pilih Kunci AWS Key Management Service (SSE-KMS).7. Pilih antara Pilih dari tombol AWS KMS atau Masukkan kunci AWS KMS ARN.8. Tetapkan Kunci Bucket ke Nonaktifkan.9. Pilih Simpan Perubahan.10. (Opsional) Jika Anda belum memiliki AWS KMS, buat menggunakan perintah create-key AWS CLI

berikut:

$ aws kms create-key

Outputnya berisi ID kunci dan Amazon Resource Name (ARN) CMK. Berikut ini adalah contoh output:

{ "KeyMetadata": { "KeyId": "01234567-89ab-cdef-0123-456789abcdef", "Description": "",

Versi latest42

https://console.aws.amazon.com/s3/


https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html


Keamanan infrastruktur

"Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1478910250.94, "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef", "AWSAccountId": "123456789012" }}

11. Menggunakan langkah-langkah berikut, Anda memberikan ACM Private CA entitas keamanan layananizin untuk menggunakan CMK. Secara default, semua CMK AWS KMS bersifat privat; hanya pemiliksumber daya yang dapat menggunakan CMK untuk mengenkripsi dan dekripsi data. Namun, pemiliksumber daya dapat memberikan izin untuk mengakses CMK kepada pengguna dan sumber daya lain.Entitas keamanan layanan ini harus berada di wilayah yang sama, tempat CMK disimpan.

a. Pertama, simpan kebijakan default untuk CMK sebagai policy.json menggunakan perintahget-key-policy berikut:

$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

b. Buka file policy.json di editor teks dan tambahkan pernyataan berikut:

{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::bucket-name/acm-pca-permission-test-key", "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket-name/audit-report/*", "arn:aws:s3:::bucket-name/crl/*" ] } }}

c. Terakhir, tambahkan kebijakan yang sudah diperbarui menggunakan perintah put-key-policyberikut:

$ aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Keamanan infrastruktur di AWS Certificate ManagerPrivate Certificate Authority

Sebagai layanan terkelola, ACM Private CA dilindungi oleh prosedur keamanan jaringan global AWS yangdijelaskan dalam laporan resmi Amazon Web Services: Gambaran Umum Proses Keamanan.

Versi latest43

https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html

https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf


VPC Endpoint (AWS PrivateLink)

Anda menggunakan panggilan API AWS yang dipublikasikan untuk mengakses ACM Private CA melaluijaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.0 atau versi yang lebihbaru. Kami merekomendasikan TLS 1.2 atau yang versi lebih baru. Klien juga harus mendukung suitecipher dengan Perfect Forward Secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic CurveEphemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern, seperti Java 7 dan yang lebih barumendukung mode ini.

Selain itu, permintaan harus ditandatangani menggunakan access key ID dan secret access key yangterkait dengan pelaku utama IAM. Atau Anda dapat menggunakan AWS Security Token Service (AWSSTS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.

Topik• VPC Endpoint ACM Private CA (AWS PrivateLink) (p. 44)• Praktik terbaik ACM Private CA (p. 46)

VPC Endpoint ACM Private CA (AWS PrivateLink)Anda dapat membuat koneksi privat antara VPC dan ACM Private CA dengan mengonfigurasi VPCendpoint antarmuka. Titik akhir antarmuka didukung oleh AWS PrivateLink, sebuah teknologi untukmengakses operasi ACM Private CA API secara privat. AWS PrivateLink merutekan semua lalu lintasjaringan antara VPC dan ACM Private CA Anda melalui jaringan Amazon, menghindari paparan di internetterbuka. Masing-masing VPC endpoint diwakili oleh satu atau lebih Antarmuka Jaringan Elastis (ENI)dengan alamat IP privat di subnet VPC Anda.

VPC endpoint antarmuka menghubungkan VPC Anda langsung ke ACM Private CA tanpa GatewayInternet, perangkat NAT, koneksi VPN, atau koneksi AWS Direct Connect. Instans di VPC Anda tidakmemerlukan alamat IP publik untuk berkomunikasi dengan ACM Private CA API.

Untuk menggunakan ACM Private CA melalui VPC Anda, Anda harus menghubungkan dari instansyang ada di dalam VPC. Atau, Anda dapat menghubungkan jaringan privat Anda ke VPC Anda denganmenggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk informasitentang AWS VPN, lihat Koneksi VPN di Panduan Pengguna Amazon VPC. Untuk informasi tentang AWSDirect Connect, lihat Membuat Koneksi di Panduan Pengguna AWS Direct Connect.

ACM Private CA tidak memerlukan penggunaan AWS PrivateLink, tetapi kami merekomendasikannyasebagai lapisan keamanan tambahan. Untuk informasi selengkapnya tentang AWS PrivateLink dan VPCendpoint, lihat Mengakses Layanan Melalui AWS PrivateLink.

Pertimbangan untuk VPC endpoint ACM Private CASebelum Anda menyiapkan VPC endpoint antarmuka untuk ACM Private CA, perhatikan pertimbanganberikut:

• ACM Private CA mungkin tidak mendukung VPC endpoint di beberapa Availability Zone. Saat Andamembuat VPC endpoint, periksa terlebih dahulu dukungan di konsol manajemen. Availability Zone yangtidak didukung ditandai "Layanan tidak didukung di Availability Zone ini".

• VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan bahwa Anda membuat titikakhir Anda di Wilayah yang sama tempat Anda berencana untuk mengeluarkan panggilan API ke ACMPrivate CA.

• VPC endpoint hanya support Amazon yang disediakan DNS melalui Amazon Route 53. Jika Anda inginmenggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasiselengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

• Grup keamanan yang terkait dengan VPC endpoint harus mengizinkan koneksi masuk pada port 443dari subnet privat VPC.

• AWS Certificate Manager tidak mendukung VPC endpoint.

Versi latest44

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html


VPC Endpoint (AWS PrivateLink)

• Endpoint FIPS (dan Wilayah mereka) tidak mendukung VPC endpoint.

Membuat VPC endpoint untuk ACM Private CAAnda dapat membuat VPC endpoint untuk layanan ACM Private CA menggunakan konsol VPC di https://console.aws.amazon.com/vpc/ atau AWS Command Line Interface. Untuk informasi selengkapnya,lihat prosedur Pembuatan Titik Akhir Antarmuka di Panduan Pengguna Amazon VPC. ACM Private CAmendukung panggilan ke semua operasi API-nya di dalam VPC Anda.

Jika Anda telah mengaktifkan nama host DNS privat untuk titik akhir, maka titik akhir ACM Private CAdefault sekarang ditetapkan ke VPC endpoint Anda. Untuk daftar lengkap titik akhir layanan default, lihatTitik Akhir dan Kuota Layanan.

Jika Anda belum mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNSyang dapat Anda gunakan dalam format berikut:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com

Note

Wilayah nilai mewakili pengenal Wilayah untuk Wilayah AWS yang didukung oleh ACM PrivateCA, seperti us-east-2 untuk Wilayah US East (Ohio). Untuk daftar ACM Private CA, lihat TitikAkhir dan Kuota AWS Certificate Manager Private Certificate Authority.

Untuk informasi lebih lanjut, lihat VPC endpoint Antarmuka (AWS PrivateLink) dalam Panduan PenggunaAmazon VPC.

Buat kebijakan VPC endpoint untuk ACM Private CAAnda dapat membuat kebijakan untuk VPC endpoint Amazon untuk ACM Private CA untuk menentukan halberikut:

• Prinsip-prinsip yang dapat melakukan tindakan• Tindakan yang dapat dilakukan• Sumber daya yang dapat digunakan untuk mengambil tindakan

Untuk informasi selengkapnya, lihat Mengendalikan Akses ke Layanan dengan Titik Akhir VPC dalamPanduan Pengguna Amazon VPC.

Contoh – Kebijakan VPC endpoint untuk tindakan ACM Private CA

Saat dilampirkan ke titik akhir, kebijakan berikut memberikan akses untuk semua entitas keamananke tindakan ACM Private CA IssueCertificate, DescribeCertificateAuthority,GetCertificate, GetCertificateAuthorityCertificate, ListPermissions, dan ListTags.Sumber daya di setiap bait adalah CA privat. Bait pertama mengizinkan pembuatan sertifikat entitas akhirmenggunakan CA privat dan templat sertifikat yang ditentukan. Jika Anda tidak ingin mengontrol templatyang digunakan, bagian Condition tidak diperlukan. Namun, menghapus ini memungkinkan semuaentitas keamanan untuk membuat sertifikat CA serta sertifikat entitas akhir.

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ],

Versi latest45

https://console.aws.amazon.com/vpc/

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html

https://docs.aws.amazon.com/general/latest/gr/acm-pca.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html


Praktik terbaik ACM Private CA

"Resource":[ "arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:region:account:certificate-authority/01234567-89ab-cdef-0123-456789abcdef" ] } ]}

Praktik terbaik ACM Private CAPraktik terbaik adalah rekomendasi yang dapat membantu Anda menggunakan ACM Private CA secaraefektif. Praktik terbaik berikut didasarkan pada pengalaman dunia nyata dari AWS Certificate Manager danpelanggan ACM Private CA saat ini.

Mendokumentasikan struktur dan kebijakan CAAWS merekomendasikan untuk mendokumentasikan semua kebijakan dan praktik Anda untukmengoperasikan CA Anda. Ini mungkin termasuk:

• Penalaran untuk keputusan Anda tentang struktur CA• Diagram yang menunjukkan CA Anda dan hubungannya• Kebijakan tentang masa validasi CA• Merencanakan suksesi CA• Kebijakan pada panjang jalur• Izin katalog• Deskripsi struktur kontrol administratif• Keamanan

Anda dapat menangkap informasi ini dalam dua dokumen, yang dikenal sebagai Kebijakan Sertifikasi(CP) dan Pernyataan Praktik Sertifikasi (CPS). Baca RFC 3647 untuk kerangka kerja untuk mendapatkaninformasi penting tentang operasi CA Anda.

Minimalkan penggunaan CA akar jika memungkinkanCA akar secara umum hanya boleh digunakan untuk menerbitkan sertifikat untuk CA perantara. Halini memungkinkan CA akar disimpan dari bahaya sementara CA perantara melakukan tugas harianmenerbitkan sertifikat entitas akhir.

Versi latest46

https://www.ietf.org/rfc/rfc3647.txt



Namun, jika praktik organisasi Anda saat ini adalah menerbitkan sertifikat entitas akhir langsung dariCA akar, ACM Private CA dapat mendukung alur kerja ini sambil meningkatkan keamanan dan kontroloperasional. Menerbitkan sertifikat entitas akhir dalam skenario ini memerlukan kebijakan izin IAMyang mengizinkan CA akar Anda untuk menggunakan templat sertifikat entitas akhir. Untuk informasiselengkapnya tentang kebijakan IAM, lihat Identity and Access Management untuk AWS CertificateManager Private Certificate Authority (p. 7).

Note

Konfigurasi ini memberlakukan keterbatasan yang dapat mengakibatkan tantangan operasional.Misalnya, jika CA akar Anda disusupi atau hilang, Anda harus membuat CA akar baru danmendistribusikannya ke semua klien di lingkungan Anda. Sampai proses pemulihan ini selesai,Anda tidak akan dapat menerbitkan sertifikat baru. Penerbitan sertifikat langsung dari CA akarjuga mencegah Anda membatasi akses dan membatasi jumlah sertifikat yang dikeluarkan dariakar Anda, yang keduanya dianggap sebagai praktik terbaik untuk mengelola CA akar.

Berikan CA akar akun AWS sendiriMembuat CA akar dan CA bawahan di dua akun AWS yang berbeda adalah praktik terbaik yangdisarankan. Melakukannya dapat memberi Anda perlindungan tambahan dan kontrol akses untuk CAakar Anda. Anda dapat melakukannya dengan mengekspor CSR dari CA bawahan di satu akun, danmenandatanganinya dengan CA akar di akun lain. Manfaat dari pendekatan ini adalah Anda dapatmemisahkan kontrol CA Anda berdasarkan akun. Kerugiannya adalah Anda tidak dapat menggunakanwizard konsol manajemen AWS untuk menyederhanakan proses penandatanganan sertifikat CA dari CAbawahan dari CA Akar Anda.

Peran administrator dan penerbit terpisahPeran administrator CA harus terpisah dari pengguna yang hanya perlu menerbitkan sertifikat entitas akhir.Jika administrator CA dan penerbit sertifikat Anda berada di akun AWS yang sama, Anda dapat membatasiizin penerbit dengan membuat pengguna IAM khusus untuk tujuan itu.

Aktifkan AWS CloudTrailAktifkan pencatatan CloudTrail sebelum Anda membuat dan mulai mengoperasikan CA privat. DenganCloudTrail Anda dapat mengambil riwayat panggilan API AWS untuk akun Anda guna memantaudeployment AWS Anda. Riwayat ini mencakup panggilan API yang dibuat dari AWS ManagementConsole, AWSSDK, AWS Command Line Interface, dan layanan AWS tingkat yang lebih tinggi. Andajuga dapat mengidentifikasi pengguna dan akun mana yang disebut operasi API PCA, alamat IP sumberasal panggilan, dan kapan panggilan terjadi. Anda dapat mengintegrasikan CloudTrail ke dalam aplikasimenggunakan API, mengotomatiskan pembuatan jejak untuk organisasi Anda, memeriksa status jejakAnda, dan mengontrol cara administrator mengaktifkan dan menonaktifkan pencatatan CloudTrail. Untukinformasi lebih lanjut, lihat Membuat Jejak. Buka Menggunakan CloudTrail (p. 25) untuk melihat contohjejak untuk operasi ACM Private CA.

Memutar kunci privat CAIni adalah praktik terbaik untuk memperbarui kunci privat untuk CA privat Anda secara berkala. Anda dapatmemperbarui kunci dengan mengimpor sertifikat CA baru, atau Anda dapat mengganti CA privat denganCA baru.

Menghapus CA yang tidak digunakanAnda dapat menghapus CA privat secara permanen. Anda mungkin ingin melakukannya jika Anda tidaklagi membutuhkan CA atau jika Anda ingin menggantinya dengan CA yang memiliki kunci privat yang lebihbaru. Untuk menghapus CA dengan aman, kami sarankan Anda mengikuti proses yang diuraikan dalamMenghapus CA privat Anda (p. 82).

Versi latest47

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html



Note

AWS menagihkan Anda untuk CA sampai itu dihapus.

Blokir akses publik ke CRL AndaACM Private CA merekomendasikan penggunaan fitur Amazon S3 Blokir Akses Publik (BPA) pada bucketyang berisi CRL. Ini untuk menghindari pengungkapan detail PKI privat Anda yang tidak perlu kepadakemungkinkan lawan. BPA adalah praktik terbaik S3 dan diaktifkan secara default pada bucket baru.Pengaturan tambahan diperlukan dalam beberapa kasus. Untuk informasi lebih lanjut, lihat Mengaktifkanfitur Blokir Akses Publik S3 (p. 63).

Versi latest48

https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html


Merancang hierarki CA

Merencanakan deployment ACMPrivate CA

ACM Private CA memberi Anda kontrol berbasis cloud yang lengkap atas PKI privat (infrastruktur kuncipublik) organisasi Anda, mulai dari akar otoritas sertifikasi (CA), melalui CA bawahan, hingga sertifikatentitas akhir. Perencanaan menyeluruh sangat penting untuk PKI yang aman, dapat dipelihara, dapatdiperluas, dan sesuai dengan kebutuhan organisasi Anda. Bagian ini memberikan panduan tentangmerancang hierarki CA, mengelola CA privat Anda dan siklus hidup sertifikat entitas akhir privat, danmenerapkan praktik terbaik untuk keamanan.

Topik• Merancang hierarki CA (p. 49)• Mengelola siklus hidup CA privat (p. 56)• Ketahanan dalam AWS Certificate Manager Private Certificate Authority (p. 58)

Merancang hierarki CADengan ACM Private CA, Anda dapat membuat hierarki otoritas sertifikat hingga lima tingkat. CA akar,di bagian atas pohon hierarki, dapat memiliki sejumlah cabang. CA akar dapat memiliki sebanyak empattingkat CA bawahan di setiap cabang. Anda juga dapat membuat beberapa hierarki, masing-masingdengan akarnya sendiri.

Hierarki CA yang dirancang dengan baik menawarkan manfaat berikut:

• Kontrol keamanan terperinci yang sesuai untuk setiap CA• Pembagian tugas administratif untuk penyeimbangan beban dan keamanan yang lebih baik• Penggunaan CA dengan kepercayaan terbatas yang dapat dibatalkan untuk operasi sehari-hari• Masa validitas dan batas jalur sertifikat

Diagram berikut mengilustrasikan hierarki CA tiga tingkat yang sederhana.

Versi latest49


Merancang hierarki CA

Setiap CA di pohon didukung oleh sertifikat X.509 v3 dengan otoritas penandatanganan (dilambangkandengan ikon pen-and-paper). Ini berarti bahwa sebagai CA, sertifikat lain yang berada di bawahnya dapatditandatangani. Ketika CA menandatangani sertifikat CA tingkat yang lebih rendah, itu memberikan otoritasterbatas yang dapat dibatalkan pada sertifikat yang ditandatangani. CA akar di level 1 menandatanganisertifikat CA bawahan tingkat tinggi di level 2. CA ini, pada gilirannya, menandatangani sertifikat untukCA di level 3 yang digunakan oleh administrator PKI (infrastruktur kunci publik) yang mengelola sertifikatentitas akhir.

Keamanan dalam hierarki CA harus dikonfigurasikan menjadi yang terkuat di bagian atas hierarki.Pengaturan ini melindungi sertifikat CA akar dan kunci privatnya. CA akar menambatkan kepercayaanuntuk semua CA bawahan dan sertifikat entitas akhir di bawahnya. Sementara kerusakan lokal dapatdihasilkan dari kompromi sertifikat entitas akhir, kompromi akar menghancurkan kepercayaan diseluruh PKI. CA bawahan tingkat akar dan tingkat yang lebih tinggi jarang digunakan (biasanya untukmenandatangani sertifikat CA lainnya). Akibatnya, mereka dikontrol dengan ketat dan diaudit untukmemastikan risiko kompromi yang lebih rendah. Di tingkat hierarki yang lebih rendah, keamanan tidakterlalu ketat. Pendekatan ini memungkinkan tugas administratif rutin menerbitkan dan mencabut sertifikatentitas akhir untuk pengguna, host komputer, dan layanan perangkat lunak.

Note

Menggunakan CA akar untuk menandatangani sertifikat bawahan adalah peristiwa langka yangterjadi hanya dalam beberapa keadaan:

• Saat PKI dibuat• Ketika otoritas sertifikat tingkat tinggi perlu diganti• Saat penanggap daftar pencabutan sertifikat (CRL) atau Protokol Status Sertifikat Online

(OCSP) perlu dikonfigurasi

Akar dan CA tingkat tinggi lainnya memerlukan proses operasional dan protokol kontrol aksesyang sangat aman.

Versi latest50


Memvalidasi sertifikat entitas akhir

Topik• Memvalidasi sertifikat entitas akhir (p. 51)• Merencanakan struktur hierarki CA (p. 52)• Menetapkan batasan panjang pada jalur sertifikasi (p. 54)

Memvalidasi sertifikat entitas akhirSertifikat entitas akhir mendapatkan kepercayaannya dari jalur sertifikasi yang mengarah kembali melaluiCA bawahan ke CA akar. Ketika disajikan dengan sertifikat entitas akhir, peramban web atau klien lainmencoba membangun rantai kepercayaan. Misalnya, mungkin memeriksa untuk melihat bahwa namakhusus penerbit sertifikat dan nama khusus subjek cocok dengan bidang yang sesuai dari sertifikat CApenerbit. Pencocokan akan berlanjut di setiap tingkat berturut-turut ke atas hierarki hingga klien mencapaiakar tepercaya yang terkandung dalam penyimpanan kepercayaannya.

Penyimpanan kepercayaan adalah pustaka CA tepercaya yang berisi peramban atau sistem operasi. UntukPKI privat, TI organisasi Anda harus memastikan bahwa setiap peramban atau sistem sebelumnya telahmenambahkan CA akar privat ke penyimpanan kepercayaannya. Jika tidak, jalur sertifikasi tidak dapatdivalidasi, yang mengakibatkan kesalahan klien.

Diagram berikutnya menunjukkan jalur validasi yang diikuti peramban saat disajikan dengan sertifikat X.509entitas akhir. Perhatikan bahwa sertifikat entitas akhir tidak memiliki otoritas penandatanganan dan hanyaberfungsi untuk mengautentikasi entitas yang memilikinya.

Versi latest51


Merencanakan struktur hierarki CA

Peramban memeriksa sertifikat entitas akhir. Peramban menemukan bahwa sertifikat menawarkan tandatangan dari CA bawahan (level 3) sebagai kredensial kepercayaannya. Sertifikat untuk CA bawahan harusdisertakan dalam file PEM yang sama. Atau, mereka juga dapat berada dalam file terpisah yang berisisertifikat yang membentuk rantai kepercayaan. Setelah menemukan ini, peramban memeriksa sertifikatCA bawahan (tingkat 3) dan menemukan bahwa sertifikat CA bawahan menawarkan tanda tangan dari CAbawahan (tingkat 2). Pada gilirannya, CA bawahan (level 2) menawarkan tanda tangan dari CA akar (level1) sebagai kredensial kepercayaannya. Jika peramban menemukan salinan sertifikat CA akar privat yangtelah diinstal sebelumnya di penyimpanan kepercayaannya, peramban akan memvalidasi sertifikat entitasakhir sebagai tepercaya.

Biasanya, peramban juga memeriksa setiap sertifikat terhadap daftar pencabutan sertifikat (CRL). Sertifikatyang kedaluwarsa, dicabut, atau salah konfigurasi ditolak dan validasi gagal.

Merencanakan struktur hierarki CASecara umum, hierarki CA Anda harus mencerminkan struktur organisasi Anda. Bertujuan untukkedalaman (yaitu, jumlah tingkat CA) tidak lebih dari yang diperlukan untuk mendelegasikan peranadministratif dan keamanan. Menambahkan CA ke hierarki berarti meningkatkan jumlah sertifikat di jalursertifikasi, yang meningkatkan waktu validasi. Menjaga kedalaman seminimal mungkin juga mengurangijumlah sertifikat yang dikirim dari server ke klien saat membangun kepercayaan. Kedalaman yang lebihkecil juga mengurangi jumlah pekerjaan yang dilakukan klien untuk memvalidasi sertifikat entitas akhir.

Secara teori, CA akar, yang tidak memiliki parameter panjang jalur (p. 54), dapat mengotorisasikedalaman CA bawahan apa pun. CA bawahan dapat memiliki CA bawahan turunan sebanyak yangdiizinkan oleh konfigurasi internalnya. Hierarki terkelola ACM Private CA mendukung jalur sertifikasi CAhingga kedalaman lima tingkat.

Struktur CA yang dirancang dengan baik memiliki beberapa manfaat:

• Kontrol administratif terpisah untuk unit organisasi lain• Kemampuan untuk mendelegasikan akses ke CA bawahan• Struktur hierarkis yang melindungi CA tingkat tinggi dengan kontrol keamanan tambahan

Dua struktur CA umum mencakup semua ini:

• Dua level CA: CA akar dan CA bawahan

Ini adalah struktur CA paling sederhana yang memungkinkan administrasi, kontrol, dan kebijakankeamanan terpisah untuk CA akar dan CA bawahan. Anda dapat mempertahankan kontrol dan kebijakanyang membatasi untuk CA akar Anda sambil mengizinkan akses yang lebih permisif untuk CA bawahan.Yang kedua ini digunakan untuk penerbitan massal sertifikat entitas akhir.

• Tiga tingkat CA: CA akar dan dua lapisan CA bawahan

Mirip dengan yang di atas, struktur ini menambahkan lapisan CA tambahan untuk lebih memisahkan CAakar dari operasi CA tingkat rendah. Lapisan CA tengah hanya digunakan untuk menandatangani CAbawahan yang melakukan penerbitan sertifikat entitas akhir.

Struktur CA yang kurang umum meliputi berikut ini:

• Empat atau lebih tingkat CA

Meskipun kurang umum daripada hierarki tiga tingkat, hierarki CA dengan empat atau lebih tingkatdimungkinkan dan mungkin diperlukan untuk memungkinkan delegasi administratif.

• Satu tingkat CA: hanya CA akar

Versi latest52


Merencanakan struktur hierarki CA

Struktur ini biasanya digunakan untuk developer dan pengujian ketika rantai kepercayaan penuh tidakdiperlukan. Digunakan dalam produksi, itu tidak lazim. Selain itu, ini melanggar praktik terbaik dalammempertahankan kebijakan keamanan terpisah untuk CA akar dan CA yang menerbitkan sertifikatentitas akhir.

Namun, jika Anda sudah menerbitkan sertifikat langsung dari CA akar, Anda dapat bermigrasi ke ACMPrivate CA. Melakukannya memberikan keuntungan keamanan dan kontrol dibandingkan menggunakanCA akar yang dikelola dengan OpenSSL atau perangkat lunak lain.

Contoh PKI privat untuk produsenDalam contoh ini, perusahaan teknologi hipotetis memproduksi dua produk Internet untuk Segala (IoT),bola lampu pintar dan pemanggang roti pintar. Selama produksi, setiap perangkat menerbiktan sertifikatentitas akhir sehingga dapat berkomunikasi dengan aman melalui internet dengan produsen. PKIperusahaan juga mengamankan infrastruktur komputernya, termasuk situs web internal dan berbagailayanan komputer dengan host mandiri yang menjalankan keuangan dan operasi bisnis.

Hasilnya, model hierarki CA hampir mirip dengan aspek administratif dan operasional bisnis ini.

Hierarki ini berisi tiga akar, satu untuk Operasi Internal dan dua untuk Operasi Eksternal (satu CA akaruntuk setiap lini produk). Ini juga menggambarkan beberapa kedalaman sertifikasi, dengan dua tingkat CAuntuk Operasi Internal dan tiga tingkat untuk Operasi Eksternal.

Penggunaan CA akar terpisah dan kedalaman tambahan di sisi Operasi Eksternal adalah keputusandesain yang melayani kebutuhan bisnis dan keamanan. Dengan beberapa pohon CA, PKI tahan terhadapreorganisasi, divestasi, atau akuisisi perusahaan nantinya. Saat terjadi perubahan, seluruh hierarki CAakar dapat bergerak dengan teratur dengan divisi yang diamankannya. Dan dengan dua tingkat CA

Versi latest53


Menetapkan batasan panjang pada jalur sertifikasi

bawahan, CA akar memiliki tingkat isolasi yang tinggi dari CA tingkat 3 yang bertanggung jawab untukmenandatangani sertifikat secara massal untuk ribuan atau jutaan item yang diproduksi.

Di sisi internal, web perusahaan dan operasi komputer internal melengkapi hierarki dua tingkat. Tingkatini memungkinkan administrator web dan teknisi operasi untuk mengelola penerbitan sertifikat secaraindependen untuk domain kerjanya sendiri. Pengelompokan PKI ke dalam domain fungsional yangberbeda adalah praktik terbaik keamanan dan melindungi masing-masing dari kompromi yang mungkinmemengaruhi yang lain. Administrator web menerbitkan sertifikat entitas akhir untuk digunakan olehperamban web di seluruh perusahaan, mengautentikasi dan mengenkripsi komunikasi di situs web internal.Teknisi operasi menerbitkan sertifikat entitas akhir yang mengautentikasi host pusat data dan layanankomputasi satu sama lain. Sistem ini membantu menjaga keamanan data sensitif dengan mengenkripsinyadi LAN.

Menetapkan batasan panjang pada jalur sertifikasiStruktur hierarki CA ditentukan dan ditegakkan oleh ekstensi batasan dasar yang ada dalam setiapsertifikat. Ekstensi menentukan dua kendala:

• cA – Apakah sertifikat menentukan CA. Jika nilai ini SALAH (default), maka sertifikat tersebut adalahsertifikat entitas akhir.

• pathLenConstraint – Kedalaman tambahan maksimum dari jalur sertifikasi yang menyertakansertifikat.

Sertifikat CA akar membutuhkan fleksibilitas maksimum dan tidak menyertakan batasan panjang jalur. Inimemungkinkan akar untuk menentukan jalur sertifikasi dengan kedalaman apa pun.

Note

ACM Private CA membatasi jalur sertifikasi hingga lima tingkat.

CA bawahan memiliki nilai pathLenConstraint yang sama dengan atau lebih besar dari nol, bergantungpada lokasi dalam penempatan hierarki dan fitur yang diinginkan. Misalnya, dalam hierarki dengan tigaCA, tidak ada batasan jalur yang ditentukan untuk CA akar. CA bawahan pertama memiliki panjang jalur 1dan karena itu dapat menandatangani CA turunan. Masing-masing CA turunan ini harus memiliki nilai nolpathLenConstraint. Ini berarti bahwa mereka dapat menandatangani sertifikat entitas akhir, tetapi tidakdapat menerbitkan sertifikat CA tambahan. Membatasi kekuatan untuk membuat CA baru adalah kontrolkeamanan yang penting.

Diagram berikut mengilustrasikan penyebaran otoritas terbatas ini ke bawah hierarki.

Versi latest54


Menetapkan batasan panjang pada jalur sertifikasi

Dalam hierarki empat tingkat ini, akar tidak dibatasi (seperti biasa). Tetapi CA bawahan pertama memilikinilai 2 pathLenConstraint, yang membatasi CA turunannya untuk naik lebih dari dua tingkat. Hasilnya,untuk jalur sertifikasi yang valid, nilai kendala harus dikurangi menjadi nol di dua tingkat berikutnya. Jikaperamban web menemukan sertifikat entitas akhir dari cabang ini yang memiliki panjang jalur lebih dariempat, validasi gagal. Sertifikat tersebut dapat merupakan hasil dari CA yang dibuat secara tidak sengaja,CA yang salah konfigurasi, atau penerbitan yang tidak sah.

Mengelola kedalaman dengan templatACM Private CA menyediakan templat untuk mengeluarkan sertifikat akar, bawahan, dan entitas akhir.Templat ini merangkum praktik terbaik untuk nilai-nilai batasan dasar, termasuk panjang jalur. Templatmeliputi hal-hal berikut:

• RootCACertificate/V1• SubordinateCACertificate_PathLen0/V1• SubordinateCACertificate_PathLen1/V1• SubordinateCACertificate_PathLen2/V1• SubordinateCACertificate_PathLen3/V1• EndEntityCertificate/V1

IssueCertificate API akan mengembalikan kesalahan jika Anda mencoba membuat CA denganpanjang jalur lebih besar atau sama dengan panjang jalur sertifikat CA yang diterbitkannya.

Untuk informasi selengkapnya tentang templat sertifikat, lihat Memahami templat sertifikat (p. 94).

Versi latest55


Mengelola siklus hidup CA

Mengotomatiskan penyiapan hierarki CA dengan AWSCloudFormationSetelah Anda menentukan desain untuk hierarki CA Anda, Anda dapat mengujinya dan memasukkannyake dalam produksi menggunakan templat AWS CloudFormation. Untuk contoh templat seperti itu, lihatMendeklarasikan Hirarki CA Privat di Panduan Pengguna AWS CloudFormation.

Mengelola siklus hidup CA privatSertifikat CA memiliki masa pakai tetap, atau masa berlaku. Saat sertifikat CA kedaluwarsa, semuasertifikat yang diterbitkan secara langsung atau tidak langsung oleh CA bawahan di bawahnya dalamhierarki CA menjadi tidak valid. Anda dapat menghindari kedaluwarsa sertifikat CA dengan merencanakanterlebih dahulu.

Memilih masa berlakuMasa berlaku sertifikat X.509 adalah bidang sertifikat dasar yang diperlukan. Menentukan rentang waktusaat menerbitkan CA yang disertifikasi yang menyatakan bahwa sertifikat dapat dipercaya, pembatasanpencabutan. (Sertifikat akar, yang ditandatangani sendiri, menyatakan masa berlakunya sendiri.)

ACM Private CA dan AWS Certificate Manager membantu konfigurasi periode validitas sertifikat yangtunduk pada batasan berikut:

• Sertifikat yang dikelola oleh ACM Private CA harus memiliki masa berlaku yang lebih pendek dariatau sama dengan masa berlaku CA yang menerbitkannya. Dengan kata lain, CA turunan dansertifikat entitas akhir tidak dapat hidup lebih lama dari sertifikat induknya. Mencoba menggunakanIssueCertificate API untuk menerbitkan sertifikat CA dengan masa berlaku lebih dari atau samadengan CA induk gagal.

• Sertifikat yang diterbitkan dan dikelola oleh AWS Certificate Manager (yang ACM menghasilkan kunciprivatnya) memiliki masa berlaku 13 bulan (395 hari). ACM mengelola proses perpanjangan untuksertifikat ini. Jika Anda menggunakan ACM Private CA untuk menerbitkan sertifikat secara langsung,Anda dapat memilih periode validitas apa pun.

Diagram berikut menunjukkan konfigurasi khas periode validitas nest. Sertifikat akar adalah yang palingberumur panjang; sertifikat entitas akhir relatif berumur pendek; dan CA bawahan berkisar antar ekstremini.

Saat Anda merencanakan hierarki CA, tentukan masa pakai yang optimal untuk sertifikat CA Anda. Bekerjamundur dari masa pakai yang diinginkan dari sertifikat entitas akhir yang ingin Anda terbitkan.

Versi latest56

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-acmpca-certificateauthority.html#aws-resource-acmpca-certificateauthority--examples


Mengelola suksesi CA

Sertifikat entitas akhir

Sertifikat entitas akhir harus memiliki masa berlaku yang sesuai dengan kasus penggunaan. Masa pakaiyang singkat meminimalkan paparan sertifikat jika kunci privatnya hilang atau dicuri. Namun, masapakai yang singkat berarti perpanjangan yang sering. Kegagalan untuk memperpanjang sertifikat yangkedaluwarsa dapat mengakibatkan waktu henti.

Penggunaan sertifikat entitas akhir yang terdistribusi juga dapat menimbulkan masalah logistik jikaada pelanggaran keamanan. Perencanaan Anda harus memperhitungkan perpanjangan dan distribusisertifikat, pencabutan sertifikat yang disusupi, dan seberapa cepat pencabutan menyebar ke klien yangmengandalkan sertifikat.

Masa berlaku default untuk sertifikat entitas akhir yang diterbitkan melalui ACM adalah 13 bulan (395 hari).Di ACM Private CA, Anda dapat menggunakan IssueCertificate API untuk menerapkan masa berlakuapa pun selama masa berlakunya kurang dari CA penerbit.

Sertifikat CA Bawahan

Sertifikat CA bawahan harus memiliki masa berlaku yang jauh lebih lama daripada sertifikat yang merekaterbitkan. Rentang yang baik untuk validitas sertifikat CA adalah dua hingga lima kali periode sertifikat CAturunan atau sertifikat entitas akhir yang diterbitkannya. Misalnya, anggap Anda memiliki hierarki CA duatingkat (CA akar dan satu CA bawahan). Jika Anda ingin menerbitkan sertifikat entitas akhir dengan masapakai satu tahun, Anda dapat mengkonfigurasi masa pakai CA penerbit bawahan menjadi tiga tahun. Iniadalah masa berlaku default untuk sertifikat CA bawahan di ACM Private CA. Sertifikat CA bawahan dapatdiubah tanpa mengganti sertifikat CA akar.

Sertifikat Akar

Perubahan sertifikat CA akar mempengaruhi seluruh PKI (infrastruktur kunci publik) dan mengharuskanAnda untuk memperbarui semua tergantung klien sistem operasi dan peramban penyimpanankepercayaan. Untuk meminimalkan dampak operasional, Anda harus memilih masa berlaku yang panjanguntuk sertifikat akar. Default ACM Private CA untuk sertifikat akar adalah sepuluh tahun.

Mengelola suksesi CAAnda memiliki dua cara untuk mengelola suksesi CA: Ganti CA lama, atau terbitkan ulang CA denganmasa berlaku baru.

Mengganti CA lamaUntuk mengganti CAN lama, Anda membuat CA baru dan menghubungkannya ke CA induk yang sama.Setelah itu, Anda menerbitkan sertifikat dari CA baru.

Sertifikat yang diterbitkan dari CA baru memiliki rantai CA baru. Setelah CA baru dibuat, Anda dapatmenonaktifkan CA lama untuk mencegahnya menerbitkan sertifikat baru. Saat dinonaktifkan, CAlama mendukung pencabutan sertifikat lama yang diterbitkan dari CA, dan terus menghasilkan daftarpencabutan sertifikat (CRL). Ketika sertifikat terakhir yang diterbitkan dari CA lama kedaluwarsa, Andadapat menghapus CA lama. Anda dapat membuat laporan audit untuk semua sertifikat yang diterbitkan dariCA untuk mengonfirmasi bahwa semua sertifikat yang diterbitkan telah kedaluwarsa. Jika CA lama memilikiCA bawahan, Anda juga harus menggantinya, karena CA bawahan kedaluwarsa pada saat yang samaatau sebelum CA induknya. Mulailah dengan mengganti CA tertinggi dalam hierarki yang perlu diganti.Kemudian buat CA bawahan pengganti yang baru berikutnya di setiap tingkat yang lebih rendah.

AWS merekomendasikan agar Anda menyertakan pengenal generasi CA dalam nama CA yang diperlukan.Sebagai contoh, menganggap bahwa Anda nama generasi pertama CA “Corporate Root CA”. Jika Andamembuat CA generasi kedua, beri nama “Corporate Root CA G2.” Konvensi penamaan sederhana inidapat membantu menghindari kebingungan ketika kedua CA belum kedaluwarsa.

Versi latest57


Mencabut CA

Metode suksesi CA ini lebih disukai karena memutar kunci privat CA. Memutar kunci privat adalah praktikterbaik untuk kunci CA. Frekuensi rotasi harus proporsional dengan frekuensi penggunaan kunci: CA yangmenerbitkan lebih banyak sertifikat harus dirotasi lebih sering.

Note

Sertifikat privat yang dikeluarkan melalui ACM tidak dapat diperpanjang jika Anda mengganti CA.Jika Anda menggunakan ACM untuk penerbitan dan perpanjangan, Anda harus menerbitkanulang sertifikat CA untuk memperpanjang masa pakai CA.

Mencabut CASaat Anda mencabut sertifikat CA, Anda secara efektif mencabut semua sertifikat yang diterbitkan olehCA. Informasi pencabutan didistribusikan ke klien melalui CRL. Klien akan berhenti mempercayai sertifikatyang diterbitkan oleh CA segera setelah menerima CRL yang diperbarui. Anda harus mencabut sertifikatCA hanya jika Anda ingin mencabut semua entitas akhir dan sertifikat CA secara efektif.

Ketahanan dalam AWS Certificate Manager PrivateCertificate Authority

Infrastruktur global AWS dibangun di sekitar Wilayah AWS dan Availability Zones. AWS Wilayah AWSmenyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung denganjaringan berlatensi rendah, throughput yang tinggi, dan sangat redundan. Dengan Availability Zone, Andadapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis mengalami failover antar zona tanpa gangguan. Availability Zone lebih tersedia, toleran kegagalan, dan dapat diskalakandibandingkan infrastruktur pusat data tunggal atau ganda tradisional.

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat AWSInfrastruktur Global.

Redundansi dan pemulihan bencanaPertimbangkan redundansi dan DR saat merencanakan hierarki CA Anda. ACM Private CA tersediadi beberapa Wilayah, yang memungkinkan Anda membuat CA yang berlebihan di beberapa Wilayah.Layanan ACM Private CA beroperasi dengan perjanjian tingkat layanan (SLA) ketersediaan 99,9%.Setidaknya ada dua pendekatan yang dapat Anda pertimbangkan untuk redundansi dan pemulihanbencana. Anda dapat mengonfigurasi redundansi di CA akar atau di CA bawahan tertinggi. Setiappendekatan memiliki pro dan kontra.

1. Anda dapat membuat dua CA akar di dua Wilayah AWS berbeda untuk redundansi dan pemulihanbencana. Dengan konfigurasi ini, setiap CA akar beroperasi secara independen di suatu Wilayah AWS,melindungi Anda jika terjadi bencana Wilayah tunggal. Namun, membuat CA akar yang berlebihanmemang meningkatkan kompleksitas operasional: Anda perlu mendistribusikan kedua sertifikat CA akarke penyimpanan tepercaya peramban dan sistem operasi di lingkungan Anda.

2. Anda juga dapat membuat dua CA bawahan redundan yang berantai ke CA akar yang sama. Manfaatdari pendekatan ini adalah Anda hanya perlu mendistribusikan satu sertifikat CA akar ke penyimpanankepercayaan di lingkungan Anda. Batasannya adalah Anda tidak memiliki CA akar yang berlebihan jikaterjadi bencana yang memengaruhi Wilayah AWS tempat CA akar Anda berada.

Versi latest58

http://aws.amazon.com/about-aws/global-infrastructure/


http://aws.amazon.com/certificate-manager/private-certificate-authority/sla/


Menyiapkan

Membuat dan mengelola CA privatDengan ACM Private CA, Anda dapat membuat Private Certificate Authority (CA) yang dihosting AWSuntuk penggunaan internal oleh organisasi Anda. Anda juga dapat mengikat daftar pencabutan sertifikat(CRL) untuk CA Anda. Sertifikat CA akar, sertifikat CA bawahan, dan CRL disimpan serta dikelola olehACM Private CA. Kunci privat untuk otoritas akar Anda disimpan dengan aman di AWS.

Note

Anda memiliki opsi untuk mengenkripsi CRL. Untuk informasi lebih lanjut, lihat Mengenkripsi CRLAnda (p. 64).

Anda dapat mengakses ACM Private CA menggunakan AWS Management Console, AWS CLI, dan APIACM Private CA. Topik berikut ini akan menunjukkan kepada Anda cara menggunakan konsol tersebut danCLI. Untuk mempelajari selengkapnya tentang API, lihat Referensi API AWS Certificate Manager PrivateCertificate Authority. Untuk sampel Java yang menunjukkan cara menggunakan API, lihat MenggunakanAPI ACM Private CA (contoh Java) (p. 126).

Topik• Menyiapkan ACM Private CA (p. 59)• Membuat dan mengkonfigurasi CA privat (p. 60)• Membuat dan menginstal sertifikat untuk CA privat (p. 70)• Mengontrol akses ke CA privat (p. 73)• Memperbarui CA privat Anda (p. 77)• Menghapus CA privat Anda (p. 82)• Memulihkan CA privat Anda (p. 83)

Menyiapkan ACM Private CASebelum menggunakan ACM Private CA, Anda mungkin perlu menyelesaikan beberapa tugas.

(Opsional) Selain itu, Anda harus menentukan apakah organisasi Anda lebih memilih untuk meng-hostkredensial CA akar privat on premise daripada dengan AWS. Dalam hal ini, Anda perlu menyiapkan danmengamankan PKI privat yang dikelola sendiri sebelum menggunakan ACM Private CA. Dalam skenarioini, Anda kemudian membuat CA bawahan di ACM Private CA didukung oleh CA induk di luar ACM PrivateCA. Untuk informasi selengkapnya, lihat Menggunakan Otoritas Akar di Luar ACM Private CA.

Daftar untuk AWSJika Anda belum menjadi pelanggan Amazon Web Services (AWS), Anda harus mendaftar agar dapatmenggunakan ACM Private CA. Akun Anda secara otomatis memiliki akses ke semua layanan yangtersedia, namun Anda hanya akan dikenakan biaya untuk layanan yang Anda gunakan. Juga, jika Andapelanggan AWS baru, beberapa layanan yang tersedia secara gratis selama periode yang terbatas. Untukinformasi selengkapnya, lihat Tingkat Gratis.AWS

Note

ACM Private CA tidak tersedia di tingkat gratis.

Versi latest59

https://docs.aws.amazon.com/acm-pca/latest/APIReference/


https://docs.aws.amazon.com/acm-pca/latest/userguide/PCACertInstall.html#InstallSubordinateExternal

http://aws.amazon.com/free/


Instal CLI (opsional)

Jika Anda tidak memiliki akun Akun AWS, selesaikan langkah berikut untuk membuatnya.

Untuk mendaftar ke Akun AWS

1. Terbuka https://portal.aws.amazon.com/billing/signup.2. Ikuti petunjuk secara daring.

Bagian dari prosedur pendaftaran adalah menerima panggilan telepon dan memasukkan kodeverifikasi di keypad telepon.

Instal AWS Command Line Interface (opsional)Jika Anda belum menginstal AWS CLI, tetapi ingin menggunakannya, ikuti petunjuk di AWS Command LineInterface. Dalam panduan ini, kami menganggap Anda telah mengkonfigurasi titik akhir, wilayah, dan detailautentikasi Anda, dan kami menghilangkan parameter ini dari perintah sampel.

Membuat dan mengkonfigurasi CA privatBagian ini menjelaskan bagaimana Anda membuat Private Certificate Authority (CA) dengan daftarpembatalan sertifikat opsional (CRL) menggunakan ACM Private CA. Anda dapat menggunakan prosedurini untuk membuat CA akar dan CA bawahan, sehingga menghasilkan hierarki hubungan kepercayaanyang dapat diaudit yang sesuai dengan kebutuhan organisasi Anda.

Untuk informasi tentang cara menggunakan CA untuk menandatangani sertifikat entitas akhir untukpengguna, perangkat, dan aplikasi, lihat Menerbitkan sertifikat entitas akhir privat (p. 86).

Note

Akun Anda akan dikenakan harga bulanan untuk setiap CA privat mulai sejak Anda membuatnya.

Topik• Struktur CRL (p. 60)• Kebijakan akses untuk CRL di Amazon S3 (p. 61)• Mengaktifkan fitur Blokir Akses Publik S3 (p. 63)• Mengenkripsi CRL Anda (p. 64)• Prosedur untuk membuat CA (konsol) (p. 66)• Prosedur untuk membuat CA (CLI) (p. 69)• Membuat CA dengan AWS CloudFormation (p. 70)

Struktur CRLSetiap CRL adalah file DER yang dikodekan. Untuk melihat file menggunakan OpenSSL, gunakan perintahseperti berikut:

$ openssl crl -inform DER -in path-to-crl-file -text -noout

CRL memiliki format sebagai berikut:

Certificate Revocation List (CRL):

Versi latest60

http://portal.aws.amazon.com/billing/signup



https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html


Kebijakan akses untuk CRL di Amazon S3

Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com Last Update: Feb 26 19:28:25 2018 GMT Next Update: Feb 26 20:28:25 2019 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65 X509v3 CRL Number: 1519676905984 Revoked Certificates: Serial Number: E8CBD2BEDB122329F97706BCFEC990F8 Revocation Date: Feb 26 20:00:36 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: F7D7A3FD88B82C6776483467BBF0B38C Revocation Date: Jan 30 21:21:31 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf: c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f: 9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f: 49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6: c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88: e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94: 62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80: 1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89: 2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a: 57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44: 53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7: 83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f: 97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94: 58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73: 5a:2c:88:85

Note

CRL hanya akan disimpan di Amazon S3 setelah sertifikat telah diterbitkan yang merujukpadanya. Sebelum itu, hanya akan ada file acm-pca-permission-test-key yang terlihat dibucket Amazon S3.

Kebijakan akses untuk CRL di Amazon S3Jika Anda berencana untuk membuat CRL, Anda perlu mempersiapkan bucket Amazon S3 sebagai tempatmenyimpannya. ACM Private CA secara otomatis memasukkan CRL ke dalam bucket Amazon S3 yangAnda tetapkan dan perbarui secara berkala. Untuk informasi lebih lanjut, lihat Membuat bucket?

Bucket S3 Anda harus diamankan dengan kebijakan izin terlampir. Kebijakan ini melindungi isi bucketagar tidak diakses oleh pengguna atau entitas keamanan layanan yang tidak sah. Selama prosedur konsoltersebut untuk membuat CA, Anda dapat memungkinkan ACM Private CA membuat bucket baru danmenerapkan kebijakan secara otomatis, atau Anda dapat menggunakan bucket yang sebelumnya telahAnda siapkan sendiri. Dalam hal ini, atau ketika Anda membuat CA menggunakan AWS CLI, Anda harusmelampirkan kebijakan secara manual. Untuk informasi selengkapnya, lihat Menambahkan kebijakanbucket menggunakan konsol Amazon S3

Kami menawarkan dua contoh kebijakan yang dapat Anda gunakan atau ubah untuk mengamankan bucketAmazon S3.

Versi latest61





Kebijakan akses untuk CRL di Amazon S3

Kebijakan 1 (Membatasi)

Kebijakan ini memberikan izin terbatas pada bucket S3 untuk entitas keamanan layanan ACM Private CA.Contoh ini membatasi dengan kedua akun AWS dan dengan ARN CA privat, tetapi juga dapat dikonfigurasiuntuk membatasi hanya satu atau yang lain. Izin Put memungkinkan ACM Private CA untuk menempatkanobjek dalam bucket. Izin Get memungkinkan objek dalam bucket agar diambil.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::bucket-name/*", "arn:aws:s3:::bucket-name" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"account", "aws:SourceArn":"arn:partition:acm-pca:region:account:certificate-authority/CA-ID" } } } ]}

Kebijakan 2 (Permisif)

Kebijakan ini memberikan Put dan Get izin pada bucket S3 ke entitas keamanan layanan ACM PrivateCA tanpa membatasi akses oleh CA atau pengguna. Izin Put memungkinkan ACM Private CA untukmenempatkan objek dalam bucket. Izin Get memungkinkan pengambilan objek dari dalam bucket.Kebijakan permisif cocok jika ANda ingin bucket agar tersedia untuk beberapa CA atau beberapapengguna.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::bucket-name/*", "arn:aws:s3:::bbucket-name" ] }

Versi latest62


Blokir Akses Publik S3

]}

Mengaktifkan fitur Blokir Akses Publik S3Bucket Amazon S3 yang baru dikonfigurasi secara default dengan fitur Blokir Akses Publik (BPA) yangaktif. Termasuk dalam Praktik terbaik keamanan S3, BPA adalah seperangkat kontrol akses yang dapatdigunakan pelanggan untuk menyempurnakan akses ke objek dalam bucket S3 mereka dan ke bucketsecara keseluruhan. Ketika BPA aktif dan dikonfigurasi dengan benar, hanya pengguna AWS yang sah danterautentikasi yang memiliki akses ke bucket beserta isinya.

AWS merekomendasikan penggunaan BPA pada semua bucket S3 untuk menghindari kebocoraninformasi sensitif terhadap musuh yang berpotensial. Namun, perencanaan tambahan diperlukan jikaklien PKI Anda mengambil CRL di internet publik (yaitu, saat sedang tidak masuk ke dalam akun AWS).Bagian ini menjelaskan cara mengkonfigurasi solusi PKI privat menggunakan Amazon CloudFront, jaringanpengiriman konten (CDN), untuk melayani CRL tanpa memerlukan akses klien terautentikasi ke bucket S3.

Note

Menggunakan CloudFront akan dikenakan biaya tambahan pada akun AWS Anda. Untukinformasi lebih lanjut, lihat Harga Amazon CloudFront.Jika Anda memilih untuk menyimpan CRL Anda dalam bucket S3 dengan BPA yang aktif, danAnda tidak menggunakan CloudFront, Anda harus membangun solusi CDN lain untuk memastikanbahwa klien PKI Anda memiliki akses ke CRL Anda.

Topik• Menyiapkan S3 (p. 63)• Menyiapkan CloudFront (p. 63)• Menyiapkan CA Anda (p. 64)

Menyiapkan S3Dalam S3, membuat bucket baru untuk CRL Anda, seperti biasa, lalu aktifkan BPA di sana.

Untuk mengkonfigurasi bucket S3 yang memblokir akses publik ke CRL

1. Buat bucket S3 baru menggunakan prosedur di Membuat bucket. Selama prosedur, pilih opsi Blokirsemua akses publik.

Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda.2. Saat bucket telah dibuat, pilih namanya dari daftar, navigasikan ke tab Izin, pilih Edit di bagian

Kepemilikan objek, dan pilih Pemilik bucket yang disukai.3. Selain itu, pada tab Izin, Tambakan kebijakan IAM ke bucket seperti yang dijelasksan dalam Kebijakan

akses untuk CRL di Amazon S3 (p. 61).

Menyiapkan CloudFrontBuat distribusi CloudFront yang akan memiliki akses ke bucket S3 privat, dan dapat menggunakan CRLuntuk membatalkan autentikasi klien.

Untuk mengkonfigurasi distribusi CloudFront untuk CRL

1. Buat distribusi CloudFront menggunakan prosedur di Membuat Distribusi dalam Panduan DeveloperAmazon CloudFront.

Versi latest63

https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html

http://aws.amazon.com/cloudfront/pricing/

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket-overview.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/access-control-block-public-access.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html


Mengenkripsi CRL Anda

Saat menyelesaikan prosedur, terapkan pengaturan berikut:

• Di Nama Domain Asal, pilih bucket S3 Anda.• Pilih Ya untuk Batasi Akses Bucket.• Pilih Buat Identitas Baru untuk Identitas Akses Asal.• Pilih Ya, Perbarui Kebijakan Bucket di bawah Berikan Izin Baca pada Bucket.

Note

Dalam prosedur ini, CloudFront memodifikasi kebijakan bucket guna mengizinkannya untukmengakses objek bucket. Pertimbangkan mengedit kebijakan ini untuk hanya mengizinkanakses ke objek di bawah folder crl.

2. Setelah distribusi dianalisis, cari nama domainnya di konsol CloudFront dan simpan untuk prosedurberikutnya.

Note

Jika bucket S3 Anda baru dibuat di Wilayah selain us-east-1, Anda mungkin mendapatkankesalahan pengalihan sementara HTTP 307 saat mengakses aplikasi yang dipublikasikanmelalui CloudFront. Mungkin diperlukan beberapa jam agar alamat bucket dapatmenyebarkan.

Menyiapkan CA AndaSaat mengonfigurasi CA baru Anda, sertakan alias ke distribusi CloudFront.

Untuk mengonfigurasi CA Anda dengan CNAME untuk CloudFront

• Buat CA Anda menggunakan Prosedur untuk membuat CA (CLI) (p. 69).

Saat Anda melakukan prosedurnya, file pencabutan revoke_config.txt harus menyertakanbaris berikut untuk menentukan objek CRL non-publik dan untuk menyediakan URL untuk titik akhirdistribusi dalam CloudFront:

"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL","CustomCname":"abcdef012345.cloudfront.net"

Setelah itu, saat Anda menerbitkan sertifikat dengan CA ini, sertifikat akan berisi blok seperti berikut:

X509v3 CRL Distribution Points: Full Name:URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl

Note

Jika Anda memiliki sertifikat yang lebih lama yang diterbitkan oleh CA ini, sertifikat tersebut akandapat mengakses CRL.

Mengenkripsi CRL AndaAnda secara opsional dapat mengonfigurasi enkripsi pada bucket Amazon S3 yang berisi CRL Anda. ACMPrivate CA mendukung dua mode enkripsi untuk aset di S3:

• Enkripsi sisi server otomatis dengan kunci AES-256 terkelola Amazon S3.

Versi latest64



Mengenkripsi CRL Anda

• Enkripsi terkelola pelanggan menggunakan AWS Key Management Service dan kunci utama pelanggan(CMK) yang dikonfigurasi ke spesifikasi Anda.

Note

ACM Private CA tidak mendukung penggunaan CMK default yang dihasilkan secara otomatis olehS3.

Prosedur berikut menjelaskan cara menyiapkan setiap opsi enkripsi.

Untuk mengkonfigurasi enkripsi otomatis

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi sisi server S3.

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Di tabel Bucket, pilih bucket yang akan menyimpan aset ACM Private CA Anda.3. Pada halaman bucket Anda, pilih tab Properti.4. Pilih kartu Enkripsi default.5. Pilih Aktifkan.6. Pilih Kunci Amazon S3 (SSE-S3).7. Pilih Simpan Perubahan.

Untuk mengkonfigurasi enkripsi kustom

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi menggunakan kunci kustom.

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Di tabel Bucket, pilih bucket yang akan menyimpan aset ACM Private CA Anda.3. Pada halaman untuk bucket Anda, pilih tab Properti.4. Pilih kartu Enkripsi default.5. Pilih Aktifkan.6. Pilih Kunci AWS Key Management Service (SSE-KMS).7. Pilih antara Pilih dari kunci AWS KMS Anda atau Masukkan kunci AWS KMS ARN.8. Tetapkan Kunci Bucket ke Nonaktif.9. Pilih Simpan Perubahan.10. (Opsional) Jika Anda belum memiliki AWS KMS CMK, buat menggunakan perintah AWS CLI create-

key berikut:

$ aws kms create-key

Outputnya berisi ID kunci dan Amazon Resource Name (ARN) CMK. Berikut ini adalah contoh output:

{ "KeyMetadata": { "KeyId": "01234567-89ab-cdef-0123-456789abcdef", "Description": "", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1478910250.94,

Versi latest65






Prosedur untuk membuat CA (konsol)

"Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef", "AWSAccountId": "123456789012" }}

11. Menggunakan langkah-langkah berikut, Anda memberikan entitas keamanan layanan ACM Private CAizin untuk menggunakan CMK. Secara default, semua AWS KMS CMK bersifat privat; hanya pemiliksumber daya yang dapat menggunakan CMK untuk mengenkripsi dan dekripsi data. Namun, pemiliksumber daya dapat memberikan izin untuk mengakses CMK kepada pengguna dan sumber daya lain.Entitas keamanan layanan ini harus berada di wilayah yang sama dengan tempat CMK disimpan.

a. Pertama, simpan kebijakan default untuk CMK sebagai policy.json menggunakan perintahget-key-policy berikut:

$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

b. Buka file policy.json di editor teks dan tambahkan pernyataan berikut:

{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::bucket-name/acm-pca-permission-test-key", "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket-name/audit-report/*", "arn:aws:s3:::bucket-name/crl/*" ] } }}

c. Terakhir, tambahkan kebijakan yang sudah diperbarui menggunakan perintah put-key-policyberikut:

$ aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Prosedur untuk membuat CA (konsol)Anda dapat membuat CA menggunakan konsol AWS, porsi ACM Private CA AWS CLI, atau AWSCloudFormation.

Untuk membuat CA privat menggunakan konsol AWS

1. Masuk ke AWS Anda dan buka konsol ACM Private CA di https://console.aws.amazon.com/acm-pca/home. Halaman pengantar akan muncul jika konsol Anda terbuka untuk wilayah tempatAnda tidak memiliki CA. Pilih Memulai di bawah Private Certificate Authority. Pilih Memulai lagi.

Versi latest66

https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html

https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html





Jika konsol tersebut terbuka ke wilayah tempat Anda sudah memiliki satu atau lebih CA, halamanpengantar tidak akan ditampilkan. Pilih CAs privat, lalu pilih Buat CA.

2. Pada halaman Pilih jenis otoritas sertifikasi (CA), pilih jenis Private Certificate Authority yang inginAnda buat.

• Memilih CA akar akan membangun hierarki CA baru. CA ini didukung dengan sertifikat yangditandatangani sendiri. Sertifikat ini berfungsi sebagai otoritas penandatanganan terakhir untuk CAlain dan sertifikat entitas akhir dalam hierarki tersebut.

• Memilih CA bawahan akan membuat CA yang harus ditanda tangani oleh CA induk di atasnyadalam hierarki tersebut. CA bawahan biasanya digunakan untuk membuat CA bawahan lainnya,atau untuk mengeluarkan sertifikat entitas akhir untuk pengguna, komputer, dan aplikasi.

Note

ACM Private CA menyediakan proses penandatanganan otomatis ketika CA induk dariCA bawahan Anda juga di-host oleh ACM Private CA. Anda hanya perlu memilih CA indukuntuk menggunakannya.Jika CA bawahan Anda akan ditandatangani oleh otoritas penandatanganan eksternal,ACM Private CA menyediakan Anda dengan permintaan penandatanganan sertifikat (CSR)yang Anda unduh dan gunakan untuk memperoleh sertifikat CA yang ditandatangani. Untukinformasi lebih lanjut, lihat Jika Anda menginstal sertifikat CA bawahan yang ditandatanganioleh CA induk eksternal (p. 72).

Setelah memilih jenis CA, pilih Berikutnya.3. Pada Konfigurasikan nama subjek otoritas sertifikasi (CA), konfigurasikan nama subjek CA privat

Anda. Anda harus memasukkan minimal dalah satu dari nilai berikut:

• Organisasi (O)• Unit Organisasi (OU)• Nama Negara (C)• Nama negara bagian atau provinsi• Nama lokal• Nama Umum (CN)

Karena sertifikat dukungan ditandatangani sendiri, informasi subjek yang Anda berikan untuk CA privatmungkin lebih jarang dari yang akan diisi CA publik. Untuk informasi selanjutnya tentang setiap nilaiyang melengkapi nama umum subjek, lihat Nama Khusus X.500 (p. 198).

Setelah selesai, pilih Berikutnya.4. Pada halaman Konfigurasikan jenis kunci otoritas sertifikasi (CA), pilih algoritme kunci dan ukuran

bit kunci. Nilai default adalah algoritme RSA dengan panjang kunci 2048 bit. Jika memperluas opsiLanjutan, Anda dapat memilih dari algoritme berikut:

• RSA 2048• RSA 4096• ECDSA P256• ECDSA P384

Buat pilihan, lalu pilih Berikutnya.5. Pada halaman Konfigurasi pembatalan sertifikat, Anda memiliki opsi untuk membuat daftar pencabutan

sertifikat (CRL) yang dikelola oleh ACM Private CA. Klien seperti CRL kueri browser web untukmenentukan apakah entitas akhir atau sertifikat CA bawahan dapat dipercaya. Untuk informasi lebihlanjut, lihat Mencabut sertifikat privat (p. 92).

Versi latest67



Jika Anda telah mengasosiasikan CRL dengan CA, ACM Private CA akan menyertakan ekstensi CRLDistribution Points dalam sertifikat yang diterbitkan oleh CA. Esktensi ini memberikan URL ke CRL,sehingga perangkat klien dapat memeriksa status pencabutan sertifikat.

Untuk membuat CRL, selesaikan langkah-langkah berikut:

1. Pilih Aktifkan distribusi CRL.2. Untuk membuat bucket Amazon S3 baru untuk entri CRL Anda, pilih Ya untuk opsi Buat bucket S3

baru dan ketik nama bucket yang unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak,pilih Tidak, lalu pilih bucket yang sudah ada dari daftar.

Jika Anda memilih Ya, ACM Private CA akan membuat dan melampirkan kebijakan akses yangdiperlukan ke bucket Anda. Jika Anda memilih Tidak, Anda harus melampirkan kebijakan ke bucketAnda sebelum dapat mulai membuat CRL. Gunakan salah satu pola kebijakan yang dijelaskandalam Kebijakan akses untuk CRL di Amazon S3 (p. 61). Untuk informasi tentang melampirkankebijakan bucket, lihat Bagaimana Cara Menambahkan Kebijakan Bucket S3?

Note

Ketika Anda menggunakan konsol ACM Private CA, upaya untuk membuat CA akan gagaljika syarat berikut berlaku:• Anda menerapkan pengaturan Blokir Akses Publik pada bucket S3 atau akun Anda.• Anda meminta ACM Private CA untuk membuat bucket S3 secara otomatis.Dalam situasi ini, konsol tersebut mencoba, secara default, untuk membuat bucket diaksespublik, dan S3 menolak tindakan ini. Periksa pengaturan Amazon S3 Anda jika hal initerjadi. Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan AmazonS3.

3. Perluas Lanjutan untuk opsi konfigurasi tambahan.• Tambahkan Nama CRL Kustom untuk membuat alias untuk bucket Amazon S3. Nama ini ada

dalam sertifikat yang diterbitkan oleh CA di ekstensi “CRL Distribution Points” yang ditentukanoleh RFC 5280.

• Ketik jumlah hari CRL Anda akan tetap valid. Nilai default-nya adalah 7 hari. Untuk CRLonline, masa berlaku biasanya selama dua hnigga tujuh hari. ACM Private CA mencoba untukmeregenerasi CRL pada titik tengah periode tertentu.

Pilih Selanjutnya.6. Pada halaman Tambahkan tanda, Anda dapat menandai CA Anda. Tanda adalah pasangan nilai/kunci

yang berlaku sebagai metadata untuk mengidentifikasi dan mengatur sumber daya AWS. Untuk daftarparameter tanda ag ACM Private CA dan petunjuk tentang cara menambahkan tanda ke CA setelahpembuatan, lihat Menambahkan tanda ke CA privat Anda (p. 81).

Pilih Selanjutnya.7. Mengonfigurasi izin CA

Anda dapat mendelegasikan izin perpanjangan untuk entitas keamanan layanan ACM. ACMhanya dapat memperbarui sertifikat entitas akhir privat secara otomatis yang dibuat oleh CA ini,jika izin ini diberikan. Anda dapat menetapkan izin perpanjangan kapan saja dengan perintah APICreatePermission ACM Private CA atau CLI create-permission.

Dafault-nya adalah untuk mengaktifkan izin ini.

Pilih Selanjutnya.8. Pada halaman Tinjau dan buat, pastikan bahwa konfigurasi Anda sudah benar. Jika Anda membuat

CA di Wilayah ap-northeast-3, centang kotak untuk mengetahui bahwa standar keamananVersi latest

68

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html#s3-policies

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html#s3-policies


https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html


https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html


Prosedur untuk membuat CA (CLI)

penyimpanan kunci adalah FIPS 140-2 Tingkat 2 atau yang lebih tinggi. Dalam semua kasus, centangkotak untuk mengetahui informasi harga. Terakhir, pilih Konfirmasi dan buat.

Jika Anda ingin terus membuat dan menginstal sertifikat CA, pilih Memulai dalam kotak dialog Berhasildan ikuti instruksi di Membuat dan menginstal sertifikat untuk CA privat (p. 70). Jika tidak, pilih Andajuga dapat menyelesaikannya nanti, yang akan membawa Anda ke daftar CA Privat Anda.

Prosedur untuk membuat CA (CLI)Gunakan perintah create-certificate-authority untuk membuat CA privat. Anda harus menentukankonfigurasi CA, konfigurasi pencabutan jika Anda ingin menggunakan CRL, dan jenis CA. Informasi ini adadalam dua file yang Anda masukkan sebagai argumen untuk perintah. Atau, Anda juga dapat memasukkantanda dan token idempotensi.

Jika mengkonfigurasi CRL, Anda harus membuat bucket Amazon S3 aman yang siap digunakan sebelumAnda menerbitkan perintah create-certificate-authority. Untuk informasi lebih lanjut, lihat Kebijakan aksesuntuk CRL di Amazon S3 (p. 61).

File konfigurasi CA menentukan informasi berikut:

• Nama algoritme• Ukuran kunci yang akan digunakan untuk membuat kunci privat CA• Jenis algoritme penandatanganan yang CA gunakan untuk menandatangan• Informasi subjek X.500

File konfigurasi CRL menentukan informasi berikut:

• Masa kedaluwarsa CRL dalam hari (masa berlaku CRL)• Bucket Amazon S3 yang berisi CRL• (Opsional) Nilai S3ObjectAcl yang menentukan apakah CRL dapat diakses secara publik. Dalam

contoh yang disajikan di sini, akses publik diblokir. Untuk informasi lebih lanjut, lihat Mengaktifkan fiturBlokir Akses Publik S3 (p. 63).

• (Opsional) Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA. JikaCRL tidak dapat diakses publik, ini akan diperlukan untuk menunjuk ke mekanisme distribusi sepertiAmazon CloudFront.

Ubah file contoh berikut seperlunya untuk konfigurasi dan pencabutan CA Anda, lalu jalankan perintah.

File: ca_config.json

{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"www.example.com" }}

File: revoke_config.json

Versi latest69

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_S3ObjectAcl.html


Membuat CA dengan AWS CloudFormation

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "CustomCname":"some_name.crl", "S3BucketName":"your-bucket-name", "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL", "CustomCname":"abcdef012345.cloudfront.net" }}

Perintah:

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.json \ --revocation-configuration file://revoke_config.json \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA

Jika berhasil, perintah ini akan menghasilkan Amazon Resource Name (ARN) dari CA baru.

{ "CertificateAuthorityArn":"arn:aws:acm-pca:region:account: certificate-authority/CA_ID"}

Membuat CA dengan AWS CloudFormationUntuk informasi tentang membuat CA privat menggunakan AWS CloudFormation, lihat Referensi JenisSumber Daya ACM PCA dalam Panduan Pengguna AWS CloudFormation.

Membuat dan menginstal sertifikat untuk CA privatSelesaikan prosedur berikut untuk membuat dan menginstal sertifikat CA privat Anda. CA Anda kemudianakan siap digunakan.

ACM Private CA mendukung tiga skenario untuk penginstalan sertifikat CA:

• Menginstal sertifikat untuk CA akar yang di-host oleh ACM Private CA• Menginstal sertifikat CA bawahan yang otoritas induknya di-host oleh ACM Private CA• Menginstal sertifikat CA bawahan yang otoritas induknya di-host secara eksternal

Bagian berikut menjelaskan prosedur untuk setiap skenario. Prosedur konsol dimulai pada halaman konsol,CA privat.

Jika Anda menginstal sertifikat CA akarUntuk membuat dan menginstal sertifikat CA akar privat menggunakan konsol

1. Jika sebelumnya Anda membuat CA akan dan memilih Memulai dari jendela Berhasil, Anda dibawalangsung ke wizard Instal sertifikat CA akar. Jika Anda memilih untuk menunda instalasi sesrtifikat,Anda dapat membuka konsol ACM Private CA di https://console.aws.amazon.com/acm-pca/homedan memulai instalasi dengan memilih CA akar dengan status Sertifikat Tertunda atau Aktif, memilihTindakan, dan terakhir memilih Instal Sertifikat CA. Ini akan membuka wizard Instal sertifikat CA.

Versi latest70

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_ACMPCA.html




Jika Anda menginstal sertifikat CAbawahan yang di-host oleh ACM Private CA

2. Di bagian Tentukan parameter sertifikat CA root, tentukan parameter sertifikat berikut:

• Validitas — Dalam tahun, bulan, atau hari, ini menentukan kapan sertifikat CA akan kedaluwarsa.Masa berlaku ACM Private CA default untuk sertifikat CA akar adalah 10 tahun.

• Algoritme tanda tangan — Ini menentukan algoritme penandatanganan yang akan digunakan saatCA akar mengeluarkan sertifikat baru.

Pilih Selanjutnya.3. Pada halaman Tinjau, buat, dan instal sertifikat CA akar, pastikan bahwa konfigurasinya benar dan

pilih Konfirmasi dan instal. ACM Private CA mengekspor CSR untuk CA Anda, menerbitkan sertifikatCA akar yang ditandatangani sendiri menggunakan CA dan akar CA templat Anda, lalu mengimporsertifikat CA akar yang ditandatangani sendiri.

Anda harus kembali ke halaman daftar CA Privat, yang menampilkan status instalasi (berhasil ataugagal) di bagian atas. Jika instalasi berhasil, CA akar yang baru selesai akan menampilkan status Aktifdalam daftar.

Untuk membuat dan menginstal sertifikat untuk CA akar privat Anda menggunakan AWS CLI.

1. Buat sertifikat akar.

$ aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=365,Type=DAYS

2. Ambil sertifikat akar.

$ aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \ --output text > cert.pem

3. Impir sertifikat akar untuk menginstalnya pada CA.

$ aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --certificate file://cert.pem

Jika Anda menginstal sertifikat CA bawahan yang di-host oleh ACM Private CAUntuk membuat dan menginstal sertifikat untuk CA bawahan yang di-host ACM Private CA

1. Jika Anda sebelumnya membuat CA bawahan dan memilh Memulai dari jendela Berhasil, Andadibawa langsung ke konsol Instal sertifikat CA bawahan. Jika Anda menunda instalasi sertifikat, Andadapat membuka konsol ACM Private CA console di https://console.aws.amazon.com/acm-pca/homedan memulai instalasi dengan memilih CA bawahan dengan status Sertifikat Tertunda atau Aktif,

Versi latest71



Jika Anda menginstal sertifikat CA bawahanyang ditandatangani oleh CA induk eksternal

memilih Tindakan, dan terakhir memilih Instal sertifikat CA. Tindakan ini akan membuka wizard Instalsertifikat CA bawahan.

2. Pada halaman CA privat, CA yang ada dalam akun Anda ditampilkan bersamaan dengan jenis daninformasi statusnya. Jika Ca dipilih yang memiliki status Sertifikat Tertunda, kotak centang Tindakandiperlukan menampilkan dan menawarkan tautan untuk memulai instalasi sertifikat.

Pilih Instal sertifikat CA.3. Pada halaman Instal sertifikat CA bawahan, pilih opsi berikut:

• ACM Private CA— Tindakan ini menginstal sertifikat yang dikelola oleh ACM Private CA.

Pilih Selanjutnya.4. Jika ACM Private CA: Di bagian Pilih ACM Private CA induk, pilih CA tersedia dari daftar CA privat

induk.5. Di bagian Tentukan parameter sertifikat CA bawahan, dapat menentukan parameter sertifikat berikut:

• Validitas — Dalam tahun, bulan, atau hari, ini menentukan kapan sertifikat CA bawahan akankedaluwarsa.

Note

Tanggal kedaluwarsa sertifikat CA bawahan tidak boleh lebih lama dari tanggalkedaluwarsa sertifikat CA induk.

• Algoritme tanda tangan — Ini menentukan algoritme penandatanganan yang akan digunakan saatCA bawahan mengeluarkan sertifikat baru. Hanya algoritme yang kompatibel dengan sertifikat CAinduk yang ditawarkan sebagai opsi.

• Panjang jalur — Ini menentukan jumlah lapisan kepercayaan yang dapat ditambahkan oleh CAbawahan saat menandatangani sertifikat baru. Panjang jalur nol (default) berarti hanya sertifikatentitas akhir dan bukan sertifikat CA yang dapat dibuat. Panjang jalur satu atau lebih berarti bahwaCA bawahan dapat mengeluarkan sertifikat untuk membuat CA tambahan di bawahnya.

• Templat ARN — ARN dari templat konfigurasi untuk sertifikat CA ini. Templat berubah jika Andamengubah Panjang jalur yang ditentukan. Jika Anda membuat sertifikat menggunakan perintahCLI issue-certificate atau tindakan API IssueCertificate, Anda harus menentukan ARN secaramanual. Untuk informasi tentang templat sertifikat CA yang tersedia, lihat Memahami templatsertifikat (p. 94).

Pilih Selanjutnya.6. Pada halaman Tinjau dan hasilkan, pastikan bahwa konfigurasi Anda sudah benar dan pilih Hasilkan.

ACM Private CA mengekspor CSR untuk CA Anda, menerbitkan sertifikat CA dari CA induk dantemplat yang Anda pilih, dan mengimpor sertifikat CA.

Jika Anda menginstal sertifikat CA bawahan yangditandatangani oleh CA induk eksternalSetelah Anda membuat CA privat bawahan seperti yang dijelaskan dalam Prosedur untuk membuat CA(konsol) (p. 66) atau Prosedur untuk membuat CA (CLI) (p. 69), Anda dapat mengaktifkannyadengan menginstal sertifikat CA yang ditandatangani oleh otoritas penandatanganan eksternal.Penandatanganan sertifikat CA bawahan Anda dengan CA eksternal mengharuskan Anda pertama kalimengatur otoritas penandatanganan eksternal, atau mengatur penggunaan salah satunya.

Versi latest72

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html



Mengendalikan akses

Note

Prosedur untuk membuat atau memperoleh CA eksternal tidak termasuk dalam cakupan panduanini.

Setelah Anda memiliki CA bawahan dan CA induk eksternal, Anda harus menyelesaikan tugas-tugasberikut:

1. Mendapatkan permintaan penandatanganan sertifikat (CSR) dari ACM Private CA.2. Kirimkan CSR ke otoritas penandatanganan eksternal Anda dan dapatkan sertifikat CA yang

ditandatangani bersamaan dengan sertifikat rantai apa pun.3. Impor CA sertifikat dan kaitkan ke ACM Private CA untuk mengaktifkan CA bawahan Anda.

Untuk prosedur terperinci, lihat Penandatanganan sertifikat CA privat dengan CA eksternal (p. 178).

Mengontrol akses ke CA privatCA privat dari ACM Private CA dapat digunakan untuk menandatangani sertifikat oleh pengguna manapun dengan izin yang diperlukan pada CA. Pemilik CA dapat menerbitkan sertifikat atau mendelegasikanizin yang diperlukan untuk menerbitkan sertifikat kepada pengguna (IAM) AWS Identity and AccessManagement yang berada di akun AWS yang sama. Pengguna yang berada di akun AWS yang berbedajuga dapat mengeluarkan sertifikat jika diotorisasi oleh pemilik CA melalui kebijakan berbasis sumberdaya (p. 17).

Pengguna yang sah, baik itu akun tunggal maupun lintas akun, memiliki pilihan ACM Private CA atau AWSCertificate Manager saat menerbitkan sertifikat. Sertifikat yang diterbitkan dengan menggunakan perintahAPI IssueCertificate atau CLI issue-certificate ACM Private CA tidak terkelola, memerlukan instalasi manualpada perangkat target dan perpanjangan manual saat kedaluwarsa. Sertifikat yang diterbitkan denganmenggunakan konsol ACM, ACM RequestCertificate API, atau perintah CLI request-certificate dikelola,memungkinkan mereka untuk diinstal dengan mudah di layanan yang terintegrasi dengan ACM. Jikaadministrator CA mengizinkannya dan akun penerbit menyediakan peran tertaut layanan untuk ACM,sertifikat terkelola diperbarui secara otomatis saat kedaluwarsa.

Membuat izin akun tunggal untuk pengguna IAMKetika administrator CA (yaitu, pemilik CA) dan penerbit sertifikat berada dalam satu AWS akun, praktikterbaik adalah memisahkan peran penerbit dan administrator dengan membuat pengguna (IAM) AWSIdentity and Access Management dengan izin terbatas. Untuk informasi tentang menggunakan IAMdengan ACM Private CA, bersamaan dengan izin contoh, lihat Memahami sumber daya, kepemilikan, dankebijakan izin (p. 8).

Kasus Akun tunggal 1: Menerbitkan sertifikat yang tidak terkelola

Dalam kasus ini, pemilik akun membuat CA privat, lalu membuat pengguna IAM dengan izin untukmenerbitkan sertifikat yang ditandatangani oleh CA privat. Pengguna IAM menerbitkan sertifikatmenggunakan ACM Private CA API IssueCertificate.

Sertifikat yang diterbitkan dengan cara ini tidak dikelola, yang berarti bahwa administrator harusmengekspornya dan menginstalnya di perangkat yang akan digunakan. Sertifikat tersebut juga

Versi latest73



https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html

https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html

https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html


Membuat izin akun tunggal untuk pengguna IAM

harus diperbarui secara manual saat kedaluwarsa. Menerbitkan sertifikat menggunakan API inimemerlukan permintaan penandatanganan sertifikat (CSR) dan pasangan kunci yang dihasilkan diluar ACM Private CA oleh OpenSSL atau program yang mirip. Untuk informasi selengkapnya, lihatIssueCertificatedokumentasi https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_IssueCertificate.html.

Kasus Akun tunggal 2: Menerbitkan sertifikat terkelola melalui ACM

Kasus kedua ini melibatkan API dari ACM dan PCA. Pemilik akun membuat CA privat dan penggunaIAM seperti sebelumnya, lalu memberikan izin (p. 68) untuk entitas keamanan layanan ACM untukmemperbarui sertifikat mana pun secara otomatis oleh CA ini. Pengguna IAM kembali menerbitkansertifikat, tetapi kali ini menggunakan ACM RequestCertificate API, yang menangani CSR danpembuatan kunci. Saat sertifikat kedaluwarsa, ACM mengotomatiskan alur kerja perpanjangan.

Pemilik akun memiliki opsi untuk memberikan izin perpanjangan melalui konsol manajemen selama atausetelah pembuatan CA, atau menggunakan API CreatePermission PCA. Sertifikat terkelola yang dibuatdari alur kerja ini tersedia untuk digunakan dengan layanan AWS yang terintegrasi dengan ACM.

Bagian berikut berisi prosedur untuk memberikan izin perpanjangan.

Menetapkan izin perpanjangan sertifikat untuk ACMDengan perpanjangan terkelola di AWS Certificate Manager (ACM), Anda dapat mengotomatisasi prosespembaruan sertifikat untuk sertifikat publik dan privat. Agar ACM secara otomatis memperbarui sertifikatyang dihasilkan oleh CA privat, entitas keamanan layanan ACM harus diberikan semua kemungkinan izinoleh CA itu sendiri. Jika izin perpanjangan ini tidak tersedia untuk ACM, pemilik CA (atau perwakilan yangsah) harus menerbitkan ulang secara manual setiap sertifikat privat saat kedaluwarsa.

Important

Prosedur ini untuk menetapkan izin perpanjangan berlaku hanya ketika pemilik CA dan penerbitsertifikat berada di akun AWS yang sama. Untuk skenario lintas akun, lihat Lampirkan kebijakanuntuk akses lintas akun (p. 75).

Izin perpanjangan dapat didelegasikan selama pembuatan CA privat (p. 60) atau diubah kapan sajasetelah selama CA berada di negara bagian ACTIVE.

Versi latest74

https://www.openssl.org/



https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html


Lampirkan kebijakan untuk akses lintas akun

Anda dapat mengelola izin CA privat dari Konsol ACM Private CA, AWS Command Line Interface(AWSCLI), atau API ACM Private CA:

Untuk menetapkan izin CA privat untuk ACM (konsol)


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Pilih tab Izin.5. Pilih Otorisasi ACM untuk menggunakan CA ini untuk perpanjangan.6. Pilih Simpan.

Untuk mengelola izin ACM di ACM Private CA (AWS CLI)

Gunakan perintah create-permission untuk menentapkan izin ke ACM. Anda harus menetapkan izin yangdiperlukan (IssueCertificate, GetCertificate, dan ListPermissions) agar ACM otomatismemperpanjang sertifikat Anda.

$ aws acm-pca create-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --actions IssueCertificate GetCertificate ListPermissions \ --principal acm.amazonaws.com

Gunakan perintah list-permissions untuk membuat daftar izin yang didelegasikan oleh CA.

$ aws acm-pca list-permissions \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

Gunakan perintah delete-permission untuk mencabut izin yang ditetapkan oleh CA ke entitas keamananlayanan AWS.

$ aws acm-pca delete-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --principal acm.amazonaws.com

Lampirkan kebijakan untuk akses lintas akunSaat administrator CA dan penerbit sertifikat berada d akun AWS yang berbeda, administrator CA harusberbagi akses CA. Hal ini dilakukan dengan melampirkan kebijakan berbasis sumber daya ke CA.Kebijakan ini memberikan izin penerbitan untuk entitas keamanan tertentu, yang mungkin menjadi pemilikakun AWS, pengguna IAM, ID AWS Organizations, atau ID unit organisasi.

Administrator CA dapat melampirkan dan mengelola kebijakan dengan cara berikut:

• Di konsol manajemen, gunakan AWS Resource Access Manager (RAM), yang merupakan metodestandar untuk berbagi AWS sumber daya di seluruh akun. Ketika Anda berbagi sumber daya CA di AWSRAM dengan entitas keamanan di akun lain, kebijakan berbasis sumber daya yang diperlukan akanterlampir di CA secara otomatis. Untuk informasi lebih lanjut tentang RAM, lihat Panduan PenggunaAWS RAM.

• Secara terprogram, menggunakan API PCA PutPolicy, GetPolicy, dan DeletePolicy.

Versi latest75

https://console.aws.amazon.com/acm-pca






https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html







Lampirkan kebijakan untuk akses lintas akun

• Secara manual, menggunakan perintah PCA put-policy, get-policy, dan delete-kebijakan di AWS CLI.

Hanya metode konsol yang memerlukan akses RAM.

Kasus Lintas Akun 1: Menerbitkan sertifikat terkelola menggunakan konsol tersebut

Dalam kasus ini, administrator CA menggunakan RAM untuk berbagi akses CA dengan AWS yang lain,memungkinkan akun tersebut untuk mengeluarkan sertifikat ACM terkelola. Diagram ini menunjukkanbahwa RAM dapat berbagi CA langsung dengan akun, atau tidak langsung melalui ID AWS Organizationstempat akun menjadi anggota.

Setelah RAM berbagi sumber daya melalui AWS Organizations, entitas keamanan penerima harusmenerima bagian untuk itu untuk mengambil efek. Penerima dapat mengkonfigurasi AWS Organizationsuntuk menerima berbagi yang ditawarkan secara otomatis.

Note

Akun penerima bertanggung jawab untuk mengkonfigurasi perpanjangan otomatis di ACM.Biasanya, saat pertama kali CA bersama digunakan, ACM menginstal peran tertaut layanan yangmemungkinkannya melakukan panggilan sertifikat tanpa pengawasan di ACM Private CA. Jika inigagal (biasanya karena izin hilang), sertifikat dari CA tidak akan memperbarui secara otomatis,dan hanya pengguna ACM yang dapat menyelesaikan masalah tersebut, bukan administrator CA.Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan (SLR) dengan ACM.

Kasus Lintas Akun 2: Menerbitkan sertifikat terkelola dan tidak terkelola menggunakan API/CLI

Kasus kedua ini menunjukkan opsi pembagian dan penerbitan yang dapat dilakukan menggunakanAWS Certificate Manager dan API ACM Private CA. Semua operasi ini juga dapat dilakukan denganmenggunakan perintah AWS CLI yang sesuai.

Versi latest76

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html



Memperbarui CA

Karena API tersebut sedang digunakan lagnsung dalam contoh ini, penerbit sertifikat memiliki pilihan duaAPI untuk menerbitkan sertifikat. Tindakan API PCA IssueCertificate menghasilkan sertifikat tidakterkelola yang tidak akan diperpanjang secara otomatis dan harus diekspor dan diinstal secara manual.Tindakan ACM API RequestCertificate menghasilkan sertifikat terkelola yang dengan mudah dapat diinstalpada layanan terintegrasi ACM dan memperpanjang secara otomatis.

Note

Akun penerima bertanggung jawab untuk mengkonfigurasi perpanjangan otomatis di ACM.Biasanya, saat pertama kali CA bersama digunakan, ACM menginstal peran tertaut layanan yangmemungkinkannya melakukan panggilan sertifikat tanpa pengawasan di ACM Private CA. Jika inigagal (biasanya karena izin hilang), sertifikat dari CA tidak akan memperbarui secara otomatis,dan hanya pengguna ACM yang dapat menyelesaikan masalah tersebut, bukan administrator CA.Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan (SLR) dengan ACM.

Memperbarui CA privat AndaSetelah membuat CA privat, Anda dapat memperbarui status atau konfigurasi pencabutannya.

Memperbarui status CAStatus CA dikelola oleh hasil ACM Private CA dari tindakan pengguna atau, dalam beberapa kasus,dari tindakan layanan, seperti ketika CA kedaluwarsa. Opsi status yang tersedia untuk CA administratorbervariasi, bergantung pada status CA saat ini.

ACM Private CA dapat melaporkan nilai status berikut:

• CREATING – ACM Private CA sedang membuat Private Certificate Authority Anda.• PENDING_CERTIFICATE – CA telah dibuat dan kini memerlukan sertifikat untuk beroperasi. Anda

harus menggunakan yang dihosting ACM Private CA atau akar lokal atau CA bawahan Anda untuk

Versi latest77




Memperbarui status CA

menandatangani CSR CA privat Anda, lalu mengimpornya ke ACM Private CA. Untuk informasi lebihlanjut, lihat Membuat dan menginstal sertifikat untuk CA privat (p. 70).

• ACTIVE – CA privat Anda aktif dan dapat digunakan untuk menandatangani dan menerbitkan sertifikat.• DISABLED – CA yang dinonaktifkan tidak dapat mengeluarkan sertifikat baru. Saat dinonaktifkan,

CA mendukung pencabutan sertifikat yang diterbitkan sebelumnya, dan terus menghasilkan daftarpencabutan sertifikat (CRL).

• EXPIRED – Jika sertifikat CA untuk CA privat Anda kedaluwarsa, ACM Private CA menetapkan status keEXPIRED.

Pertimbangan:• Sertifikat CA tidak diperbarui secara otomatis. Untuk informasi tentang otomatisasi perpanjangan

melalui AWS Certificate Manager, lihat Menetapkan izin perpanjangan sertifikat untuk ACM (p. 74).• CA yang kedaluwarsa tidak lagi menghasilkan CRL.• Laporan audit terus bekerja untuk CA yang kedaluwarsa.• Akun Anda akan terus ditagih untuk CA kedaluwarsa.• Anda tidak dapat langsung mengubah status CA yang kedaluwarsa. Jika Anda mengimpor sertifikat

baru untuk CA, statusnya akan kembali ke negara bagiannya sebelum kedaluwarsa, baik AKTIF atauNONAKTIF.

• Jika Anda mengimpor sertifikat CA baru untuk CA privat Anda, ACM Private CA mengatur ulang statusACTIVE, kecuali Anda mengaturnya ke DISABLED setelah sertifikat CA kedaluwarsa.

• Jika Anda mencoba untuk menerbitkan sertifikat baru dengan CA yang kedaluwarsa, APIIssueCertificate mengembalikan InvalidStateException. CA akar yang kedaluwarsa harusmenandatangani sendiri sertifikat CA akar yang baru sebelum dapat menerbitkan sertifikat bawahanbaru.

• API The ListCertificate Authorities dan DescribeCertificateAuthoritymengembalikan status EXPIRED jika sertifikat CA kedaluwarsa, terlepas dari apakah CA status diaturke ACTIVE atau DISABLED. Namun, jika CA kedaluwarsa telah ditetapkan ke DELETED, status yangdikembalikan adalah DELETED.

• API UpdateCertificateAuthority tidak dapat memperbarui status CA kedaluwarsa.• API RevokeCertificate dapat digunakan untuk mencabut sertifikat kedaluwarsa, termasuk

sertifikat CA.• FAILED – Tindakan CreateCertificateAuthority gagal. Ini dapat terjadi karena pemadaman

jaringan, kegagalan AWS back-end, atau kesalahan lainnya.

Pertimbangan:• CA yang gagal tidak dapat dipulihkan. Hapus CA dan buat yang baru.

• DELETED – CA privat Anda sedang dalam masa pemulihan, yang dapat memiliki panjang tujuh sampai30 hari. Setelah periode ini, CA akan dihapus secara permanen.

Pertimbangan:• Jika Anda memanggil API RestoreCertificateAuthority pada CA dengan status DELETED dan

sertifikat yang kedaluwarsa, CA akan diatur ke EXPIRED.• Untuk informasi lebih lanjut tentang penghapusan CA, lihat Menghapus CA privat Anda (p. 82).

Note

Untuk semua nilai status, kecuali HAPUS dan GAGAL, Anda akan ditagih untuk CA.

Diagram berikut menggambarkan CA siklus hidup sebagai interaksi tindakan manajemen dengan statusCA.

Versi latest78


Memperbarui status CA

Versi latest79


Memperbarui konfigurasi CRL

Di bagian atas diagram, tindakan pengelolaan diterapkan melalui konsol ACM Private CA, CLI, atau API.Tindakan ini membawa CA melalui proses pembuatan, aktivasi, kedaluwarsa, dan perpanjangan. StatusCA berubah sebagai respons (seperti yang ditunjukkan oleh garis solid) untuk tindakan manual ataupembaruan otomatis. Di sebagian besar kasus, status baru mengarah ke potensi tindakan yang baru(ditunjukkan oleh garis putus-putus) yang dapat diterapkan oleh administrator CA. Inset kanan bawahmenunjukkan kemungkinan nilai status yang mengizinkan penghapusan dan pengembalian tindakan.

Untuk memperbarui status CA menggunakan konsol AWS


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Pada menu Tindakan, pilih Nonaktifkan untuk menonaktifkan CA privat yang saat ini aktif atau pilih

Aktifkan untuk mengaktifkan CA.

Untuk memperbarui status CA privat Anda menggunakan AWS CLI

Gunakan perintah update-certificate-authority. Anda dapat menggunakan file yang mirip dengan berikut iniuntuk menentukan konfigurasi CRL.

{ "CrlConfiguration": {"Enabled": true, "ExpirationInDays": 7, "CustomCname": "https://www.somename.crl", "S3BucketName": "your-crl-bucket-name"}}

Perintah berikut menggunakan file sebelumnya untuk mengkonfigurasi pencabutan dan menetapkan statusCA privat untuk ACTIVE.

$ aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --revocation-configuration file://revoke_config.json \ --status "ACTIVE"

Memperbarui konfigurasi CRLAnda dapat memperbarui konfigurasi Daftar Pencabutan Sertifikat (CRL) untuk CA privat Anda gunamengubah salah satu nilai berikut:

• Apakah CA privat menghasilkan daftar pencabutan sertifikat (CRL)• Jumlah hari sebelum CRL kedaluwarsa. Perhatikan bahwa ACM Private CA mulai mencoba membuat

ulang CRL pada jumlah hari yang Anda tentukan.• Nama bucket Amazon S3 tempat CRL Anda disimpan.• Apakah CRL dapat diakses secara publik.• Alias untuk menyembunyikan nama bucket S3 Anda dari tampilan publik.

Important

Mengubah salah satu parameter yang sebelumnya dapat memiliki akibat negatif. Misalnya,menonaktifkan pembuatan CRL, mengubah masa berlaku, atau mengubah bucket S3 setelah

Versi latest80



https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html


Tambahkan tag

Anda telah menempatkan CA privat Anda dalam produksi dapat merusak sertifikat yang ada yangbergantung pada CRL dan konfigurasi CRL saat ini. Mengubah alias dapat dilakukan denganaman, selama alias lama tetap terhubung ke bucket yang benar.

Untuk memperbarui konfigurasi CRL menggunakan konsol AWS


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Pada menu Tindakan, pilih Memperbarui pencabutan CA.5. Pilih Mengaktifkan distribusi CRL untuk menghasilkan daftar pembatalan sertifikat (CRL).6. Untuk Buat bucket S3 baru, pilih Ya dan ketik nama bucket yang unik atau pilih Tidak dan pilih bucket

yang ada dari daftar.7. Untuk Nama CRL Kustom, ketik alias untuk menyembunyikan nama bucket S3 Anda dari tampilan

publik.8. Untuk Berlaku hingga, ketik masa berlaku dalam hitungan hari.9. Pilih Perbarui.

Menambahkan tanda ke CA privat AndaTanda adalah kata atau frasa yang bertindak sebagai metadata untuk mengidentifikasi dan mengatursumber daya AWS. Setiap tanda terdiri dari kunci dan nilai opsional. Anda dapat menggunakan konsolACM Private CA, AWS Command Line Interface (AWS CLI), atau API PCA untuk menambahkan, melihat,atau menghapus tanda untuk CA privat.

Anda dapat membuat tanda khusus yang sesuai dengan kebutuhan Anda. Misalnya, Anda dapat menandaiCA privat dengan pasangan kunci-nilai Environment=Prod atau Environment=Beta untuk mengenalilingkungan mana yang CA maksudkan. Anda dapat menambahkan tanda ke CA saat pembuatan ataukapan pun setelahnya. Untuk informasi selengkapnya, lihat Membuat CA Privat (p. 60)

Sumber daya AWS lain juga mendukung penandaan. Anda dapat menetapkan tanda yang sama kesumber daya yang berbeda untuk menunjukkan apakah sumber daya tersebut berkaitan. Misalnya, Andadapat menetapkan tanda seperti Website=example.com ke CA Anda, penyeimbang beban Elastic LoadBalancing, dan sumber daya terkait lainnya. Untuk informasi selengkapnya tentang sumber daya AWSpenandaan, lihat Menandai sumber daya Amazon EC2 Anda dalam Panduan Pengguna Amazon EC2untuk Instans Linux.

Pembatasan dasar berikut berlaku untuk tanda ACM Private CA:

• Jumlah maksimum tanda per CA privat adalah 50.• Panjang maksimal kunci tanda adalah 128 karakter.• Panjang maksimal nilai tanda adalah 256 karakter.• Kunci dan nilai tanda dapat berisi karakter berikut: A-Z, a-z, and .:+=@_%-(tanda hubung).• Kunci dan nilai tanda sensitif huruf besar dan kecil.• Awalan aws: dan rds: dicadangkan untuk digunakan AWS; Anda tidak dapat menambahkan, mengedit,

atau menghapus tanda yang kuncinya dimulai dengan aws: atau rds:. Tanda default yang dimulaidengan aws: dan rds: tidak dihitung terhadap kuota tanda per sumber daya Anda.

• Jika Anda berencana menggunakan skema penandaan di beberapa layanan dan sumber daya, ingatlahbahwa layanan lain mungkin memiliki batasan berbeda untuk karakter yang diizinkan. Baca dokumentasiini untuk layanan tersebut.

• Tanda ACM Private CA tidak tersedia untuk digunakan di Resource Groups dan Editor Tanda AWSManagement Console.

Versi latest81



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/ec2/index.html#lang/en_us

https://docs.aws.amazon.com/ec2/index.html#lang/en_us

http://aws.amazon.com/blogs/aws/resource-groups-and-tagging/


Menghapus CA

Anda dapat menandai CA privat dari Konsol ACM Private CA, AWS Command Line Interface(AWS CLI),atau API ACM Private CA.

Untuk menandai CA privat (konsol)


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Pilih tab Tag.5. Pilih Sunting.6. Ketik pasangan kunci dan nilai.7. Pilih Tambahkan Tanda.

Untuk menandai CA privat (AWS CLI)

Gunakan perintah tag-certificate-authority untuk menambahkan tanda ke CA privat Anda.

$ aws acm-pca tag-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --tags Key=Admin,Value=Alice

Gunakan perintah list-tag guna membuat daftar tanda untuk CA privat.

$ aws acm-pca list-tags \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --max-results 10

Gunakan perintah untag-certificate-authority untuk menghapus tanda dari CA privat.

$ aws acm-pca untag-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:aregion:account:certificate-authority/CA_ID \ --tags Key=Purpose,Value=Website

Menghapus CA privat AndaAnda dapat menghapus CA privat secara permanen. Anda mungkin ingin menghapus satu, misalnya, untukmenggantinya dengan CA baru yang memiliki kunci privat baru. Untuk menghapus CA dengan aman, ikutilangkah berikut:

1. Buat CA pengganti.2. Setelah CA privat baru dalam produksi, nonaktifkan yang lama, tetapi jangan langsung menghapusnya.3. Menjaga CA lama dinonaktifkan sampai semua sertifikat yang diterbitkan olehnya telah kedaluwarsa.4. Hapus CA lama.

ACM Private CA tidak memeriksa bahwa semua sertifikat yang diterbitkan telah kedaluwarsa sebelummemproses permintaan penghapusan. Anda dapat menghasilkan laporan audit (p. 38) untuk menentukancertifikat mana yang telah kedaluwarsa. Saat CA dinonaktifkan, Anda dapat mencabut sertifikat, tetapiAnda tidak dapat menerbitkan yang baru.

Versi latest82

https://console.aws.amazon.com/acm-pca





https://docs.aws.amazon.com/cli/latest/reference/acm-pca/tag-certificate-authority.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-tags.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/untag-certificate-authority.html


Memulihkan CA

Jika Anda harus menghapus CA privat sebelum semua sertifikat yang diterbitkan kedaluwarsa, sebaiknyaAnda juga mencabut sertifikat CA tersebut. Sertifikat CA akan dicantumkan dalam CRL CA induk, dan CAprivat tidak akan dipercaya oleh klien.

Important

CA privat dapat dihapus jika berada di negara bagian PENDING_CERTIFICATE, CREATING,EXPIRED, DISABLED, atau FAILED. Untuk menghapus CA di negara bagian ACTIVE, Anda harusterlebih dahulu menonaktifkannya, atau menghapus permintaan hasil dalam pengecualian. JikaAnda menghapus CA privat di negara bagian PENDING_CERTIFICATE atau DISABLED, Andadapat mengatur panjang masa pemulihan dari 7 hingga 30 hari, dan 30 adalah default. Selamaitu, status diatur ke DELETED dan CA dapat dipulihkan. CA privat yang dihapus sementara dinegara bagian CREATING atau FAILED tidak memiliki penetapan masa pemulihan, dan tidakdapat dipulihkan. Untuk informasi selengkapnya, lihat Memulihkan CA privat Anda (p. 83).Anda tidak akan ditagihkan CA privat setelah dihapus. Namun, jika CA yang dihapus dipulihkan,masa antara penghapusan dan pemulihan akan ditagihkan. Untuk informasi lebih lanjut, lihatPricing (p. 4).

Anda dapat menghapus CA privat dari AWS Management Console atau AWS CLI.

Untuk menghapus CA privat (konsol)


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Jika CA Anda berada di negara bagian ACTIVE, Anda harus menonaktifkannya. Pada menu Tindakan,

pilih Nonaktif.5. Pada menu Tindakan, pilih Hapus.6. Jika CA Anda berada di negara bagian PENDING_CERTIFICATE, EXPIRED, atau DISABLED, tentukan

masa pemulihan tujuh sampai 30 hari. Kemudian pilih Hapus.

Note

Jika CA privat Anda tidak berada di salah satu negara bagian ini, maka tidak dapat dipulihkannanti.

7. Jika Anda yakin ingin menghapus CA privat, pilih Hapus secara permanen saat diminta. Status CAprivat berubah menjadi DELETED. Namun, Anda dapat memulihkan CA privat sebelum akhir masapemulihan. Untuk memeriksa masa pemulihan CA privat di negara bagian DELETED, panggil operasiDescribeCerticateAuthority atau ListCertificateAuthorities.

Untuk menghapus CA privat (AWS CLI)

Gunakan perintah delete-certificate-authority untuk menghapus CA privat.

$ aws acm-pca delete-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --permanent-deletion-time-in-days 16

Memulihkan CA privat AndaAnda dapat memulihkan CA privat yang telah dihapus selama CA tetap dalam periode pemulihan yangAnda tentukan saat dihapus. Periode tersebut menunjukkan jumlah hari, dari 7 hingga 30, tempat CA privat

Versi latest83





https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-certificate-authority.html


Memulihkan CA privat (konsol)

tetap dapat dipulihkan. Pada akhir periode tersebut, CA privat akan dihapus secara permanen. Untukinformasi lebih lanjut, lihat Menghapus CA privat Anda (p. 82). Anda tidak dapat memulihkan CA privatyang telah dihapus secara permanen.

Note

Anda tidak akan ditagihkan CA privat setelah dihapus. Namun, jika CA yang dihapus dipulihkan,masa antara penghapusan dan pemulihan akan ditagihkan. Untuk informasi lebih lanjut, lihatPricing (p. 4).

Topik• Memulihkan CA privat (konsol) (p. 84)• Memulihkan CA privat (AWS CLI) (p. 84)

Memulihkan CA privat (konsol)Anda dapat menggunakan AWS Management Console untuk memulihkan CA privat.

Untuk memulihkan CA privat (konsol)


2. Pilih CA privat.3. Pilih CA privat Anda dari daftar.4. Anda dapat memulihkan CA privat jika statusnya saat ini DELETED. Pada menu Tindakan, pilih

Pemulihan.5. Dalam kotak dialog, pilih Pulihkan lagi.6. Jika berhasil, status CA privat diatur ke negara bagian pra-penghapusan. Pilih Aktifkan pada

menu Tindakan untuk mengubah status ke ACTIVE. Jika CA privat berada di negara bagianPENDING_CERTIFICATE pada saat penghapusan, Anda harus mengimpor sertifikat CA ke CA privatsebelum Anda dapat mengaktifkannya.

Memulihkan CA privat (AWS CLI)Gunakan perintah restore-certificate-authority untuk memulihkan CA privat yang dihapus yang beradadi negara bagian DELETED. Langkah-langkah berikut membahas seluruh proses yang diperlukan untukmenghapus, memulihkan, lalu mengaktifkan kembali CA privat.

Untuk menghapus, memulihkan, dan mengaktifkan kembali CA privat (AWS CLI)

1. Hapus CA privat.

Jalankan perintah delete-certificate-authority untuk menghapus CA privat. Jika status CA privatadalah DISABLED atau PENDING_CERTIFICATE, Anda dapat mengatur parameter --permanent-deletion-time-in-days untuk menentukan masa pemulihan CA privat dari 7 hari hingga 30 hari.Jika Anda tidak menentukan masa pemulihan, defaultnya adalah 30 hari. Jika berhasil, perintah inimenetapkan status CA privat ke DELETED.

Note

Agar dapat dipulihkan, status CA privat pada saat penghapusan harus DISABLED atauPENDING_CERTIFICATE.

$ aws acm-pca delete-certificate-authority \

Versi latest84



https://docs.aws.amazon.com/cli/latest/reference/acm-pca/restore-certificate-authority.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-certificate-authority.html


Memulihkan CA privat (AWS CLI)

--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --permanent-deletion-time-in-days 16

2. Memulihkan CA privat.

Jalankan perintah restore-certificate-authority untuk memulihkan CA privat. Anda harus menjalankanperintah sebelum masa pemulihan yang Anda atir dengan kedaluwarsa perintah delete-certificate-authority. Jika berhasil, perintah mengatur status CA privat ke status penghapusan sebelumnya.

$ aws acm-pca restore-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

3. Membuat ACTIVE CA privat.

Jalankan perintah update-certificate-authority untuk mengubah status CA privat menjadi ACTIVE.

$ aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --status ACTIVE

Versi latest85

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/restore-certificate-authority.html

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html


Penerbitan

Menerbitkan dan mencabut sertifikatentitas akhir

Setelah Anda membuat dan mengaktifkan Private Certificate Authority (CA) dan mengonfigurasi akseske sana, Anda atau pengguna yang sah dapat melakukan tugas yang dibahas di bagian ini. Jika Andabelum menyiapkan kebijakan (IAM) AWS Identity and Access Management untuk CA, Anda dapat pelajariselengkapnya tentang mengonfigurasinya di bagian Identity and Access Management pada panduan ini.Untuk informasi tentang mengkonfigurasi akses CA dalam skenario akun tunggal dan lintas akun, lihatMengontrol akses ke CA privat (p. 73).

Topik• Menerbitkan sertifikat entitas akhir privat (p. 86)• Mengambil sertifikat privat (p. 87)• Daftar sertifikat privat (p. 88)• Mencabut sertifikat privat (p. 92)• Memahami templat sertifikat (p. 94)

Menerbitkan sertifikat entitas akhir privatDengan CA privat, Anda dapat meminta sertifikat entitas akhir privat dari AWS Certificate Manager (ACM)atau ACM Private CA. Kemampuan kedua layanan dibandingkan dalam tabel berikut.

Kemampuan ACM ACM Private CA

Menerbitkan sertifikat entitasakhir

✓ (menggunakanRequestCertificate +GetCertificate atau konsol)

✓ (menggunakanIssueCertificate)

Associate dengan layanan AWSyang terhubung ke internet

✓ Tidak didukung

Perpanjangan sertifikat terkelola ✓ Didukung secara tidak langsungmeskipun ACM

Dukungan konsol ✓ Tidak didukung

Dukungan API ✓ ✓

Dukungan CLI ✓ ✓

Saat ACM Private CA membuat sertifikat, itu mengikuti templat yang menentukan jenis sertifikat danpanjang jalur. Jika tidak ada templat ARN yang diberikan ke pernyataan API atau CLI yang membuatsertifikat, templat EndEntityCertificate/V1 (p. 108) akan diterapkan secara default. Untuk informasiselengkapnya tentang templat sertifikat yang tersedia, lihat Memahami templat sertifikat (p. 94).

Meskipun sertifikat ACM dirancang berdasarkan kepercayaan publik, ACM Private CA melayani kebutuhanPKI privat Anda. Akibatnya, Anda dapat mengonfigurasi sertifikat menggunakan ACM Private CA API danCLI dengan cara yang tidak diizinkan oleh ACM. Sumber daya yang dimaksud meliputi:

Versi latest86

https://docs.aws.amazon.com/acm-pca/latest/userguide/security-iam.html


https://docs.aws.amazon.com/acm/latest/APIReference/API_GetCertificate.html


https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html


Menerbitkan sertifikat (AWS CLI)

• Membuat sertifikat dengan nama Subjek.• Menggunakan salah satu algoritma kunci privat yang didukung dan panjang kunci.• Menggunakan salah satu algoritma penandatanganan yang didukung.• Menentukan periode validitas apa pun untuk CA privat dan sertifikat privat Anda.

Setelah membuat sertifikat privat menggunakan ACM Private CA, Anda dapat mengimpornya ke ACM danmenggunakannya dengan layanan AWS yang didukung.

Menerbitkan sertifikat (AWS CLI)Anda dapat menggunakan perintah issue-certificate ACM Private CA CLI atau IssueCertificate tindakanAPI untuk meminta sertifikat entitas akhir. Perintah ini memerlukan Amazon Resource Name (ARN) dari CAprivat yang ingin Anda gunakan untuk menerbitkan sertifikat.

Jika Anda menggunakan ACM Private CA API atau AWS CLI untuk menerbitkan sertifikat privat, sertifikattersebut tidak dikelola, artinya Anda tidak dapat menggunakan konsol ACM, ACM CLI, atau ACM APIuntuk melihat atau mengekspornya, dan sertifikat tidak diperpanjang secara otomatis. Namun, Anda dapatmenggunakan perintah get-certificate PCA untuk mengambil detail sertifikat, dan jika Anda memiliki CA,Anda dapat membuat laporan audit (p. 38).

Perintah berikut tidak menentukan templat, jadi sertifikat entitas akhir diterbitkan secara default.

$ aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --csr fileb://cert_1.csr \ --signing-algorithm "SHA256WITHRSA" \ --validity Value=365,Type="DAYS" \ --idempotency-token 1234

ARN dari sertifikat yang diterbitkan dikembalikan:

{ "CertificateArn": "arn:aws:acm-pca:region:account:\ certificate-authority/CA_ID/certificate/certificate_ID"}

Mengambil sertifikat privatAnda dapat menggunakan ACM Private CA API dan AWS CLI untuk menerbitkan sertifikat privat. Jika ya,Anda dapat menggunakan AWS CLI atau ACM Private CA API untuk mengambil sertifikat tersebut. JikaAnda menggunakan ACM untuk membuat CA privat dan meminta sertifikat, Anda harus menggunakanACM untuk mengekspor sertifikat dan kunci privat terenkripsi. Untuk informasi selengkapnya, lihatMengekspor Sertifikat Privat.

Untuk mengambil sertifikat entitas akhir

Gunakan perintah get-certificate untuk mengambil sertifikat entitas akhir privat. Anda juga dapatmenggunakan operasi GetCertificate API. Gunakan opsi --output text untuk menampilkan sertifikattanpa pasangan <CR><LF>.

Note

Jika Anda ingin mencabut sertifikat, Anda dapat menggunakan perintah get-certificate untukmengambil nomor seri dalam format heksadesimal. Anda juga dapat membuat laporan audit untuk

Versi latest87

https://docs.aws.amazon.com/acm-pca/latest/userguide/supported-algorithms.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/supported-algorithms.html

PcaCreateCa.html

PcaIssueCert.html

https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html



https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html

https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-export-private.html




Daftar sertifikat privat

mengambil nomor seri heks. Untuk informasi lebih lanjut, lihat Menggunakan laporan audit denganCA privat Anda (p. 38).

$ aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \ --output text

Perintah ini mengeluarkan base64 yang dikodekan PEM format sertifikat dan rantai sertifikat.

-----BEGIN CERTIFICATE-----...Base64-encoded certificate...-----END CERTIFICATE---------BEGIN CERTIFICATE-----...Base64-encoded certificate...-----END CERTIFICATE---------BEGIN CERTIFICATE-----...Base64-encoded certificate...-----END CERTIFICATE----

Untuk mengambil sertifikat CA

Anda dapat menggunakan ACM Private CA API dan AWS CLI mengambil otoritas sertifikasi (CA) untukCA privat Anda. Jalankan perintah get-certificate-authority-certificate. Anda juga dapatmenghubungi operasi GetCertificateAuthorityCertificate. Penggunaan opsi --output textuntuk mengeluarkan sertifikat tanpa pasangan <CR><LF>.

$ aws acm-pca get-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --output text

Perintah ini mengeluarkan base64 yang dikodekan PEM format sertifikat dan rantai sertifikat.

-----BEGIN CERTIFICATE-----...Base64-encoded certificate...-----END CERTIFICATE---------BEGIN CERTIFICATE-----...Base64-encoded certificate...-----END CERTIFICATE----

Daftar sertifikat privatUntuk membuat daftar sertifikat privat Anda, buat laporan audit, ambil dari bucket S3-nya, dan parserkonten laporan sesuai kebutuhan. Untuk informasi tentang cara membuat laporan audit ACM Private CA,lihat Menggunakan laporan audit dengan CA privat Anda (p. 38). Untuk informasi tentang mengambil objekdari bucket S3, lihat Mengunduh objek di Panduan Pengguna Amazon Simple Storage Service.

Contoh berikut mengilustrasikan pendekatan untuk membuat laporan audit dan melakukan parser untukdata yang berguna. Hasil diformat dalam JSON, dan data difilter menggunakan jq, parser yang mirip seduntuk JSON.

1. Buat laporan audit.

Perintah berikut menghasilkan laporan audit untuk CA tertentu.

Versi latest88

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html


https://docs.aws.amazon.com/AmazonS3/latest/user-guide/download-objects.html

https://stedolan.github.io/jq/



$ aws acm-pca create-certificate-authority-audit-report \ --region ap-southeast-1 \ --certificate-authority-arn arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef \ --s3-bucket-name bowsmith-audit-report1-ap-southeast-1 \ --audit-report-response-format JSON

Ketika berhasil, perintah mengembalikan ID dan lokasi laporan audit baru.

{ "AuditReportId": "01234567-89ab-cdef-0123-456789abcdef", "S3Key": "audit-report/01234567-89ab-cdef-0123-456789abcdef/01234567-89ab-cdef-0123-456789abcdef.json"}

2. Ambil dan format laporan audit.

Perintah ini mengambil laporan audit, menampilkan isinya dalam output standar, serta menyaring hasiluntuk menampilkan hanya sertifikat yang diterbitkan pada atau setelah 01-12-2020.

$ aws s3api get-object \ --region ap-southeast-1 \ --bucket bowsmith-audit-report1-ap-southeast-1 \ --key audit-report/01234567-89ab-cdef-0123-456789abcdef/01234567-89ab-cdef-0123-456789abcdef.json \ /dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'

Item yang dikembalikan menyerupai berikut ini:

{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/01234567-89ab-cdef-0123-456789abcdef", "serial": "58:3d:fb:0e:c9:21:1d:1c:05:25:14:99:0d:49:84:9e", "subject": "CN=pca.alpha.root2.leaf5", "notBefore": "2020-12-21T21:28:09+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-12-21T22:28:09+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}

3. Simpan laporan audit secara lokal.

Jika Anda ingin melakukan beberapa kueri, akan lebih mudah untuk menyimpan laporan audit ke file lokal.

$ aws s3api get-object \ --region ap-southeast-1 \ --bucket audit-report1-ap-southeast-1 \ --key audit-report/01234567-89ab-cdef-0123-456789abcdef/01234567-89ab-cdef-0123-456789abcdef.json > my_local_audit_report.json

Filter yang sama seperti sebelumnya menghasilkan output yang sama:

cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0",

Versi latest89



"serial": "58:3d:fb:0e:c9:21:1d:1c:05:25:14:99:0d:49:84:9e", "subject": "CN=pca.alpha.root2.leaf5", "notBefore": "2020-12-21T21:28:09+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-12-21T22:28:09+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}

4. Kueri di dalam rentang tanggal

Anda dapat kueri untuk sertifikat yang diterbitkan dalam rentang tanggal sebagai berikut:

$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'

Konten yang difilter ditampilkan dalam output standar:

{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "4d:1f:c0:23:f4:cf:cb:3b:ec:5a:82:a4:cd:88:44:f0", "subject": "CN=pca.alpha.root2.leaf1", "notBefore": "2020-11-06T19:18:21+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T20:18:22+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "1e:6a:17:8b:68:c1:6c:0a:bc:49:f0:af:a8:06:5f:5d", "subject": "CN=pca.alpha.root2.rsa2048sha256", "notBefore": "2020-11-06T19:15:46+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T20:15:46+0000", "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"}{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "9a:77:2b:e0:ea:5c:6b:4c:4b:6b:95:70:20:03:60:f7", "subject": "CN=pca.alpha.root2.leaf2", "notBefore": "2020-11-06T20:04:39+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T21:04:39+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}

5. Cari sertifikat yang mengikuti templat tertentu.

Perintah berikut memfilter konten laporan menggunakan templat ARN:

$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'

Output menampilkan catatan sertifikat yang cocok:

Versi latest90



{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "1e:6a:17:8b:68:c1:6c:0a:bc:49:f0:af:a8:06:5f:5d", "subject": "CN=pca.alpha.root2.rsa2048sha256", "notBefore": "2020-11-06T19:15:46+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T20:15:46+0000", "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"}

6. Filter untuk sertifikat yang dicabut

Untuk menemukan semua sertifikat yang dicabut, gunakan perintah berikut:

$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'

Sertifikat yang dicabut ditampilkan sebagai berikut:

{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "9a:77:2b:e0:ea:5c:6b:4c:4b:6b:95:70:20:03:60:f7", "subject": "CN=pca.alpha.root2.leaf2", "notBefore": "2020-11-06T20:04:39+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T21:04:39+0000", "revokedAt": "2021-05-27T18:57:32+0000", "revocationReason": "UNSPECIFIED", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}

7. Filter menggunakan ekspresi reguler.

Perintah berikut mencari nama subjek yang berisi string "leaf":

$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'

Catatan sertifikat yang cocok dikembalikan sebagai berikut:

{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "8e:95:f7:f1:43:e5:54:7d:c9:3a:f1:d5:69:02:14:88", "subject": "CN=pca.alpha.roo2.leaf4", "notBefore": "2020-11-16T18:17:10+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-16T19:17:12+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0",

Versi latest91


Mencabut

"serial": "58:3d:fb:0e:c9:21:1d:1c:05:25:14:99:0d:49:84:9e", "subject": "CN=pca.alpha.root2.leaf5", "notBefore": "2020-12-21T21:28:09+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-12-21T22:28:09+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}{ "awsAccountId": "012345678901", "certificateArn": "arn:aws:acm-pca:ap-southeast-1:012345678901:certificate-authority/01234567-89ab-cdef-0123-456789abcdef/certificate/013456789abcdef0123456789abcdef0", "serial": "4d:1f:c0:23:f4:cf:cb:3b:ec:5a:82:a4:cd:88:44:f0", "subject": "CN=pca.alpha.root2.leaf1", "notBefore": "2020-11-06T19:18:21+0000", "notAfter": "9999-12-31T23:59:59+0000", "issuedAt": "2020-11-06T20:18:22+0000", "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"}

Mencabut sertifikat privatAnda dapat menggunakan AWS CLI atau ACM Private CA API untuk mencabut sertifikat. Sertifikat akandisertakan dalam daftar pencabutan sertifikat (CRL), jika ada, dari CA privat yang menerbitkan. Sertifikatyang dicabut selalu dicatat dalam laporan audit.

Note

Penerbit sertifikat lintas akun tidak dapat mencabut sertifikat yang mereka terbitkan. Pemilik CAharus melakukan pencabutan.

Untuk mencabut sertifikat

Gunakan tindakan API RevokeCertificate atau perintah revoke-certificate untuk mencabut sertifikatPKI privat. Nomor seri harus dalam format heksadesimal. Anda dapat mengambil nomor seri denganmemanggil perintah get-certificate. Perintah revoke-certificate tidak mengembalikan respons.

$ aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --certificate-serial serial_number \ --revocation-reason "KEY_COMPROMISE"

Sertifikat yang dicabut di CRLContoh berikut menunjukkan sertifikat yang dicabut dalam daftar pencabutan sertifikat (CRL). CRLbiasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun pembaruan CRLgagal, upaya ACM PCA melakukan upaya lebih lanjut setiap 15 menit. Dengan Amazon CloudWatch, Andadapat membuat alarm untuk metrik CRLGenerated dan MisconfiguredCRLBucket. Untuk informasilebih lanjut, lihat Metrik CloudWatch yang Didukung. Untuk informasi selengkapnya tentang membuat danmengonfigurasi CRL, lihat Membuat dan mengkonfigurasi CA privat (p. 60).

Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com

Versi latest92


https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html


https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCloudWatch.html


Sertifikat yang dicabut dalam laporan audit

Last Update: Jan 10 19:28:47 2018 GMT Next Update: Jan 8 20:28:47 2028 GMT CRL extensions: X509v3 Authority key identifier: keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

X509v3 CRL Number: 1515616127629Revoked Certificates: Serial Number: B17B6F9AE9309C51D5573BCA78764C23 Revocation Date: Jan 9 17:19:17 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76: 99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42: f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f: 98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f: 2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e: 54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5: 1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b: 58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28: f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9: d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a: 43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51: a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29: 5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87: 65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85: 0e:81:b2:76

Sertifikat yang dicabut dalam laporan auditSemua sertifikat, termasuk sertifikat yang dicabut, disertakan dalam laporan audit untuk CA privat. Contohberikut menunjukkan laporan audit dengan satu diterbitkan dan satu sertifikat dicabut. Untuk informasi lebihlanjut, lihat Menggunakan laporan audit dengan CA privat Anda (p. 38).

[{ "awsAccountId": "123456789012", "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/e8cbd2bedb122329f97706bcfec990f8", "serial": "e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8", "Subject": "1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore": "2018-02-26T18:39:57+0000", "notAfter": "2019-02-26T19:39:57+0000", "issuedAt": "2018-02-26T19:39:58+0000", "revokedAt": "2018-02-26T20:00:36+0000", "revocationReason": "KEY_COMPROMISE"},{ "awsAccountId": "123456789012", "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/2bae9a75d71b42b4e41e36f8b4b488fc", "serial": "2b:ae:9a:75:d7:1b:42:b4:e4:1e:36:f8:b4:b4:88:fc", "Subject": "1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore": "2018-01-22T20:10:49+0000", "notAfter": "2019-01-17T21:10:49+0000", "issuedAt": "2018-01-22T21:10:49+0000"}]

Versi latest93


Templat sertifikat

Memahami templat sertifikatACM Private CA menggunakan templat konfigurasi untuk menerbitkan sertifikat CA dan sertifikat entitasakhir. Saat Anda menerbitkan sertifikat CA dari konsol PCA, templat sertifikat CA akar atau bawahan yangsesuai diterapkan secara otomatis.

Jika Anda menggunakan CLI atau API untuk menerbitkan sertifikat, Anda dapat menyediakan templat ARNsebagai parameter untuk tindakan IssueCertificate. Jika Anda tidak memberikan ARN, maka templatEndEntityCertificate/V1 secara default. Untuk informasi selengkapnya, lihat IssueCertificate APIdan dokumentasi perintah issue-certificate.

Note

Penerbit sertifikat lintas akun dibatasi oleh kebijakan berbasis sumber daya (p. 17) dan hanyamemiliki akses ke templat EndEntityCertificate/V1.

Topik• Variasi templat (p. 94)• Urutan templat operasi (p. 99)• Definisi templat (p. 99)

Variasi templatACM Private CA mendukung empat variasi templat.

• Templat Dasar

Templat yang telah ditentukan sebelumnya tempat tidak ada parameter passthrough yang diizinkan.• Templat CSDRPassThrough

Templat yang memperpanjang versi templat dasar yang sesuai dengan mengizinkan passthrough CSR.Ekstensi dalam CSR yang digunakan untuk menerbitkan sertifikat disalin ke sertifikat yang diterbitkan.Dalam kasus tempat CSR berisi nilai ekstensi yang bertentangan dengan definisi templat, definisi templatakan selalu memiliki prioritas lebih tinggi. Untuk detail lebih lanjut tentang prioritas, lihat Urutan templatoperasi (p. 99).

• Templat APIPassthrough

Templat yang memperluas versi templat dasar yang sesuai dengan mengizinkan passthrough API. Nilaidinamis yang diketahui oleh administrator atau sistem perantara lainnya mungkin tidak diketahui olehentitas yang meminta sertifikat, mungkin tidak mungkin ditentukan dalam templat, dan mungkin tidaktersedia di CSR. Namun, Administrator CA, dapat mengambil informasi tambahan dari sumber datalain, seperti Direktori Aktif, untuk menyelesaikan permintaan. Misalnya, jika mesin tidak mengetahuiunit organisasi apa yang dimilikinya, administrator dapat mencari informasi di Direktori Aktif danmenambahkannya ke permintaan sertifikat dengan menyertakan informasi dalam struktur JSON.

Nilai dalam parameter ApiPassthrough tindakan IssueCertificate disalin ke sertifikat yangditerbitkan. Dalam kasus tempat parameter ApiPassthrough berisi informasi yang bertentangandengan definisi templat, definisi templat akan selalu memiliki prioritas lebih tinggi. Untuk detail lebih lanjuttentang prioritas, lihat Urutan templat operasi (p. 99).

• Templat APICSRPassthrough

Templat yang memperluas versi templat dasar yang sesuai dengan mengizinkan passthrough APIdan CSR. Ekstensi dalam CSR yang digunakan untuk menerbitkan sertifikat disalin ke sertifikat yangditerbitkan, dan nilai dalam parameter ApiPassthrough tindakanIssueCertificate juga disalin.Jika definisi templat, nilai passthrough API, dan ekstensi passthrough CSR menunjukkan konflik, definisi

Versi latest94




Variasi templat

templat memiliki prioritas tertinggi, diikuti oleh nilai passthrough API, diikuti oleh ekstensi passthroughCSR. Untuk detail lebih lanjut tentang prioritas, lihat Urutan templat operasi (p. 99).

Tabel di bawah ini mencantumkan semua jenis templat yang didukung oleh ACM Private CA dengan tautanke definisinya.

Note

Untuk informasi tentang ARN templat di wilayah GovCloud, lihat AWS Certificate Manager PrivateCertificate Authority di Panduan Pengguna AWS GovCloud (US).

Templat Dasar

Nama Templat ARN Templat Jenis Sertifikat

CodeSigningCertificate/V1 (p. 106) arn:aws:acm-pca:::template/CodeSigningCertificate/V1

Penandatanganan kode

EndEntityCertificate/V1 (p. 108) arn:aws:acm-pca:::template/EndEntityCertificate/V1

Entitas akhir

EndEntityClientAuthCertificate/V1 (p. 110)

arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1

Entitas akhir

EndEntityServerAuthCertificate/V1 (p. 112)

arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1

Entitas akhir

OCSPSigningCertificate/V1 (p. 114) arn:aws:acm-pca:::template/OCSPSigningCertificate/V1

PenandatangananOCSP

RootCACertificate/V1 (p. 116) arn:aws:acm-pca:::template/RootCACertificate/V1

CA

SubordinateCACertificate_PathLen0/V1 (p. 117)

arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1

CA



CA



CA



CA

Templat CSDRPassThrough


BlankEndEntityCertificate_CSRPassthrough (p. 100)arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1

Entitas akhir

Versi latest95

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca


Variasi templat


CodeSigningCertificate_CSRPassthrough/V1 (p. 108)

arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1


EndEntityCertificate_CSRPassthrough/V1 (p. 110)

arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1

Entitas akhir

EndEntityClientAuthCertificate_CSRPassthrough/V1 (p. 112)

arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1

Entitas akhir

EndEntityServerAuthCertificate_CSRPassthrough/V1 (p. 114)

arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1

Entitas akhir

OCSPSigningCertificate_CSRPassthrough/V1 (p. 116)

arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1

PenandatangananOCSP

SubordinateCACertificate_PathLen0_CSRPassthrough/V1 (p. 119)

arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1

CA

BlankSubordinateCACertificate_PathLen0_CSRPassthrough (p. 101)arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1

CA



CA


CA

BlankSubordinateCACertificate_PathLen1_APICSRPassthrough (p. 103)arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1

CA



CA


CA



CA


CA

Versi latest96


Variasi templat

Templat APIPassthrough


BlankEndEntityCertificate_APIPassthrough (p. 99)arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1

Entitas akhir

CodeSigningCertificate_APIPassthrough (p. 107)arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1


EndEntityCertificate_APIPassthrough (p. 109)arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough (p. 109)/V1

Entitas akhir

EndEntityClientAuthCertificate_APIPassthrough (p. 111)arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1

Entitas akhir

EndEntityServerAuthCertificate_APIPassthrough (p. 113)arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1

Entitas akhir

OCSPSigningCertificate_APIPassthrough (p. 115)arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1

PenandatangananOCSP

RootCACertificate_APIPassthrough (p. 117)arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1

CA

SubordinateCACertificate_PathLen0_APIPassthrough (p. 118)arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1

CA

BlankSubordinateCACertificate_PathLen0_APIPassthrough (p. 102)arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1

CA


CA


CA


CA


CA


CA

Versi latest97


Variasi templat



CA

Templat APICSRPassthrough


BlankEndEntityCertificate_APICSRPassthrough (p. 100)arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1

Entitas akhir

CodeSigningCertificate_APICSRPassthrough (p. 107)arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1


EndEntityCertificate_APICSRPassthrough (p. 109)arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1

Entitas akhir

EndEntityClientAuthCertificate_APICSRPassthrough (p. 111)arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1

Entitas akhir

EndEntityServerAuthCertificate_APICSRPassthrough (p. 113)arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APICSRPassthrough/V1

Entitas akhir

OCSPSigningCertificate_APICSRPassthrough (p. 115)arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1

PenandatangananOCSP

SubordinateCACertificate_PathLen0_APICSRPassthrough (p. 118)arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1

CA


CA


CA


CA

SubordinateCACertificate_PathLen2_APICSRPassthrough (p. 122)arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough (p. 122)/V1

CA


CA

Versi latest98


Urutan templat operasi



CA


CA

Urutan templat operasiInformasi yang ada dalam sertifikat yang diterbitkan dapat berasal dari empat sumber: definisi templat,passthrough API, passthrough CSR, dan konfigurasi CA.

Nilai passthrough API hanya dipatuhi saat Anda menggunakan passthrough API atau templatpassthrough APICSR. Passthrough CSR hanya dihormati saat Anda menggunakan templat passthroughCSRPassthrough atau APICSR. Ketika sumber informasi ini bertentangan, aturan umum biasanya berlaku:Untuk setiap nilai ekstensi, definisi templat memiliki prioritas tertinggi, diikuti oleh nilai passthrough API,diikuti oleh ekstensi passthrough CSR.

Contoh

1. Definisi templat untuk EndEntityClientAuthCertificate_APIPassthrough (p. 111) menentukanekstensi ExtendedKeyUsage dengan nilai "autentikasi server web TLS, autentikasi klien web TLS".Jika ExtendedKeyUsage ditentukan dalam CSR atau dalam parameter IssueCertificateApiPassthrough, nilai ApiPassthrough untuk ExtendedKeyUsage akan diabaikan karena definisitemplat diprioritaskan, dan nilai CSR untuk nilai ExtendedKeyUsage akan diabaikan karena templatbukan variasi passthrough CSR.

Note

Definisi templat tetap menyalin nilai-nilai lain dari CSR, seperti Nama Alternatif Subjek danSubjek. Nilai-nilai ini tetap diambil dari CSR meskipun templat bukan merupakan variasipassthrough CSR, karena definisi templat selalu menjadi prioritas tertinggi.

2. Definisi templat untuk EndEntityClientAuthCertificate_APICSRPassthrough (p. 111) menentukanekstensi Nama Alternatif Subjek (SAN) sebagai disalin dari API atau CSR. Jika ekstensi SANdidefinisikan dalam CSR dan disediakan dalam parameter IssueCertificate ApiPassthrough,nilai passthrough API akan diprioritaskan karena nilai passthrough API lebih diprioritaskan daripada nilaipassthrough CSR.

Definisi templatBagian berikut memberikan detail konfigurasi tentang templat sertifikat ACM Private CA yang didukung.

Definisi BlankEndEntityCertificate_APIPassthrough/V1Dengan templat sertifikat entitas akhir kosong, Anda dapat menerbitkan sertifikat entitas akhir hanyadengan batasan X.509 Basic yang ada. Ini adalah sertifikat entitas akhir paling sederhana yang dapatditerbitkan oleh ACM Private CA, tetapi dapat disesuaikan menggunakan struktur API. Ekstensi batasandasar menentukan apakah sertifikat tersebut merupakan sertifikat CA atau bukan. Templat sertifikat entitasakhir kosong memberlakukan nilai FALSE untuk batasan Dasar untuk memastikan bahwa sertifikat entitasakhir diterbitkan dan bukan sertifikat CA.

Templat passthrough kosong berguna untuk menerbitkan sertifikat kartu pintar yang memerlukan nilaikhusus untuk penggunaan kunci (KU) dan penggunaan kunci yang diperpanjang (EKU). Misalnya,

Versi latest99


Definisi templat

penggunaan kunci yang Diperpanjang mungkin memerlukan Autentikasi Klien dan Masuk Kartu Cerdas,dan penggunaan Kunci mungkin memerlukan Tanda Tangan Digital, Non Repudiation, dan EnkripsiKunci. Tidak seperti templat passthrough lainnya, templat sertifikat entitas akhir kosong memungkinkankonfigurasi ekstensi KU dan EKU, tempat KU dapat berupa salah satu dari sembilan nilai yang didukung(digitalSignature, nonRepudiation, keyEnciphermet, dataEncipherment, keyAgreement, keyCertSign,cRLSign, encipherOnly, dan decipherOnly) dan EKU dapat berupa nilai yang didukung (serverAuth,clientAuth, codesigning, emailProtection, timestamping, dan OCSPSigning) ditambah ekstensi khusus.

BlankEndEntityCertificate_APIPassthrough/V1

Parameter X509v3 Nilai

Nama alternatif subjek [Passthrough dari API atau CSR]

Subjek [Passthrough dari API atau CSR]

Kendala Dasar CA:FALSE

Pengidentifikasi kunci otoritas [SKI dari sertifikat CA]

Pengidentifikasi kunci subjek [Berasal dari CSR]

Titik distribusi CRL* [Passthrough dari konfigurasi CA]

* Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.

Definisi BlankEndEntityCertificate_CSRPassthrough/V1Untuk informasi umum tentang templat kosong, lihat Definisi BlankEndEntityCertificate_APIPassthrough/V1 (p. 99).

BlankEndEntityCertificate_CSRPassthrough/V1


Nama alternatif subjek [Passthrough dari CSR]

Subjek [Passthrough dari CSR]




Titik distribusi CRL* [Passthrough dari konfigurasi CA atau CSR]


Definisi BlankEndEntityCertificate_APICSRPassthrough/V1Untuk informasi umum tentang templat kosong, lihat Definisi BlankEndEntityCertificate_APIPassthrough/V1 (p. 99).

BlankEndEntityCertificate_APICSRPassthrough/V1



Versi latest100


Definisi templat








DefinisiBlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1Untuk informasi umum tentang templat kosong, lihat Definisi BlankEndEntityCertificate_APIPassthrough/V1 (p. 99).

BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1




Kendala Dasar Penting, CA:TRUE, pathlen: 0

Pengidentifikasi kunci otoritas [SKI dari Sertifikat CA]




DefinisiBlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1Untuk informasi umum tentang templat kosong, lihat Definisi BlankEndEntityCertificate_APIPassthrough/V1 (p. 99).

BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1






Versi latest101


Definisi templat





DefinisiBlankSubordinateCACertificate_PathLen0_APIPassthrough/V1Untuk informasi umum tentang templat kosong, lihat Definisi BlankEndEntityCertificate_APIPassthrough/V1 (p. 99).

BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1


















Versi latest102


Definisi templat






















Versi latest103


Definisi templat

























Versi latest104


Definisi templat

























Versi latest105


Definisi templat





BlankSubordinateCACertificate_PathLen3_APICSRPassthrough









Definisi CodeSigningCertificate/V1Templat ini digunakan untuk membuat sertifikat untuk penandatanganan kode. Anda dapat menggunakansertifikat penandatanganan kode dari ACM Private CA dengan solusi penandatanganan kodeapa pun yang didasarkan pada infrastruktur CA privat. Misalnya, pelanggan yang menggunakanPenandatanganan Kode untuk AWS IoT dapat membuat sertifikat penandatanganan kode dengan ACMPrivate CA dan mengimpornya ke AWS Certificate Manager. Untuk informasi selengkapnya, lihat Apa ItuPenandatanganan Kode untuk AWS IoT? dan Mendapatkan dan Mengimpor Sertifikat PenandatangananKode.

CodeSigningCertificate/V1







Penggunaan kunci Penting, tanda tangan digital

Versi latest106

https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html

https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html

https://docs.aws.amazon.com/signer/latest/developerguide/gs-cs-cert.html

https://docs.aws.amazon.com/signer/latest/developerguide/gs-cs-cert.html


Definisi templat


Penggunaan kunci yang diperpanjang Penting, penandatanganan kode


*Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRLdiaktifkan.

Definisi CodeSigningCertificate_APICSRPassthrough/V1Templat ini memperpanjang CodeSigningCertificate/V1 untuk mendukung nilai passthrough API dan CSR.

CodeSigningCertificate_APICSRPassthrough/V1











Definisi CodeSigningCertificate_APIPassthrough/V1Templat ini identik dengan templat CodeSigningCertificate dengan satu perbedaan: Dalam templatini, ACM Private CA meneruskan ekstensi tambahan melalui API ke sertifikat jika ekstensi tidak ditentukandalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.

CodeSigningCertificate_APIPassthrough/V1









Versi latest107


Definisi templat




Definisi CodeSigningCertificate_CSRPassthrough/V1Templat ini identik dengan templat CodeSigningCertificate dengan satu perbedaan: Dalam templatini, ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) kedalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalumenimpa ekstensi di CSR.

CodeSigningCertificate_CSRPassthrough/V1











Definisi EndEntityCertificate/V1Templat ini digunakan untuk membuat sertifikat untuk entitas akhir seperti sistem operasi atau server web.

EndEntityCertificate/V1







Penggunaan kunci Penting, penyandian kunci, tanda tangan digital

Penggunaan kunci yang diperpanjang Autentikasi server web TLS, autentikasi klien webTLS

Versi latest108


Definisi templat




Definisi EndEntityCertificate_APICSRPassthrough/V1Templat ini memperpanjang EndEntityCertificate/V1 untuk mendukung nilai passthrough API dan CSR.

EndEntityCertificate_APICSRPassthrough/V1











Definisi EndEntityCertificate_APIPassthrough/V1Templat ini identik dengan templat EndEntityCertificate dengan satu perbedaan: Dalam templat ini,ACM Private CA meneruskan ekstensi tambahan melalui API ke sertifikat jika ekstensi tidak ditentukandalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.

EndEntityCertificate_APIPassthrough/V1









Versi latest109


Definisi templat




Definisi EndEntityCertificate_CSRPassthrough/V1Templat ini identik dengan templat EndEntityCertificate dengan satu perbedaan: Dalam templat ini,ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) kedalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalumenimpa ekstensi di CSR.

EndEntityCertificate_CSRPassthrough/V1











Definisi EndEntityClientAuthCertificate/V1Templat ini berbeda dari satu-satunya EndEntityCertificate dalam Nilai penggunaan kunci yangdiperpanjang, yang membatasinya untuk autentikasi klien web TLS.

EndEntityClientAuthCertificate/V1








Versi latest110


Definisi templat


Penggunaan kunci yang diperpanjang Autentikasi klien web TLS



Definisi EndEntityClientAuthCertificate_APICSRPassthrough/V1Templat ini memperpanjang EndEntityClientAuthCertificate/V1 untuk mendukung nilai passthrough API danCSR.

EndEntityClientAuthCertificate_APICSRPassthrough/V1











Definisi EndEntityClientAuthCertificate_APIPassthrough/V1Templat ini identik dengan templat EndEntityClientAuthCertificate dengan satu perbedaan.Dalam templat ini, ACM Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jikaekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensidi API.

EndEntityClientAuthCertificate_APIPassthrough/V1








Versi latest111


Definisi templat





Definisi EndEntityClientAuthCertificate_CSRPassthrough/V1Templat ini identik dengan templat EndEntityClientAuthCertificate dengan satu perbedaan.Dalam templat ini, ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganansertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukandalam templat selalu menimpa ekstensi di CSR.

EndEntityClientAuthCertificate_CSRPassthrough/V1











Definisi EndEntityServerAuthCertificate/V1Templat ini berbeda dari satu-satunya EndEntityCertificate dalam Nilai penggunaan kunci yangdiperpanjang, yang membatasinya pada autentikasi server web TLS.

EndEntityServerAuthCertificate/V1








Versi latest112


Definisi templat


Penggunaan kunci yang diperpanjang Autentikasi server web TLS



Definisi EndEntityServerAuthCertificate_APICSRPassthrough/V1Templat ini memperpanjang EndEntityServerAuthCertificate/V1 untuk mendukung nilai passthrough APIdan CSR.

EndEntityServerAuthCertificate_APICSRPassthrough/V1











Definisi EndEntityServerAuthCertificate_APIPassthrough/V1Templat ini identik dengan templat EndEntityServerAuthCertificate dengan satu perbedaan.Dalam templat ini, ACM Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jikaekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensidi API.

EndEntityServerAuthCertificate_APIPassthrough/V1








Versi latest113


Definisi templat





Definisi EndEntityServerAuthCertificate_CSRPassthrough/V1Templat ini identik dengan templat EndEntityServerAuthCertificate dengan satu perbedaan.Dalam templat ini, ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganansertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukandalam templat selalu menimpa ekstensi di CSR.

EndEntityServerAuthCertificate_CSRPassthrough/V1











Definisi OCSPSigningCertificate/V1Templat ini digunakan untuk membuat sertifikat untuk menandatangani tanggapan OCSP. Templat identikdengan templat CodeSigningCertificate, kecuali bahwa Nilai penggunaan kunci yang diperpanjangmenentukan penandatanganan OCSP, bukan penandatanganan kode.

OCSPSigningCertificate/V1








Versi latest114


Definisi templat


Penggunaan kunci yang diperpanjang Penting, penandatanganan OCSP



definisi OCSPSigningCertificate_APICSRPassthrough/V1Templat ini memperpanjang OCSPSigningCertificate/V1 untuk mendukung nilai passthrough API dan CSR.

OCSPSigningCertificate_APICSRPassthrough/V1











Definisi OCSPSigningCertificate_APIPassthrough/V1Templat ini identik dengan templat OCSPSigningCertificate dengan satu perbedaan. Dalam templatini, ACM Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jika ekstensi tidakditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.

OCSPSigningCertificate_APIPassthrough/V1









Versi latest115


Definisi templat




Definisi OCSPSigningCertificate_CSRPassthrough/V1Templat ini identik dengan templat OCSPSigningCertificate dengan satu perbedaan. Dalam templatini, ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) kedalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalumenimpa ekstensi di CSR.

OCSPSigningCertificate_CSRPassthrough/V1











Definisi RootCACertificate/V1Templat ini digunakan untuk menerbitkan sertifikat CA akar yang ditandatangani sendiri. SertifikatCA menyertakan ekstensi batasan Dasar yang penting dengan bidang CA yang diatur ke TRUE untukmenunjukkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Templat ini tidakmenentukan panjang jalur karena panjang jalur membatasi panjang maksimum rantai CA (kedalamansertifikat CA). Panjang rantai yang dibatasi dapat menghambat perluasan hierarki di masa mendatang.Penggunaan kunci yang diperpanjang dikecualikan untuk mencegah penggunaan sertifikat CA sebagaiklien TLS atau sertifikat server. Tidak ada informasi CRL yang ditentukan karena sertifikat yangditandatangani sendiri tidak dapat dicabut.

RootCACertificate/V1




Kendala Dasar Penting, CA:TRUE


Versi latest116


Definisi templat



Penggunaan kunci Penting, tanda tangan digital, KeycertSign, tandatangan CRL

Titik distribusi CRL N/A

Definisi RootCACertificate_APIPassthrough/V1Templat ini memperpanjang RootCACertificate/V1 untuk mendukung nilai passthrough API dan CSR.

RootCACertificate_APIPassthrough/V1




Kendala Dasar Penting, CA:TRUE



Penggunaan kunci Penting, tanda tangan digital, keyCertSign, tandatangan CRL

Titik distribusi CRL* N/A

Definisi SubordinateCACertificate_PathLen0/V1Templat ini digunakan untuk menerbitkan sertifikat CA bawahan dengan panjang jalur 0. SertifikatCA menyertakan ekstensi batasan Dasar yang penting dengan bidang CA yang diatur ke TRUE untukmenunjukkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Penggunaan kunci yangdiperpanjang tidak disertakan, sehingga sertifikat CA tidak digunakan sebagai klien TLS atau sertifikatserver.

Untuk informasi selengkapnya tentang jalur sertifikat, lihat Menetapkan Batasan Panjang di Jalur Sertifikat.

SubordinateCACertificate_PathLen0/V1








Versi latest117

https://docs.aws.amazon.com/acm-pca/latest/userguide/ca-hierarchy.html#length-constraints


Definisi templat



*Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CAdikonfigurasi dengan pembuatan CRL diaktifkan.

definisiSubordinateCACertificate_PathLen0_APICSRPassthrough/V1Templat ini memperpanjang SubordinateCACertificate_PathLen0/V1 untuk mendukung nilai passthroughAPI dan CSR.

SubordinateCACertificate_PathLen0_APICSRPassthrough/V1










Definisi SubordinateCACertificate_PathLen0_APIPassthrough/V1Templat ini memperpanjang SubordinateCACertificate_PathLen0/V1 untuk mendukung nilai passthroughAPI dan CSR.

SubordinateCACertificate_PathLen0_APIPassthrough/V1









Versi latest118


Definisi templat


Definisi SubordinateCACertificate_PathLen0_CSRPassthrough/V1Templat ini identik dengan templat SubordinateCACertificate_PathLen0 dengan satu perbedaan:Dalam templat ini, ACM Private CA meneruskan ekstensi tambahan dari permintaan penandatanganansertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukandalam templat selalu menimpa ekstensi di CSR.

Note

CSR yang berisi ekstensi tambahan khusus harus dibuat di luar ACM Private CA.

SubordinateCACertificate_PathLen0_CSRPassthrough/V1


















Versi latest119



Definisi templat






DefinisiSubordinateCACertificate_PathLen1_APICSRPassthrough/V1Templat ini memperpanjang SubordinateCACertificate_PathLen1/V1 untuk mendukung nilai passthroughAPI dan CSR.



















Versi latest120


Definisi templat






Note

















Versi latest121



Definisi templat

























Versi latest122


Definisi templat









Note













Versi latest123


Definisi templat























definisi SubordinateCACertificate_PathLen3_APIPassthrough/V1Templat ini memperpanjang SubordinateCACertificate_PathLen3/V1 untuk mendukung nilai passthroughAPI dan CSR.

Versi latest124



Definisi templat












Note












Versi latest125


Menggunakan API ACM Private CA(contoh Java)

Anda dapat menggunakan API AWS Certificate Manager Private Certificate Authority untuk pemrogramanberinteraksi dengan layanan dengan mengirimkan permintaan HTTP. Layanan tersebut mengembalikantanggapan HTTP. Untuk informasi lebih lanjut lihat Referensi API AWS Certificate Manager PrivateCertificate Authority.

Selain API HTTP, Anda dapat menggunakan SDK AWS dan alat baris perintah untuk berinteraksi denganACM Private CA. Hal ini direkomendasikan melalui API HTTP. Untuk informasi lebih lanjut, lihat Alat untukLayanan Web Amazon. Topik berikut menunjukkan kepada Anda cara menggunakan AWS SDK for Javauntuk memprogram API ACM PCA.

Operasi GetCertificateAuthorityCsr (p. 155), GetCertificate (p. 152), danDescribeCertificateAuthorityAuditReport (p. 150)mendukung penunggu. Anda dapat menggunakanpenunggu untuk mengontrol perkembangan kode Anda berdasarkan kehadiran atau keadaan sumber dayatertentu. Untuk informasi selengkapnya, lihat topik berikut, serta Penunggu AWS SDK for Java di BlogDeveloper AWS.

Topik• Membuat dan mengaktifkan CA akar secara terprogram (p. 127)• Membuat dan mengaktifkan CA bawahan secara terprogram (p. 132)• CreateCertificateAuthority (p. 139)• CreateCertificateAuthorityAuditReport (p. 141)• CreatePermission (p. 143)• DeleteCertificateAuthority (p. 144)• DeletePermission (p. 146)• DeletePolicy (p. 147)• DescribeCertificateAuthority (p. 149)• DescribeCertificateAuthorityAuditReport (p. 150)• GetCertificate (p. 152)• GetCertificateAuthorityCertificate (p. 154)• GetCertificateAuthorityCsr (p. 155)• GetPolicy (p. 157)• ImportCertificateAuthorityCertificate (p. 158)• IssueCertificate (p. 160)• ListCertificateAuthorities (p. 162)• ListPermissions (p. 165)• ListTags (p. 167)• PutPolicy (p. 168)• RestoreCertificateAuthority (p. 170)• RevokeCertificate (p. 171)• TagCertificateAuthorities (p. 172)• UntagCertificateAuthority (p. 174)• UpdateCertificateAuthority (p. 175)

Versi latest126



http://aws.amazon.com/tools/

http://aws.amazon.com/tools/

http://aws.amazon.com/sdk-for-java/

http://aws.amazon.com/blogs/developer/waiters-in-the-aws-sdk-for-java/

http://aws.amazon.com/blogs/developer/

http://aws.amazon.com/blogs/developer/


Membuat dan mengaktifkan CA akar secara terprogram

Membuat dan mengaktifkan CA akar secaraterprogram

Sampel Java ini menunjukkan cara mengaktifkan akar CA menggunakan tindakan ACM Private CA APIberikut:

• CreateCertificateAuthority• GetCertificateAuthorityCsr• IssueCertificate• GetCertificate• ImportCertificateAuthorityCertificate

package com.amazonaws.samples;

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.client.builder.AwsClientBuilder;import com.amazonaws.client.builder.AwsClientBuilder.EndpointConfiguration;import com.amazonaws.samples.GetCertificateAuthorityCertificate;import com.amazonaws.auth.AWSStaticCredentialsProvider;

import com.amazonaws.services.acmpca.AWSACMPCA;import com.amazonaws.services.acmpca.AWSACMPCAClientBuilder;

import com.amazonaws.services.acmpca.model.ASN1Subject;import com.amazonaws.services.acmpca.model.CertificateAuthorityConfiguration;import com.amazonaws.services.acmpca.model.CertificateAuthorityType;import com.amazonaws.services.acmpca.model.CreateCertificateAuthorityResult;import com.amazonaws.services.acmpca.model.CreateCertificateAuthorityRequest;import com.amazonaws.services.acmpca.model.CrlConfiguration;import com.amazonaws.services.acmpca.model.KeyAlgorithm;import com.amazonaws.services.acmpca.model.SigningAlgorithm;import com.amazonaws.services.acmpca.model.Tag;

import java.nio.ByteBuffer;import java.nio.charset.StandardCharsets;import java.util.ArrayList;import java.util.Objects;

import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrRequest;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrResult;import com.amazonaws.services.acmpca.model.GetCertificateRequest;import com.amazonaws.services.acmpca.model.GetCertificateResult;import com.amazonaws.services.acmpca.model.ImportCertificateAuthorityCertificateRequest;import com.amazonaws.services.acmpca.model.IssueCertificateRequest;import com.amazonaws.services.acmpca.model.IssueCertificateResult;import com.amazonaws.services.acmpca.model.SigningAlgorithm;import com.amazonaws.services.acmpca.model.Validity;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.CertificateMismatchException;import com.amazonaws.services.acmpca.model.ConcurrentModificationException;import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidPolicyException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.MalformedCertificateException;

Versi latest127








import com.amazonaws.services.acmpca.model.MalformedCSRException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.RevocationConfiguration;import com.amazonaws.services.acmpca.model.AWSACMPCAException;

import com.amazonaws.waiters.Waiter;import com.amazonaws.waiters.WaiterParameters;import com.amazonaws.waiters.WaiterTimedOutException;import com.amazonaws.waiters.WaiterUnrecoverableException;

public class RootCAActivation { public static void main(String[] args) throws Exception { // Define the endpoint region for your sample. String endpointRegion = "region"; // Substitute your region here, e.g. "us-west-2"

// Define a CA subject. ASN1Subject subject = new ASN1Subject(); subject.setOrganization("Example Organization"); subject.setOrganizationalUnit("Example"); subject.setCountry("US"); subject.setState("Virginia"); subject.setLocality("Arlington"); subject.setCommonName("www.example.com");

// Define the CA configuration. CertificateAuthorityConfiguration configCA = new CertificateAuthorityConfiguration(); configCA.withKeyAlgorithm(KeyAlgorithm.RSA_2048); configCA.withSigningAlgorithm(SigningAlgorithm.SHA256WITHRSA); configCA.withSubject(subject);

// Define a certificate revocation list configuration. CrlConfiguration crlConfigure = new CrlConfiguration(); crlConfigure.withEnabled(true); crlConfigure.withExpirationInDays(365); crlConfigure.withCustomCname(null); crlConfigure.withS3BucketName("your-bucket-name");

// Define a certificate authority type CertificateAuthorityType CAtype = CertificateAuthorityType.ROOT;

// ** Execute core code samples for Root CA activation in sequence ** AWSACMPCA client = ClientBuilder(endpointRegion); String rootCAArn = CreateCertificateAuthority(configCA, crlConfigure, CAtype, client); String csr = GetCertificateAuthorityCsr(rootCAArn, client); String rootCertificateArn = IssueCertificate(rootCAArn, csr, client); String rootCertificate = GetCertificate(rootCertificateArn, rootCAArn, client); ImportCertificateAuthorityCertificate(rootCertificate, rootCAArn, client); }

private static AWSACMPCA ClientBuilder(String endpointRegion) { // Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (C:\\Users\\joneps\\.aws\\credentials), and is in valid format.", e);

Versi latest128



}

String endpointProtocol = "https://acm-pca." + endpointRegion + ".amazonaws.com/"; EndpointConfiguration endpoint = new AwsClientBuilder.EndpointConfiguration(endpointProtocol, endpointRegion); // Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

return client; }

private static String CreateCertificateAuthority(CertificateAuthorityConfiguration configCA, CrlConfiguration crlConfigure, CertificateAuthorityType CAtype, AWSACMPCA client) { RevocationConfiguration revokeConfig = new RevocationConfiguration(); revokeConfig.setCrlConfiguration(crlConfigure);

// Create the request object. CreateCertificateAuthorityRequest createCARequest = new CreateCertificateAuthorityRequest(); createCARequest.withCertificateAuthorityConfiguration(configCA); createCARequest.withRevocationConfiguration(revokeConfig); createCARequest.withIdempotencyToken("123987"); createCARequest.withCertificateAuthorityType(CAtype); // Create the private CA. CreateCertificateAuthorityResult createCAResult = null; try { createCAResult = client.createCertificateAuthority(createCARequest); } catch (InvalidArgsException ex) { throw ex; } catch (InvalidPolicyException ex) { throw ex; } catch (LimitExceededException ex) { throw ex; }

// Retrieve the ARN of the private CA. String rootCAArn = createCAResult.getCertificateAuthorityArn(); System.out.println("Root CA Arn: " + rootCAArn); return rootCAArn; }

private static String GetCertificateAuthorityCsr(String rootCAArn, AWSACMPCA client) {

// Create the CSR request object and set the CA ARN. GetCertificateAuthorityCsrRequest csrRequest = new GetCertificateAuthorityCsrRequest(); csrRequest.withCertificateAuthorityArn(rootCAArn);

// Create waiter to wait on successful creation of the CSR file. Waiter<GetCertificateAuthorityCsrRequest> getCSRWaiter = client.waiters().certificateAuthorityCSRCreated(); try { getCSRWaiter.run(new WaiterParameters<>(csrRequest)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) {

Versi latest129



//Unexpected service exception. }

// Retrieve the CSR. GetCertificateAuthorityCsrResult csrResult = null; try { csrResult = client.getCertificateAuthorityCsr(csrRequest); } catch (RequestInProgressException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; }

// Retrieve and display the CSR; String csr = csrResult.getCsr(); System.out.println(csr);

return csr; }

private static String IssueCertificate(String rootCAArn, String csr, AWSACMPCA client) {

// Create a certificate request: IssueCertificateRequest issueRequest = new IssueCertificateRequest();

// Set the CA ARN. issueRequest.withCertificateAuthorityArn(rootCAArn);

// Set the template ARN. issueRequest.withTemplateArn("arn:aws:acm-pca:::template/RootCACertificate/V1");

ByteBuffer csrByteBuffer = stringToByteBuffer(csr); issueRequest.setCsr(csrByteBuffer);

// Set the signing algorithm. issueRequest.withSigningAlgorithm(SigningAlgorithm.SHA256WITHRSA);

// Set the validity period for the certificate to be issued. Validity validity = new Validity(); validity.withValue(3650L); validity.withType("DAYS"); issueRequest.withValidity(validity);

// Set the idempotency token. issueRequest.setIdempotencyToken("1234");

// Issue the certificate. IssueCertificateResult issueResult = null; try { issueResult = client.issueCertificate(issueRequest); } catch (LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex; } catch (MalformedCSRException ex) {

Versi latest130



throw ex; }

// Retrieve and display the certificate ARN. String rootCertificateArn = issueResult.getCertificateArn(); System.out.println("Root Certificate Arn: " + rootCertificateArn);

return rootCertificateArn; } private static String GetCertificate(String rootCertificateArn, String rootCAArn, AWSACMPCA client) {

// Create a request object. GetCertificateRequest certificateRequest = new GetCertificateRequest();

// Set the certificate ARN. certificateRequest.withCertificateArn(rootCertificateArn);

// Set the certificate authority ARN. certificateRequest.withCertificateAuthorityArn(rootCAArn); // Create waiter to wait on successful creation of the certificate file. Waiter<GetCertificateRequest> getCertificateWaiter = client.waiters().certificateIssued(); try { getCertificateWaiter.run(new WaiterParameters<>(certificateRequest)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) { //Unexpected service exception. }

// Retrieve the certificate and certificate chain. GetCertificateResult certificateResult = null; try { certificateResult = client.getCertificate(certificateRequest); } catch (RequestInProgressException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; }

// Get the certificate and certificate chain and display the result. String rootCertificate = certificateResult.getCertificate(); System.out.println(rootCertificate);

return rootCertificate; }

private static void ImportCertificateAuthorityCertificate(String rootCertificate, String rootCAArn, AWSACMPCA client) {

// Create the request object and set the signed certificate, chain and CA ARN. ImportCertificateAuthorityCertificateRequest importRequest = new ImportCertificateAuthorityCertificateRequest();

Versi latest131


Membuat dan mengaktifkan CA bawahan secara terprogram

ByteBuffer certByteBuffer = stringToByteBuffer(rootCertificate); importRequest.setCertificate(certByteBuffer);

importRequest.setCertificateChain(null);

// Set the certificate authority ARN. importRequest.withCertificateAuthorityArn(rootCAArn);

// Import the certificate. try { client.importCertificateAuthorityCertificate(importRequest); } catch (CertificateMismatchException ex) { throw ex; } catch (MalformedCertificateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (RequestInProgressException ex) { throw ex; } catch (ConcurrentModificationException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; }

System.out.println("Root CA certificate successfully imported."); System.out.println("Root CA activated successfully."); } private static ByteBuffer stringToByteBuffer(final String string) { if (Objects.isNull(string)) { return null; } byte[] bytes = string.getBytes(StandardCharsets.UTF_8); return ByteBuffer.wrap(bytes); }}

Membuat dan mengaktifkan CA bawahan secaraterprogram

Contoh Java ini menunjukkan cara mengaktifkan CA bawahan menggunakan tindakan ACM Private CAAPI berikut:

• GetCertificateAuthorityCertificate• CreateCertificateAuthority• GetCertificateAuthorityCsr• IssueCertificate• GetCertificate• ImportCertificateAuthorityCertificate


import com.amazonaws.auth.AWSCredentials;

Versi latest132









import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.client.builder.AwsClientBuilder;import com.amazonaws.client.builder.AwsClientBuilder.EndpointConfiguration;import com.amazonaws.auth.AWSStaticCredentialsProvider;



import java.nio.ByteBuffer;import java.nio.charset.StandardCharsets;import java.util.ArrayList;import java.util.Objects;

import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCertificateRequest;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCertificateResult;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrRequest;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrResult;import com.amazonaws.services.acmpca.model.GetCertificateRequest;import com.amazonaws.services.acmpca.model.GetCertificateResult;import com.amazonaws.services.acmpca.model.ImportCertificateAuthorityCertificateRequest;import com.amazonaws.services.acmpca.model.IssueCertificateRequest;import com.amazonaws.services.acmpca.model.IssueCertificateResult;import com.amazonaws.services.acmpca.model.SigningAlgorithm;import com.amazonaws.services.acmpca.model.Validity;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.CertificateMismatchException;import com.amazonaws.services.acmpca.model.ConcurrentModificationException;import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidPolicyException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.MalformedCertificateException;import com.amazonaws.services.acmpca.model.MalformedCSRException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.RevocationConfiguration;import com.amazonaws.services.acmpca.model.AWSACMPCAException;


public class SubordinateCAActivation {

public static void main(String[] args) throws Exception { // Place your own Root CA ARN here. String rootCAArn = "arn:aws:acm-pca:region:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012";

// Define the endpoint region for your sample. String endpointRegion = "region"; // Substitute your region here, e.g. "us-west-2"

Versi latest133



// Define a CA subject. ASN1Subject subject = new ASN1Subject(); subject.setOrganization("Example Organization"); subject.setOrganizationalUnit("Example"); subject.setCountry("US"); subject.setState("Virginia"); subject.setLocality("Arlington"); subject.setCommonName("www.example.com");



// Define a certificate authority type CertificateAuthorityType CAtype = CertificateAuthorityType.SUBORDINATE;

// ** Execute core code samples for Subordinate CA activation in sequence ** AWSACMPCA client = ClientBuilder(endpointRegion); String rootCertificate = GetCertificateAuthorityCertificate(rootCAArn, client); String subordinateCAArn = CreateCertificateAuthority(configCA, crlConfigure, CAtype, client); String csr = GetCertificateAuthorityCsr(subordinateCAArn, client); String subordinateCertificateArn = IssueCertificate(rootCAArn, csr, client); String subordinateCertificate = GetCertificate(subordinateCertificateArn, rootCAArn, client); ImportCertificateAuthorityCertificate(subordinateCertificate, rootCertificate, subordinateCAArn, client);

}

private static AWSACMPCA ClientBuilder(String endpointRegion) { // Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (C:\\Users\\joneps\\.aws\\credentials), and is in valid format.", e); }

String endpointProtocol = "https://acm-pca." + endpointRegion + ".amazonaws.com/"; EndpointConfiguration endpoint = new AwsClientBuilder.EndpointConfiguration(endpointProtocol, endpointRegion); // Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

Versi latest134



return client; }

private static String GetCertificateAuthorityCertificate(String rootCAArn, AWSACMPCA client) { // ** GetCertificateAuthorityCertificate **

// Create a request object and set the certificate authority ARN, GetCertificateAuthorityCertificateRequest getCACertificateRequest = new GetCertificateAuthorityCertificateRequest(); getCACertificateRequest.withCertificateAuthorityArn(rootCAArn);

// Create a result object. GetCertificateAuthorityCertificateResult getCACertificateResult = null; try { getCACertificateResult = client.getCertificateAuthorityCertificate(getCACertificateRequest); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }

// Retrieve and display the certificate information. String rootCertificate = getCACertificateResult.getCertificate(); System.out.println("Root CA Certificate / Certificate Chain:"); System.out.println(rootCertificate);

return rootCertificate; }

private static String CreateCertificateAuthority(CertificateAuthorityConfiguration configCA, CrlConfiguration crlConfigure, CertificateAuthorityType CAtype, AWSACMPCA client) { RevocationConfiguration revokeConfig = new RevocationConfiguration(); revokeConfig.setCrlConfiguration(crlConfigure);

// Create the request object. CreateCertificateAuthorityRequest createCARequest = new CreateCertificateAuthorityRequest(); createCARequest.withCertificateAuthorityConfiguration(configCA); createCARequest.withRevocationConfiguration(revokeConfig); createCARequest.withIdempotencyToken("123987"); createCARequest.withCertificateAuthorityType(CAtype);

// Create the private CA. CreateCertificateAuthorityResult createCAResult = null; try { createCAResult = client.createCertificateAuthority(createCARequest); } catch (InvalidArgsException ex) { throw ex; } catch (InvalidPolicyException ex) { throw ex; } catch (LimitExceededException ex) { throw ex; }

// Retrieve the ARN of the private CA. String subordinateCAArn = createCAResult.getCertificateAuthorityArn(); System.out.println("Subordinate CA Arn: " + subordinateCAArn);

return subordinateCAArn; }

Versi latest135



private static String GetCertificateAuthorityCsr(String subordinateCAArn, AWSACMPCA client) {

// Create the CSR request object and set the CA ARN. GetCertificateAuthorityCsrRequest csrRequest = new GetCertificateAuthorityCsrRequest(); csrRequest.withCertificateAuthorityArn(subordinateCAArn);

// Create waiter to wait on successful creation of the CSR file. Waiter<GetCertificateAuthorityCsrRequest> getCSRWaiter = client.waiters().certificateAuthorityCSRCreated(); try { getCSRWaiter.run(new WaiterParameters<>(csrRequest)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch(AWSACMPCAException e) { //Unexpected service exception. }

// Retrieve the CSR. GetCertificateAuthorityCsrResult csrResult = null; try { csrResult = client.getCertificateAuthorityCsr(csrRequest); } catch (RequestInProgressException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; }

// Retrieve and display the CSR; String csr = csrResult.getCsr(); System.out.println("Subordinate CSR:"); System.out.println(csr);

return csr; }

private static String IssueCertificate(String rootCAArn, String csr, AWSACMPCA client) {

// Create a certificate request: IssueCertificateRequest issueRequest = new IssueCertificateRequest();

// Set the issuing CA ARN. issueRequest.withCertificateAuthorityArn(rootCAArn);

// Set the template ARN. issueRequest.withTemplateArn("arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1");

ByteBuffer csrByteBuffer = stringToByteBuffer(csr); issueRequest.setCsr(csrByteBuffer);

// Set the signing algorithm. issueRequest.withSigningAlgorithm(SigningAlgorithm.SHA256WITHRSA);

// Set the validity period for the certificate to be issued. Validity validity = new Validity(); validity.withValue(730L); // Approximately two years

Versi latest136



validity.withType("DAYS"); issueRequest.withValidity(validity);

// Set the idempotency token. issueRequest.setIdempotencyToken("1234");

// Issue the certificate. IssueCertificateResult issueResult = null; try { issueResult = client.issueCertificate(issueRequest); } catch (LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex; } catch (MalformedCSRException ex) { throw ex; }

// Retrieve and display the certificate ARN. String subordinateCertificateArn = issueResult.getCertificateArn(); System.out.println("Subordinate Certificate Arn: " + subordinateCertificateArn);

return subordinateCertificateArn; }

private static String GetCertificate(String subordinateCertificateArn, String rootCAArn, AWSACMPCA client) {

// Create a request object. GetCertificateRequest certificateRequest = new GetCertificateRequest();

// Set the certificate ARN. certificateRequest.withCertificateArn(subordinateCertificateArn);

// Set the certificate authority ARN. certificateRequest.withCertificateAuthorityArn(rootCAArn); // Create waiter to wait on successful creation of the certificate file. Waiter<GetCertificateRequest> getCertificateWaiter = client.waiters().certificateIssued(); try { getCertificateWaiter.run(new WaiterParameters<>(certificateRequest)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) { //Unexpected service exception. }

// Retrieve the certificate and certificate chain. GetCertificateResult certificateResult = null; try { certificateResult = client.getCertificate(certificateRequest); } catch (RequestInProgressException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) {

Versi latest137



throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; }

// Get the certificate and certificate chain and display the result. String subordinateCertificate = certificateResult.getCertificate(); System.out.println("Subordinate CA Certificate:"); System.out.println(subordinateCertificate);

return subordinateCertificate; }

private static void ImportCertificateAuthorityCertificate(String subordinateCertificate, String rootCertificate, String subordinateCAArn, AWSACMPCA client) {

// Create the request object and set the signed certificate, chain and CA ARN. ImportCertificateAuthorityCertificateRequest importRequest = new ImportCertificateAuthorityCertificateRequest();

ByteBuffer certByteBuffer = stringToByteBuffer(subordinateCertificate); importRequest.setCertificate(certByteBuffer);

ByteBuffer rootCACertByteBuffer = stringToByteBuffer(rootCertificate); importRequest.setCertificateChain(rootCACertByteBuffer);

// Set the certificate authority ARN. importRequest.withCertificateAuthorityArn(subordinateCAArn);

// Import the certificate. try { client.importCertificateAuthorityCertificate(importRequest); } catch (CertificateMismatchException ex) { throw ex; } catch (MalformedCertificateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (RequestInProgressException ex) { throw ex; } catch (ConcurrentModificationException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } System.out.println("Subordinate CA certificate successfully imported."); System.out.println("Subordinate CA activated successfully."); }

private static ByteBuffer stringToByteBuffer(final String string) { if (Objects.isNull(string)) { return null; } byte[] bytes = string.getBytes(StandardCharsets.UTF_8); return ByteBuffer.wrap(bytes); }}

Versi latest138


CreateCertificateAuthority

CreateCertificateAuthorityContoh Java berikut menunjukkan bagaimana menggunakan Operasi CreateCerticateAuthority.

Operasi ini membuat otoritas sertifikasi (CA) bawahan privat. Anda harus menentukan konfigurasi CA,konfigurasi pencabutan, jenis CA, dan token idempotensi opsional.

Konfigurasi CA menentukan hal berikut:

• Nama algoritme dan ukuran kunci yang akan digunakan untuk membuat kunci privat CA• Jenis algoritme penandatanganan yang digunakan CA untuk menandatangani• Informasi subjek X.500

Konfigurasi CRL menentukan hal berikut:

• Masa kedaluwarsa CRL dalam hari (masa berlaku CRL)• Bucket Amazon S3 yang akan berisi CRL• Alias CNAME untuk bucket S3 yang disertakan dalam sertifikat yang diterbitkan oleh CA

Jika berhasil, fungsi ini mengembalikan Amazon Resource Name (ARN) CA.


import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.client.builder.AwsClientBuilder;import com.amazonaws.client.builder.AwsClientBuilder.EndpointConfiguration;import com.amazonaws.auth.AWSStaticCredentialsProvider;



import java.util.ArrayList;import java.util.Objects;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.InvalidPolicyException;import com.amazonaws.services.acmpca.model.RevocationConfiguration;

public class CreateCertificateAuthority {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux.

Versi latest139



CreateCertificateAuthority

AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (C:\\Users\\joneps\\.aws\\credentials), and is in valid format.", e); } // Define the endpoint for your sample. String endpointRegion = "region"; // Substitute your region here, e.g. "us-west-2" String endpointProtocol = "https://acm-pca." + endpointRegion + ".amazonaws.com/"; EndpointConfiguration endpoint = new AwsClientBuilder.EndpointConfiguration(endpointProtocol, endpointRegion); // Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build(); // Define a CA subject. ASN1Subject subject = new ASN1Subject(); subject.setOrganization("Example Organization"); subject.setOrganizationalUnit("Example"); subject.setCountry("US"); subject.setState("Virginia"); subject.setLocality("Arlington"); subject.setCommonName("www.example.com");



RevocationConfiguration revokeConfig = new RevocationConfiguration(); revokeConfig.setCrlConfiguration(crlConfigure); // Define a certificate authority type: ROOT or SUBORDINATE CertificateAuthorityType CAtype = CertificateAuthorityType.<<SUBORDINATE>>; // Create a tag - method 1 Tag tag1 = new Tag(); tag1.withKey("PrivateCA"); tag1.withValue("Sample"); // Create a tag - method 2 Tag tag2 = new Tag() .withKey("Purpose") .withValue("WebServices"); // Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1);

Versi latest140


CreateCertificateAuthorityAuditReport

tags.add(tag2); // Create the request object. CreateCertificateAuthorityRequest req = new CreateCertificateAuthorityRequest(); req.withCertificateAuthorityConfiguration(configCA); req.withRevocationConfiguration(revokeConfig); req.withIdempotencyToken("123987"); req.withCertificateAuthorityType(CAtype); req.withTags(tags);

// Create the private CA. CreateCertificateAuthorityResult result = null; try { result = client.createCertificateAuthority(req); } catch (InvalidArgsException ex) { throw ex; } catch (InvalidPolicyException ex) { throw ex; } catch (LimitExceededException ex) { throw ex; }

// Retrieve the ARN of the private CA. String arn = result.getCertificateAuthorityArn(); System.out.println(arn); }}

Output Anda harus serupa dengan berikut ini:

arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

CreateCertificateAuthorityAuditReportSampel Java berikut menunjukkan cara menggunakan operasi CreateCertificateAuthorityAuditReport.

Operasi membuat laporan audit yang berisi daftar setiap kali sertifikat diterbitkan atau dicabut. Laporan inidisimpan di bucket Amazon S3 yang Anda tentukan pada input. Anda dapat membuat laporan baru setiap30 menit sekali.


import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.client.builder.AwsClientBuilder;import com.amazonaws.client.builder.AwsClientBuilder.EndpointConfiguration;import com.amazonaws.AmazonClientException;import com.amazonaws.auth.AWSStaticCredentialsProvider;


import com.amazonaws.services.acmpca.model.CreateCertificateAuthorityAuditReportRequest;import com.amazonaws.services.acmpca.model.CreateCertificateAuthorityAuditReportResult;

import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.InvalidArnException;

Versi latest141



CreateCertificateAuthorityAuditReport

import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidStateException;

public class CreateCertificateAuthorityAuditReport {


// Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException("Cannot load your credentials from file.", e); }

// Define the endpoint for your sample. String endpointRegion = "region"; // Substitute your region here, e.g. "us-west-2" String endpointProtocol = "https://acm-pca." + endpointRegion + ".amazonaws.com/"; EndpointConfiguration endpoint = new AwsClientBuilder.EndpointConfiguration(endpointProtocol, endpointRegion);

// Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the certificate authority ARN. CreateCertificateAuthorityAuditReportRequest req = new CreateCertificateAuthorityAuditReportRequest();

// Set the certificate authority ARN. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Specify the S3 bucket name for your report. req.setS3BucketName("your-bucket-name");

// Specify the audit response format. req.setAuditReportResponseFormat("JSON");

// Create a result object. CreateCertificateAuthorityAuditReportResult result = null; try { result = client.createCertificateAuthorityAuditReport(req); } catch (RequestInProgressException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; }

String ID = result.getAuditReportId(); String S3Key = result.getS3Key();

System.out.println(ID); System.out.println(S3Key);

Versi latest142


CreatePermission

}}


58904752-7de3-4bdf-ba89-6953e48c3cc7audit-report/16075838-061c-4f7a-b54b-49bbc111bcff/58904752-7de3-4bdf-ba89-6953e48c3cc7.json

CreatePermissionSampel Java berikut menunjukkan cara menggunakan operasi CreatePermission.

Operasi ini memberikan izin akses dari CA privat ke layanan utama AWS yang ditunjuk. Layanandapat diberikan izin untuk membuat dan mengambil sertifikat dari CA privat, serta mencantumkanizin aktif yang telah diberikan CA privat. Untuk memperbarui sertifikat melalui ACM secara otomatis,Anda harus menetapkan semua kemungkinan izin (IssueCertificate, GetCertificate, andListPermissions) dari CA ke layanan utama ACM (acm.amazonaws.com). Anda dapat menemukanARN CA dengan memanggil fungsi ListCertificateAuthorities.

Setelah izin dibuat, Anda dapat memeriksanya dengan fungsi ListPermissions atau menghapusnya denganfungsi DeletePermission.




import com.amazonaws.services.acmpca.model.CreatePermissionRequest;import com.amazonaws.services.acmpca.model.CreatePermissionResult;

import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.PermissionAlreadyExistsException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;

import java.util.ArrayList;

public class CreatePermission {



Versi latest143






DeleteCertificateAuthority



// Create a request object. CreatePermissionRequest req = new CreatePermissionRequest(); // Set the certificate authority ARN. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); // Set the permissions to give the user. ArrayList<String> permissions = new ArrayList<>(); permissions.add("IssueCertificate"); permissions.add("GetCertificate"); permissions.add("ListPermissions");

req.setActions(permissions); // Set the AWS principal. req.setPrincipal("acm.amazonaws.com");

// Create a result object. CreatePermissionResult result = null; try { result = client.createPermission(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (LimitExceededException ex) { throw ex; } catch (PermissionAlreadyExistsException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } }}

DeleteCertificateAuthoritySampel Java berikut menunjukkan cara menggunakan operasi DeleteCertificateAuthority.

Operasi ini menghapus Private Certificate Authority (CA) yang Anda buat menggunakan operasiCreateCertificateAuthority. Operasi DeleteCertificateAuthority mengharuskan Anda membiarkanARN agar dihapus CA. Anda dapat menemukan ARN dengan memanggil operasi ListCertificateAuthorities.Anda dapat langsung menghapus CA privat jika statusnya CREATING atau PENDING_CERTIFICATE.Namun, jika Anda telah mengimpor sertifikat, Anda tidak dapat langsung menghapusnya. Andaharus terlebih dahulu menonaktifkan CA dengan memanggil operasi UpdateCertificateAuthority

Versi latest144






DeleteCertificateAuthority

dan mengatur parameter Statuske DISABLED. Anda kemudian dapat menggunakan parameterPermanentDeletionTimeInDays dalam operasi DeleteCertificateAuthorityuntuk menentukanjumlah hari, dari 7 hingga 30 hari. Selama periode tersebut, CA privat dapat dikembalikan ke statusdisabled. Secara default, jika Anda tidak mengatur parameter PermanentDeletionTimeInDays,maka masa pemulihannya 30 hari. Setelah masa ini kedaluwarsa, CA privat dihapus secara permanen dantidak dapat dipulihkan. Untuk informasi lebih lanjut, lihat Memulihkan CA (p. 83).

Untuk sampel Java yang menunjukkan Anda cara menggunakan operasi RestoreCertificateAuthority, lihatRestoreCertificateAuthority (p. 170).




import com.amazonaws.services.acmpca.model.DeleteCertificateAuthorityRequest;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.RequestFailedException;

public class DeleteCertificateAuthority {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException("Cannot load your credentials from disk", e); }



// Create a requrest object and set the ARN of the private CA to delete. DeleteCertificateAuthorityRequest req = new DeleteCertificateAuthorityRequest();

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/11111111-2222-3333-4444-555555555555"); // Set the recovery period. req.withPermanentDeletionTimeInDays(12);

Versi latest145



DeletePermission

// Delete the CA. try { client.deleteCertificateAuthority(req); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } }}

DeletePermissionSampel Java berikut menunjukkan cara menggunakan operasi DeletePermission.

Operasi ini menghapus izin yang didelegasikan CA privat untuk layanan utama AWS menggunakan operasiCreatePermissions. Anda dapat menemukan ARN CA dengan memanggil fungsi ListCertificateAuthorities.Anda dapat memeriksa izin yang diberikan CA dengan memanggil fungsi ListPermissions.




import com.amazonaws.services.acmpca.model.DeletePermissionRequest;import com.amazonaws.services.acmpca.model.DeletePermissionResult;

import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;

public class DeletePermission {




Versi latest146






DeletePolicy


// Create a request object. DeletePermissionRequest req = new DeletePermissionRequest(); // Set the certificate authority ARN. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); // Set the AWS service principal. req.setPrincipal("acm.amazonaws.com");

// Create a result object. DeletePermissionResult result = null; try { result = client.deletePermission(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } }}

DeletePolicySampel Java berikut menunjukkan cara menggunakan operasi DeletePolicy.

Operasi ini menghapus kebijakan berbasis sumber daya yang melekat pada CA privat. Kebijakan berbasissumber daya digunakan untuk mengaktifkan pembagian lintas akun CA. Anda dapat menemukan ARN CAprivat dengan memanggil tindakan ListCertificateAuthorities.

Tindakan API yang terkait mencakup PutPolicy dan GetPolicy.




import com.amazonaws.services.acmpca.model.CreatePermissionRequest;import com.amazonaws.services.acmpca.model.CreatePermissionResult;

import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;

Versi latest147






DeletePolicy

import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.PermissionAlreadyExistsException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;


public class CreatePermission {





// Create a request object. CreatePermissionRequest req = new CreatePermissionRequest(); // Set the certificate authority ARN. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); // Set the permissions to give the user. ArrayList<String> permissions = new ArrayList<>(); permissions.add("IssueCertificate"); permissions.add("GetCertificate"); permissions.add("ListPermissions");

req.setActions(permissions); // Set the AWS principal. req.setPrincipal("acm.amazonaws.com");

// Create a result object. CreatePermissionResult result = null; try { result = client.createPermission(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (LimitExceededException ex) { throw ex; } catch (PermissionAlreadyExistsException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) {

Versi latest148


DescribeCertificateAuthority

throw ex; } }}

DescribeCertificateAuthoritySampel Java berikut menunjukkan cara menggunakan operasi DescribeCertificateAuthority.

Operasi ini mencantumkan informasi tentang Private Certificate Authority (CA) Anda. Anda harusmenentukan ARN (Nama Sumber Daya Amazon) dari CA privat. Output berisi status CA Anda. Statustersebut dapat berupa salah satu dari hal berikut:

• CREATING – ACM Private CA sedang membuat Private Certificate Authority Anda.• PENDING_CERTIFICATE – Sertifikat sedang ditunda. Anda harus menggunakan CA akar on premise

atau bawahan untuk menandatangani CSR CA privat Anda, lalu mengimpornya ke PCA.• ACTIVE – CA privat Anda sedang aktif.• DISABLED – CA privat Anda telah dinonaktifkan.• EXPIRED – Sertifikat CA privat Anda telah kedaluwarsa.• FAILED – CA privat Anda tidak dapat dibuat.• DELETED – CA privat Anda berada dalam masa pemulihan, yang setelahnya akan dihapus secara

permanen.




import com.amazonaws.services.acmpca.model.CertificateAuthority;import com.amazonaws.services.acmpca.model.DescribeCertificateAuthorityRequest;import com.amazonaws.services.acmpca.model.DescribeCertificateAuthorityResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;

public class DescribeCertificateAuthority {



// Define the endpoint for your sample. String endpointRegion = "region"; // Substitute your region here, e.g. "us-west-2"

Versi latest149


AWS Certificate Manager PrivateCertificate Authority Panduan PenggunaDescribeCertificateAuthorityAuditReport

String endpointProtocol = "https://acm-pca." + endpointRegion + ".amazonaws.com/"; EndpointConfiguration endpoint = new AwsClientBuilder.EndpointConfiguration(endpointProtocol, endpointRegion);


// Create a request object DescribeCertificateAuthorityRequest req = new DescribeCertificateAuthorityRequest();

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:"+ "certificate-authority/12345678-1234-1234-1234-123456789012");

// Create a result object. DescribeCertificateAuthorityResult result = null; try { result = client.describeCertificateAuthority(req); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }

// Retrieve and display information about the CA. CertificateAuthority PCA = result.getCertificateAuthority(); String strPCA = PCA.toString(); System.out.println(strPCA); }}

DescribeCertificateAuthorityAuditReportSampel Java berikut menunjukkan cara menggunakan operasi DescribeCertificateAuthorityAuditReport.

Operasi ini mencantumkan informasi tentang laporan audit khusus yang Anda buat dengan memanggiloperasi CreateCertificateAuthorityAuditReport. Informasi audit dibuat setiap kali kunci privat otoritassertifikasi (CA) digunakan. Kunci privat digunakan ketika Anda menerbitkan sertifikat, menandatanganiCRL, atau mencabut sertifikat.


import java.util.Date;



import com.amazonaws.services.acmpca.model.DescribeCertificateAuthorityAuditReportRequest;import com.amazonaws.services.acmpca.model.DescribeCertificateAuthorityAuditReportResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.InvalidArgsException;

Versi latest150

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_DescribeCertificateAuthorityAuditReport.html


AWS Certificate Manager PrivateCertificate Authority Panduan PenggunaDescribeCertificateAuthorityAuditReport

import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.AWSACMPCAException;


public class DescribeCertificateAuthorityAuditReport {





// Create a request object. DescribeCertificateAuthorityAuditReportRequest req = new DescribeCertificateAuthorityAuditReportRequest();

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Set the audit report ID. req.withAuditReportId("11111111-2222-3333-4444-555555555555"); // Create waiter to wait on successful creation of the audit report file. Waiter<DescribeCertificateAuthorityAuditReportRequest> waiter = client.waiters().auditReportCreated(); try { waiter.run(new WaiterParameters<>(req)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) { //Unexpected service exception. }

// Create a result object. DescribeCertificateAuthorityAuditReportResult result = null; try { result = client.describeCertificateAuthorityAuditReport(req); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex;

Versi latest151


GetCertificate

}

String status = result.getAuditReportStatus(); String S3Bucket = result.getS3BucketName(); String S3Key = result.getS3Key(); Date createdAt = result.getCreatedAt();

System.out.println(status); System.out.println(S3Bucket); System.out.println(S3Key); System.out.println(createdAt); }}


SUCCESSyour-audit-report-bucket-nameaudit-report/a4119411-8153-498a-a607-2cb77b858043/25211c3d-f2fe-479f-b437-fe2b3612bc45.jsonTue Jan 16 13:07:58 PST 2018

GetCertificateContoh Java berikut menunjukkan cara menggunakan operasi GetCertificate.

Operasi ini mengambil sertifikat dari CA privat Anda. Sertifikat ARN dikembalikan ketika Anda meneleponoperasi IssueCertificate. Anda harus menentukan ARN CA privat Anda dan ARN sertifikat yang dikeluarkansaat memanggil operasi GetCertificate. Anda dapat mengambil sertifikat jika dalam keadaan ISSUED.Anda dapat memanggil operasi CreateCertificateAuthorityAuditReport untuk membuat laporan yang berisiinformasi tentang semua sertifikat yang dikeluarkan dan dicabut oleh CA privat Anda.




import com.amazonaws.services.acmpca.model.GetCertificateRequest;import com.amazonaws.services.acmpca.model.GetCertificateResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.RequestFailedException ;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;


import com.amazonaws.services.acmpca.model.AWSACMPCAException;

public class GetCertificate {

Versi latest152





GetCertificate

public static void main(String[] args) throws Exception{



// Create a client. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build(); // Create a request object. GetCertificateRequest req = new GetCertificateRequest();

// Set the certificate ARN. req.withCertificateArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012" + "/certificate/793f0d5b6a04125e2c9cfb52373598fe");

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); // Create waiter to wait on successful creation of the certificate file. Waiter<GetCertificateRequest> waiter = client.waiters().certificateIssued(); try { waiter.run(new WaiterParameters<>(req)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) { //Unexpected service exception. }

// Retrieve the certificate and certificate chain. GetCertificateResult result = null; try { result = client.getCertificate(req); } catch (RequestInProgressException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; }

// Get the certificate and certificate chain and display the result.

Versi latest153


GetCertificateAuthorityCertificate

String strCert = result.getCertificate(); System.out.println(strCert); }}

Output Anda harus berupa rantai sertifikat yang mirip dengan berikut ini untuk otoritas sertifikasi (CA) dansertifikat yang Anda tentukan.

-----BEGIN CERTIFICATE----- base64-encoded certificate -----END CERTIFICATE-----



GetCertificateAuthorityCertificateSampel Java berikut menunjukkan cara menggunakan operasi GetCertificateAuthorityCertificate.

Operasi ini mengambil sertifikat dan rantai sertifikat untuk Private Certificate Authority (CA) Anda. Sertifikatdan rantai adalah string berkode base64 dalam format PEM. Rantai tidak menyertakan sertifikat CA. Setiapsertifikat dalam rantai menandatangani yang sebelumnya.




import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCertificateRequest;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCertificateResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.InvalidArnException;

public class GetCertificateAuthorityCertificate {




Versi latest154



GetCertificateAuthorityCsr


// Create a request object GetCertificateAuthorityCertificateRequest req = new GetCertificateAuthorityCertificateRequest();

// Set the certificate authority ARN, req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Create a result object. GetCertificateAuthorityCertificateResult result = null; try { result = client.getCertificateAuthorityCertificate(req); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }

// Retrieve and display the certificate information. String strPcaCert = result.getCertificate(); System.out.println(strPcaCert); String strPCACChain = result.getCertificateChain(); System.out.println(strPCACChain); }}

Output Anda harus berupa sertifikat dan rantai yang mirip dengan berikut ini untuk otoritas sertifikasi (CA)yang Anda tentukan.

-----BEGIN CERTIFICATE----- base64-encoded certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- base64-encoded certificate -----END CERTIFICATE-----

GetCertificateAuthorityCsrSampel Java berikut menunjukkan cara menggunakan operasi GetCertificateAuthorityCsr.

Operasi ini mengambil sertifikat permintaan penandatanganan (CSR) untuk Private CertificateAuthority (CA) Anda. CSR dibuat saat Anda memanggil operasi CreateCertificateAuthority. BawaCSR ke infrastruktur X.509 on premise Anda dan tandatangani menggunakan CA akar atau bawahan.Kemudian, impor sertifikat ditandatangani kembali ke ACM PCA dengan memanggil operasiImportCertificateAuthorityCertificate. CSR dikembalikan sebagai string berkode base64 dalam format PEM.



import com.amazonaws.services.acmpca.AWSACMPCA;

Versi latest155





GetCertificateAuthorityCsr

import com.amazonaws.services.acmpca.AWSACMPCAClientBuilder;

import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrRequest;import com.amazonaws.services.acmpca.model.GetCertificateAuthorityCsrResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.AWSACMPCAException;


public class GetCertificateAuthorityCsr {




// Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build(); // Create the request object and set the CA ARN. GetCertificateAuthorityCsrRequest req = new GetCertificateAuthorityCsrRequest(); req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account: " + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Create waiter to wait on successful creation of the CSR file. Waiter<GetCertificateAuthorityCsrRequest> waiter = client.waiters().certificateAuthorityCSRCreated(); try { waiter.run(new WaiterParameters<>(req)); } catch (WaiterUnrecoverableException e) { //Explicit short circuit when the recourse transitions into //an undesired state. } catch (WaiterTimedOutException e) { //Failed to transition into desired state even after polling. } catch (AWSACMPCAException e) { //Unexpected service exception. }

// Retrieve the CSR. GetCertificateAuthorityCsrResult result = null; try { result = client.getCertificateAuthorityCsr(req); } catch (RequestInProgressException ex) {

Versi latest156


GetPolicy

throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; }

// Retrieve and display the CSR; String Csr = result.getCsr(); System.out.println(Csr); }}

Output Anda harus serupa dengan berikut ini untuk otoritas sertifikasi (CA) yang Anda tentukan.Permintaan penandatanganan sertifikat (CSR) adalah berkode base64 dalam format PEM. Simpan ke fileon premise, kirim ke infrastruktur X.509 on premise Anda, dan tanda tangani dengan menggunakan CAakar atau bawahan.

-----BEGIN CERTIFICATE REQUEST----- base64-encoded request -----END CERTIFICATE REQUEST-----

GetPolicySampel Java berikut menunjukkan bagaimana menggunakan operasi GetPolicy.

Operasi mengambil kebijakan berbasis sumber daya yang melekat pada CA privat. Kebijakan berbasissumber daya digunakan untuk mengaktifkan berbagi lintas akun CA. Anda dapat menemukan ARN CAprivat dengan memanggil tindakan ListCertificateAuthorities.

Tindakan API terkait mencakup PutPolicy dan DeletePolicy.




import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.GetPolicyRequest;import com.amazonaws.services.acmpca.model.GetPolicyResult;import com.amazonaws.services.acmpca.model.AWSACMPCAException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;

public class GetPolicy {


// Retrieve your credentials from the C:\Users\name\.aws\credentials file // in Windows or the .aws/credentials file in Linux. AWSCredentials credentials = null;

Versi latest157






ImportCertificateAuthorityCertificate

try { credentials = new ProfileCredentialsProvider("default").getCredentials(); } catch (Exception e) { throw new AmazonClientException("Cannot load your credentials from file.", e); }



// Create the request object. GetPolicyRequest req = new GetPolicyRequest();

// Set the resource ARN. req.withResourceArn("arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012");

// Retrieve a list of your CAs. GetPolicyResult result= null; try { result = client.getPolicy(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (AWSACMPCAException ex) { throw ex; }

// Display the policy. System.out.println(result.getPolicy()); }}

ImportCertificateAuthorityCertificateSampel Java berikut menunjukkan cara menggunakan operasi ImportCertificateAuthorityCertificate.

Operasi ini mengimpor sertifikat CA privat ditandatangani Anda ke ACM Private CA. Sebelum Anda dapatmemanggil operasi ini, Anda harus membuat Private Certificate Authority dengan memanggil operasiCreateCertificateAuthority. Anda kemudian harus membuat permintaan penandatanganan sertifikat(CSR) dengan memanggil operasi GetCertificateAuthorityCsr. Ambil CSR ke CA on premise dan gunakansertifikat akar atau sertifikat bawahan untuk menandatanganinya. Membuat rantai sertifikat dan menyalinsertifikat ditandatangani dan rantai sertifikat ke direktori kerja Anda.


import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;

Versi latest158





ImportCertificateAuthorityCertificate

import com.amazonaws.client.builder.AwsClientBuilder;import com.amazonaws.client.builder.AwsClientBuilder.EndpointConfiguration;import com.amazonaws.auth.AWSStaticCredentialsProvider;


import com.amazonaws.services.acmpca.model.ImportCertificateAuthorityCertificateRequest;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.RequestInProgressException;import com.amazonaws.services.acmpca.model.MalformedCertificateException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.ConcurrentModificationException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.CertificateMismatchException;import com.amazonaws.services.acmpca.model.RequestFailedException;

import java.nio.ByteBuffer;import java.nio.charset.StandardCharsets;import java.util.Objects;

public class ImportCertificateAuthorityCertificate {

public static ByteBuffer stringToByteBuffer(final String string) { if (Objects.isNull(string)) { return null; } byte[] bytes = string.getBytes(StandardCharsets.UTF_8); return ByteBuffer.wrap(bytes); }





// Create the request object and set the signed certificate, chain and CA ARN. ImportCertificateAuthorityCertificateRequest req = new ImportCertificateAuthorityCertificateRequest();

// Set the signed certificate. String strCertificate = "-----BEGIN CERTIFICATE-----\n" + "base64-encoded certificate\n" + "-----END CERTIFICATE-----\n"; ByteBuffer certByteBuffer = stringToByteBuffer(strCertificate); req.setCertificate(certByteBuffer);

Versi latest159


IssueCertificate

// Set the certificate chain. String strCertificateChain = "-----BEGIN CERTIFICATE-----\n" + "base64-encoded certificate\n" + "-----END CERTIFICATE-----\n"; ByteBuffer chainByteBuffer = stringToByteBuffer(strCertificateChain); req.setCertificateChain(chainByteBuffer);

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account: " + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Import the certificate. try { client.importCertificateAuthorityCertificate(req); } catch (CertificateMismatchException ex) { throw ex; } catch (MalformedCertificateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (RequestInProgressException ex) { throw ex; } catch (ConcurrentModificationException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } }}

IssueCertificateSampel Java berikut menunjukkan cara menggunakan operasi IssueCertificate.

Operasi ini menggunakan Private Certificate Authority (CA) untuk menerbitkan sertifikat entitas akhir.Operasi ini mengembalikan Amazon Resource Name (ARN) sertifikat. Anda dapat mengambil sertifikatdengan memanggil GetCertificate dan menentukan ARN.

Note

Parameter operasi IssueCertificate mengharuskan Anda untuk menentukan templat sertifikat.Contoh ini menggunakan hal berikut: templat EndEntityCertificate/V1. Untuk informasitentang semua templat yang tersedia, lihat Memahami templat sertifikat (p. 94).



import java.nio.ByteBuffer;import java.nio.charset.StandardCharsets;import java.util.Objects;

import com.amazonaws.services.acmpca.AWSACMPCA;

Versi latest160





IssueCertificate

import com.amazonaws.services.acmpca.AWSACMPCAClientBuilder;

import com.amazonaws.services.acmpca.model.IssueCertificateRequest;import com.amazonaws.services.acmpca.model.IssueCertificateResult;import com.amazonaws.services.acmpca.model.SigningAlgorithm;import com.amazonaws.services.acmpca.model.Validity;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.LimitExceededException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.MalformedCSRException;

public class IssueCertificate { public static ByteBuffer stringToByteBuffer(final String string) { if (Objects.isNull(string)) { return null; } byte[] bytes = string.getBytes(StandardCharsets.UTF_8); return ByteBuffer.wrap(bytes); }





// Create a certificate request: IssueCertificateRequest req = new IssueCertificateRequest();

// Set the CA ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Specify the certificate signing request (CSR) for the certificate to be signed and issued. String strCSR = "-----BEGIN CERTIFICATE REQUEST-----\n" + "base64-encoded certificate\n" + "-----END CERTIFICATE REQUEST-----\n"; ByteBuffer csrByteBuffer = stringToByteBuffer(strCSR); req.setCsr(csrByteBuffer);

// Specify the template for the issued certificate. req.withTemplateArn("arn:aws:acm-pca:::template/EndEntityCertificate/V1");

Versi latest161


ListCertificateAuthorities

// Set the signing algorithm. req.withSigningAlgorithm(SigningAlgorithm.SHA256WITHRSA);

// Set the validity period for the certificate to be issued. Validity validity = new Validity(); validity.withValue(<<3650L>>); validity.withType("DAYS"); req.withValidity(validity);

// Set the idempotency token. req.setIdempotencyToken("1234");

// Issue the certificate. IssueCertificateResult result = null; try { result = client.issueCertificate(req); } catch (LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex; } catch (MalformedCSRException ex) { throw ex; }

// Retrieve and display the certificate ARN. String arn = result.getCertificateArn(); System.out.println(arn); }}


arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/2669d5cacb539c0830998c23babab8dc

ListCertificateAuthoritiesSampel Java berikut menunjukkan cara menggunakan operasi ListCertificateAuthorities.

Operasi ini mencantumkan Private Certificate Authority (CA) yang Anda buat menggunakan operasiCreateCertificateAuthority.




import com.amazonaws.AmazonClientException;

Versi latest162





import com.amazonaws.services.acmpca.model.ListCertificateAuthoritiesRequest;import com.amazonaws.services.acmpca.model.ListCertificateAuthoritiesResult;import com.amazonaws.services.acmpca.model.InvalidNextTokenException;

public class ListCertificateAuthorities {





// Create the request object. ListCertificateAuthoritiesRequest req = new ListCertificateAuthoritiesRequest(); req.withMaxResults(10);

// Retrieve a list of your CAs. ListCertificateAuthoritiesResult result= null; try { result = client.listCertificateAuthorities(req); } catch (InvalidNextTokenException ex) { throw ex; }

// Display the CA list. System.out.println(result.getCertificateAuthorities()); }}

Jika Anda memiliki otoritas sertifikasi (CA) untuk dicantumkan, output Anda harus serupa dengan berikutini:

[{ Arn: arn: aws: acm-pca: region: account: certificate-authority/12345678-1234-1234-1234-123456789012, CreatedAt: TueNov0712: 05: 39PST2017, LastStateChangeAt: WedJan1012: 35: 39PST2018, Type: SUBORDINATE, Serial: 4109, Status: DISABLED, NotBefore: TueNov0712: 19: 15PST2017, NotAfter: FriNov0513: 19: 15PDT2027, CertificateAuthorityConfiguration: { KeyType: RSA2048, SigningAlgorithm: SHA256WITHRSA, Subject: { Organization: ExampleCorp,

Versi latest163



OrganizationalUnit: HR, State: Washington, CommonName: www.example.com, Locality: Seattle, } }, RevocationConfiguration: { CrlConfiguration: { Enabled: true, ExpirationInDays: 3650, CustomCname: your-custom-name, S3BucketName: your-bucket-name } }},{ Arn: arn: aws: acm-pca: region: account>: certificate-authority/12345678-1234-1234-1234-123456789012, CreatedAt: WedSep1312: 54: 52PDT2017, LastStateChangeAt: WedSep1312: 54: 52PDT2017, Type: SUBORDINATE, Serial: 4100, Status: ACTIVE, NotBefore: WedSep1314: 11: 19PDT2017, NotAfter: SatSep1114: 11: 19PDT2027, CertificateAuthorityConfiguration: { KeyType: RSA2048, SigningAlgorithm: SHA256WITHRSA, Subject: { Country: US, Organization: ExampleCompany, OrganizationalUnit: Sales, State: Washington, CommonName: www.example.com, Locality: Seattle, } }, RevocationConfiguration: { CrlConfiguration: { Enabled: false, ExpirationInDays: 5, CustomCname: your-custom-name, S3BucketName: your-bucket-name } }},{ Arn: arn: aws: acm-pca: region: account>: certificate-authority/12345678-1234-1234-1234-123456789012, CreatedAt: FriJan1213: 57: 11PST2018, LastStateChangeAt: FriJan1213: 57: 11PST2018, Type: SUBORDINATE, Status: PENDING_CERTIFICATE, CertificateAuthorityConfiguration: { KeyType: RSA2048, SigningAlgorithm: SHA256WITHRSA, Subject: { Country: US, Organization: Examples-R-Us Ltd., OrganizationalUnit: corporate, State: WA, CommonName: www.examplesrus.com, Locality: Seattle,

Versi latest164


ListPermissions

} }, RevocationConfiguration: { CrlConfiguration: { Enabled: true, ExpirationInDays: 365, CustomCname: your-custom-name, S3BucketName: your-bucket-name } }},{ Arn: arn: aws: acm-pca: region: account>: certificate-authority/12345678-1234-1234-1234-123456789012, CreatedAt: FriJan0511: 14: 21PST2018, LastStateChangeAt: FriJan0511: 14: 21PST2018, Type: SUBORDINATE, Serial: 4116, Status: ACTIVE, NotBefore: FriJan0512: 12: 56PST2018, NotAfter: MonJan0312: 12: 56PST2028, CertificateAuthorityConfiguration: { KeyType: RSA2048, SigningAlgorithm: SHA256WITHRSA, Subject: { Country: US, Organization: ExamplesLLC, OrganizationalUnit: CorporateOffice, State: WA, CommonName: www.example.com, Locality: Seattle, } }, RevocationConfiguration: { CrlConfiguration: { Enabled: true, ExpirationInDays: 3650, CustomCname: your-custom-name, S3BucketName: your-bucket-name } }}]

ListPermissionsSampel Java berikut menunjukkan cara menggunakan operasi ListPermissions.

Operasi ini mencantumkan izin, jika ada, bahwa CA privat Anda telah ditetapkan. Izin, termasukIssueCertificate, GetCertificate, dan ListPermissions, dapat ditugaskan ke layanan utamaAWS dengan operasi CreatePermission, dan dicabut dengan operasi DeletePermissions.




Versi latest165





ListPermissions

import com.amazonaws.services.acmpca.model.ListPermissionsRequest;import com.amazonaws.services.acmpca.model.ListPermissionsResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidNextTokenException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.RequestFailedException;

public class ListPermissions {





// Create a request object and set the CA ARN. ListPermissionsRequest req = new ListPermissionsRequest(); req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// List the tags. ListPermissionsResult result = null; try { result = client.listPermissions(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch(RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Retrieve and display the permissions. System.out.println(result); }}

Jika CA privat yang ditunjuk telah menetapkan izin untuk layanan utama, output Anda harus mirip denganberikut ini:

[{

Versi latest166


ListTags

Arn: arn:aws:acm-pca:region:account:permission/12345678-1234-1234-1234-123456789012, CreatedAt: WedFeb0317: 05: 39PST2019, Prinicpal: acm.amazonaws.com, Permissions: { ISSUE_CERTIFICATE, GET_CERTIFICATE, DELETE,CERTIFICATE }, SourceAccount: account}]

ListTagsSampel Java berikut menunjukkan cara menggunakan operasi ListTags.

Operasi ini mencantumkan tag, jika ada, yang terkait dengan CA privat Anda. Tag adalah label yangdapat Anda gunakan untuk mengidentifikasi dan mengatur CA Anda. Setiap tag terdiri dari kunci dan nilaiopsional. Memanggil operasi TagCertificateAuthority guna menambahkan satu atau lebih tag untuk CAAnda. Memanggil operasi UntagCertificateAuthority untuk menghapus tag.




import com.amazonaws.services.acmpca.model.ListTagsRequest;import com.amazonaws.services.acmpca.model.ListTagsResult;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;

public class ListTags {




// Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials))

Versi latest167





PutPolicy

.build();

// Create a request object and set the CA ARN. ListTagsRequest req = new ListTagsRequest(); req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// List the tags ListTagsResult result = null; try { result = client.listTags(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Retrieve and display the tags. System.out.println(result); }}

Jika Anda memiliki tag untuk daftar, output Anda harus serupa dengan berikut ini:

{Tags: [{Key: Admin,Value: Alice}, {Key: Purpose,Value: WebServices}],}

PutPolicySampel Java berikut menunjukkan cara menggunakan operasi PutPolicy.

Operasi melampirkan kebijakan berbasis sumber daya ke CA privat, memungkinkan berbagi lintas-akun.Ketika disahkan oleh kebijakan, prinsip yang berada di akun AWS lain dapat menerbitkan dan memperbaruisertifikat entitas akhir privat menggunakan CA privat yang tidak dimilikinya. Anda dapat menemukan ARNCA privat dengan memanggil tindakan ListCertificateAuthorities. Untuk contoh kebijakan, lihat panduanACM Private CA di Kebijakan Berbasis Sumber Daya.

Setelah kebijakan dilampirkan ke CA, Anda dapat memeriksanya dengan tindakan GetPolicy ataumenghapusnya dengan tindakan DeletePolicy.




import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.PutPolicyRequest;import com.amazonaws.services.acmpca.model.PutPolicyResult;import com.amazonaws.services.acmpca.model.AWSACMPCAException;import com.amazonaws.services.acmpca.model.ConcurrentModificationException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.InvalidPolicyException;import com.amazonaws.services.acmpca.model.LockoutPreventedException;import com.amazonaws.services.acmpca.model.RequestFailedException;

Versi latest168



https://docs.aws.amazon.com/acm-pca/latest/userguide/pca-rbp.html




PutPolicy

import com.amazonaws.services.acmpca.model.ResourceNotFoundException;

import java.io.IOException;import java.nio.file.Files;import java.nio.file.Paths;

public class PutPolicy {





// Create the request object. PutPolicyRequest req = new PutPolicyRequest();

// Set the resource ARN. req.withResourceArn("arn:aws:acm-pca:region:account:certificate-authority/CA_ID");

// Import and set the policy. // Note: This code assumes the file "ShareResourceWithAccountPolicy.json" is in a folder titled policy. String policy = new String(Files.readAllBytes(Paths.get("policy", "ShareResourceWithAccountPolicy.json"))); req.withPolicy(policy);

// Retrieve a list of your CAs. PutPolicyResult result = null; try { result = client.putPolicy(req); } catch (ConcurrentModificationException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidPolicyException ex) { throw ex; } catch (LockoutPreventedException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (AWSACMPCAException ex) { throw ex; } }

Versi latest169


RestoreCertificateAuthority

}

RestoreCertificateAuthoritySampel Java berikut menunjukkan cara menggunakan operasi RestoreCertificateAuthority. CA privat dapatdipulihkan kapan saja selama masa pemulihan. Sekarang, masa ini dapat berlangsung 7 hingga 30 haridari tanggal penghapusan dan dapat ditentukan ketika Anda menghapus CA. Untuk informasi lebih lanjut,lihat Memulihkan CA (p. 83). Lihat juga contoh Java DeleteCertificateAuthority (p. 144).




import com.amazonaws.services.acmpca.model.RestoreCertificateAuthorityRequest;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;

public class RestoreCertificateAuthority {





// Create the request object. RestoreCertificateAuthorityRequest req = new RestoreCertificateAuthorityRequest();

// Set the certificate authority ARN. req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Restore the CA. try {

Versi latest170



RevokeCertificate

client.restoreCertificateAuthority(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } }}

RevokeCertificateSampel Java berikut menunjukkan cara menggunakan operasi RevokeCertificate.

Operasi ini mencabut sertifikat yang Anda terbitkan dengan memanggil operasi IssueCertificate. Jika Andamengaktifkan daftar pencabutan sertifikat (CRL) ketika Anda membuat atau memperbarui CA privat Anda,informasi tentang sertifikat dicabut disertakan dalam CRL. ACM Private CA menulis CRL bucket AmazonS3 yang Anda tentukan. Untuk informasi lebih lanjut, lihat struktur CrlConfiguration.




import com.amazonaws.services.acmpca.model.RevokeCertificateRequest;import com.amazonaws.services.acmpca.model.RevocationReason;

import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.RequestFailedException;import com.amazonaws.services.acmpca.model.RequestAlreadyProcessedException;import com.amazonaws.services.acmpca.model.RequestInProgressException;

public class RevokeCertificate {




Versi latest171



https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_CrlConfiguration.html


TagCertificateAuthorities


// Create a request object. RevokeCertificateRequest req = new RevokeCertificateRequest();

// Set the certificate authority ARN. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Set the certificate serial number. req.setCertificateSerial("79:3f:0d:5b:6a:04:12:5e:2c:9c:fb:52:37:35:98:fe");

// Set the RevocationReason. req.withRevocationReason(RevocationReason.<<KEY_COMPROMISE>>);

// Revoke the certificate. try { client.revokeCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (RequestAlreadyProcessedException ex) { throw ex; } catch (RequestInProgressException ex) { throw ex; } catch (RequestFailedException ex) { throw ex; } }}

TagCertificateAuthoritiesSampel Java berikut menunjukkan cara menggunakan operasi TagCertificateAuthority.

Operasi ini menambahkan satu atau lebih tag untuk CA privat Anda. Tag adalah label yang dapat Andagunakan untuk mengidentifikasi dan mengatur sumber daya AWS Anda. Setiap tag terdiri dari kunci dannilai opsional. Ketika Anda memanggil operasi ini, Anda menentukan CA privat oleh Amazon ResourceName (ARN). Anda menentukan tag dengan menggunakan pasangan nilai kunci. Untuk mengidentifikasikarakteristik tertentu dari CA itu, Anda dapat menerapkan tag untuk hanya satu CA privat. Atau, untukmemfilter hubungan umum di antara CAs tersebut, Anda dapat menerapkan tag yang sama untukbeberapa CA privat. Untuk menghapus satu tag atau lebih, gunakan operasi UntagCertificateAuthority.Panggil operasi ListTags untuk melihat tag apa yang dikaitkan dengan CA Anda.




Versi latest172

https://docs.aws.amazon.com/acm-pca/latest/APIReference/API_TagCertificateAuthority.html.html




TagCertificateAuthorities

import com.amazonaws.services.acmpca.model.TagCertificateAuthorityRequest;import com.amazonaws.services.acmpca.model.Tag;


import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidTagException;import com.amazonaws.services.acmpca.model.TooManyTagsException;

public class TagCertificateAuthorities {





// Create a tag - method 1 Tag tag1 = new Tag(); tag1.withKey("Administrator"); tag1.withValue("Bob");

// Create a tag - method 2 Tag tag2 = new Tag() .withKey("Purpose") .withValue("WebServices");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);

// Create a request object and specify the certificate authority ARN. TagCertificateAuthorityRequest req = new TagCertificateAuthorityRequest(); req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); req.setTags(tags);

// Add a tag try { client.tagCertificateAuthority(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidTagException ex) {

Versi latest173


UntagCertificateAuthority

throw ex; } catch (TooManyTagsException ex) { throw ex; } }}

UntagCertificateAuthoritySampel Java berikut menunjukkan cara menggunakan operasi UntagCertificateAuthority.

Operasi ini menghapus satu atau lebih tag dari CA privat Anda. Satu tag terdiri dari pasangan nilai kunci.Jika Anda tidak menentukan bagian nilai tag saat memanggil operasi ini, tag akan dihapus, terlepas darinilainya. Jika Anda menetapkan nilai, tag akan dihapus hanya jika dikaitkan dengan nilai yang ditentukan.Untuk menambahkan tag ke CA privat, gunakan operasi TagCertificateAuthority. Panggil operasi ListTagsuntuk melihat tag apa yang dikaitkan dengan CA Anda.





import com.amazonaws.services.acmpca.model.UntagCertificateAuthorityRequest;import com.amazonaws.services.acmpca.model.Tag;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidTagException;

public class UntagCertificateAuthority {




// Create a client that you can use to make requests. AWSACMPCA client = AWSACMPCAClientBuilder.standard() .withEndpointConfiguration(endpoint) .withCredentials(new AWSStaticCredentialsProvider(credentials))

Versi latest174





UpdateCertificateAuthority

.build();

// Create a Tag object with the tag to delete. Tag tag = new Tag(); tag.withKey("Administrator"); tag.withValue("Bob");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag);

// Create a request object and specify the certificate authority ARN. UntagCertificateAuthorityRequest req = new UntagCertificateAuthorityRequest(); req.withCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012"); req.withTags(tags);

// Delete the tag try { client.untagCertificateAuthority(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidTagException ex) { throw ex; } }}

UpdateCertificateAuthoritySampel Java berikut menunjukkan cara menggunakan operasi UpdateCertificateAuthority.

Operasi ini memperbarui status atau konfigurasi Private Certificate Authority (CA). CA privat Andaharus dalam keadaan ACTIVE atau DISABLED sebelum Anda dapat memperbaruinya. Anda dapatmenonaktifkan CA privat yang ada dalam keadaan ACTIVE atau membuat CA yang dalam status aktifDISABLED lagi.




import com.amazonaws.services.acmpca.model.UpdateCertificateAuthorityRequest;import com.amazonaws.services.acmpca.model.CertificateAuthorityStatus;

import com.amazonaws.AmazonClientException;import com.amazonaws.services.acmpca.model.ConcurrentModificationException;import com.amazonaws.services.acmpca.model.ResourceNotFoundException;import com.amazonaws.services.acmpca.model.InvalidArgsException;import com.amazonaws.services.acmpca.model.InvalidArnException;import com.amazonaws.services.acmpca.model.InvalidStateException;import com.amazonaws.services.acmpca.model.InvalidPolicyException;import com.amazonaws.services.acmpca.model.CrlConfiguration;

Versi latest175




import com.amazonaws.services.acmpca.model.RevocationConfiguration;

public class UpdateCertificateAuthority {





// Create the request object. UpdateCertificateAuthorityRequest req = new UpdateCertificateAuthorityRequest();

// Set the ARN of the private CA that you want to update. req.setCertificateAuthorityArn("arn:aws:acm-pca:region:account:" + "certificate-authority/12345678-1234-1234-1234-123456789012");

// Define the certificate revocation list configuration. If you do not want to // update the CRL configuration, leave the CrlConfiguration structure alone and // do not set it on your UpdateCertificateAuthorityRequest object. CrlConfiguration crlConfigure = new CrlConfiguration(); crlConfigure.withEnabled(true); crlConfigure.withExpirationInDays(365); crlConfigure.withCustomCname("your-custom-name"); crlConfigure.withS3BucketName("your-bucket-name");

// Set the CRL configuration onto your UpdateCertificateAuthorityRequest object. // If you do not want to change your CRL configuration, do not use the // setCrlConfiguration method. RevocationConfiguration revokeConfig = new RevocationConfiguration(); revokeConfig.setCrlConfiguration(crlConfigure); req.setRevocationConfiguration(revokeConfig);

// Set the status. req.withStatus(CertificateAuthorityStatus.<<ACTIVE>>);

// Create the result object. try { client.updateCertificateAuthority(req); } catch (ConcurrentModificationException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArgsException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidStateException ex) { throw ex;

Versi latest176



} catch (InvalidPolicyException ex) { throw ex; } }}

Versi latest177


Mendapatkan CSR

Penandatanganan sertifikat CA privatdengan CA eksternal

Jika akar kepercayaan hierarki CA privat Anda harus berupa CA di luar ACM Private CA, Anda dapatmembuat dan menandatangani sendiri CA akar Anda sendiri. Atau, Anda dapat memperoleh sertifikat CApribadi yang ditandatangani oleh CA privat eksternal yang dioperasikan oleh organisasi Anda. Gunakan CAyang diperoleh secara eksternal ini untuk menandatangani sertifikat CA bawahan privat yang dikelola olehACM Private CA.

Note

Prosedur untuk membuat atau memperoleh CA eksternal berada di luar cakupan panduan ini.

Menggunakan CA induk eksternal dengan ACM Private CA juga memungkinkan Anda menerapkanbatasan nama CA. Kendala nama ditentukan dalam standar infrastruktur kunci publik internet (PKI) RFC5280. Batasan memberikan cara bagi administrator CA untuk membatasi nama subjek dalam sertifikat.Untuk informasi selengkapnya, lihat bagian Kendala Nama pada RFC 5280.

ACM Private CA tidak dapat secara langsung menerbitkan sertifikat CA dengan batasan nama. Namun,Anda dapat menerbitkan sertifikat CA yang menyertakan batasan nama dari CA induk eksternal. ACMPrivate CA akan menerapkan batasan ini saat menerbitkan CA subordinat dan sertifikat entitas akhir. Untukinformasi lebih lanjut, lihat Menegakkan kendala nama pada CA privat (p. 183).

Topik• Mendapatkan permintaan penandatanganan sertifikat (CSR) dari ACM Private CA (p. 178)• Menandatangani sertifikat CA privat Anda (p. 180)• Mengimpor sertifikat CA privat Anda ke ACM Private CA (p. 182)• Menegakkan kendala nama pada CA privat (p. 183)

Mendapatkan permintaan penandatanganansertifikat (CSR) dari ACM Private CA

Jika Anda telah membuat CA bawahan privat yang ingin Anda tandatangani dengan CA eksternal, Andaharus mengambil permintaan penandatanganan sertifikat (CSR). Kemudian simpan ke file. Anda dapatmelakukan ini dengan menggunakan AWS Management Console atau AWS CLI seperti yang dibahasdalam prosedur berikut. Jika Anda ingin memeriksa CSR, gunakan perintah OpenSSL berikut:

openssl req -in path_to_CSR_file -text -noout

Perintah ini menghasilkan output yang terlihat seperti berikut ini. Perhatikan bahwa ekstensi CA adalahTRUE, yang menunjukkan bahwa CSR adalah untuk sertifikat CA.

Certificate Request: Data: Version: 0 (0x0) Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1 Subject Public Key Info:

Versi latest178


AWS Certificate Manager PrivateCertificate Authority Panduan PenggunaCara mengambil CSR (konsol): Metode 1

Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha256WithRSAEncryption c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc: a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d: ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c: ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75: de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a: ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14: 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47: f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f: 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d: 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33: 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7: d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6: 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38: 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18: d1:83:66:40

Cara mengambil CSR (konsol): Metode 1Gunakan prosedur ini jika Anda mengikuti langkah-langkah untuk membuat CA privat (p. 60) di ACMPrivate CA dan membiarkan kotak dialog Berhasil terbuka. Prosedur ini mengasumsikan bahwa saatmembuat CA, Anda menetapkan bahwa itu adalah CA bawahan.

Untuk mengambil CSR (konsol): Metode 1

1. Segera setelah ACM Private CA berhasil membuat CA privat Anda, di jendela Berhasil, pilih Mulai.2. Pilih CA privat eksternal dan Selanjutnya.3. Konsol mengembalikan CSR. Pilih Ekspor CSR ke file dan simpan secara lokal.4. Jika Anda tidak dapat segera melakukan langkah offline untuk mendapatkan sertifikat yang

ditandatangani dari otoritas penandatanganan eksternal, pilih Batalkan. Setelah Anda memilikisertifikat yang ditandatangani dan rantai sertifikat, Anda dapat menggunakan prosedur Caramengambil CSR (konsol): Metode 2 (p. 180) untuk mengimpornya ke ACM Private CA.

Jika tidak, jika Anda siap, pilih Selanjutnya.5. Ikuti instruksi di Menandatangani sertifikat CA privat Anda (p. 180).

Versi latest179

AWS Certificate Manager PrivateCertificate Authority Panduan PenggunaCara mengambil CSR (konsol): Metode 2

Cara mengambil CSR (konsol): Metode 2Gunakan prosedur ini jika Anda mengikuti langkah-langkah untuk membuat CA privat (p. 60) di ACMPrivate CA dan menutup kotak dialog Berhasil.

Untuk mengambil CSR (konsol): Metode 2

1. Saat Anda siap untuk melanjutkan, buka konsol AWS Certificate Manager dan pilih CA Privat di panelnavigasi kiri.

2. Pilih CA privat Anda dari daftar.3. Dari menu Tindakan, pilih Instal sertifikat CA.4. Pilih CA privat eksternal dan Selanjutnya.5. Konsol ACM Private CA mengembalikan CSR. Pilih Ekspor CSR ke file dan simpan secara lokal.6. Pilih Selanjutnya.7. Ikuti instruksi di Menandatangani sertifikat CA privat Anda (p. 180).

Mengambil CSR (AWS CLI)Gunakan prosedur ini untuk mengambil CSR menggunakan AWS Command Line Interface.

Untuk mengambil CSR (AWS CLI)

1. Gunakan perintah get-certificate-authority-csr untuk mengambil permintaan penandatanganan sertifikat(CSR) untuk CA privat Anda. Jika Anda ingin mengirim CSR ke tampilan Anda, gunakan opsi --output text untuk menghilangkan karakter CR/LF dari akhir setiap baris. Untuk mengirim CSR kefile, gunakan opsi mengalihkan kembali (>) diikuti dengan nama file.

aws acm-pca get-certificate-authority-csr \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/12345678-1234-1234-1234-123456789012 \--output text

2. Ikuti instruksi di Menandatangani sertifikat CA privat Anda (p. 180).

Menandatangani sertifikat CA privat AndaSetelah Anda membuat (p. 60) CA privat menggunakan ACM Private CA dan mengambil (p. 178)permintaan penandatanganan sertifikat (CSR), Anda harus membawa CSR ke infrastruktur X.509 eksternalAnda. Gunakan CA perantara atau akar untuk membuat sertifikat CA privat Anda dan menandatanganinya.Penandatanganan menegaskan identitas CA privat dalam organisasi Anda. Setelah Anda menyelesaikanproses ini, ikuti instruksi di Mengimpor sertifikat CA privat Anda ke ACM Private CA (p. 182).

Important

• Detail infrastruktur X.509 Anda dan hierarki CA di dalamnya berada di luar cakupan panduan ini.Untuk informasi lebih lanjut, lihat Membuat dan menandatangani sertifikat CA privat (p. 188).

• Masa berlaku CA pribadi ditentukan oleh masa berlaku yang Anda tentukan saat membuatsertifikat CA privat. Atur bidang Tidak Sebelum dan Tidak Setelah. Selain memberlakukanperiode yang ditentukan, ACM Private CA tidak membatasi masa pakai CA.

• Jika Anda harus membuat sertifikat CA yang secara efektif tidak pernah kedaluwarsa, tetapkannilai khusus 99991231235959Z di bidang Tidak Setelah. Kami tidak merekomendasikan inisebagai praktik umum.

Versi latest180

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html


Menandatangani sertifikat CA Anda

Sertifikat yang ditandatangani biasanya dikembalikan kepada Anda sebagai file atau string PEM yangdikodekan base64. Ini ditunjukkan dengan contoh berikut. Jika sertifikat dikodekan dalam format yangberbeda, Anda harus mengonversinya ke PEM. Berbagai perintah OpenSSL tersedia untuk melakukankonversi format.

-----BEGIN CERTIFICATE-----MIIDRzCCA............................9YFbLXtPgZooy2IgZ------END CERTIFICATE------

Anda dapat menggunakan perintah x509 OpenSSL untuk melihat konten sertifikat format PEM yangditandatangani.

openssl x509 -in path_to_certificate_file -text -noout

Perintah ini menghasilkan sertifikat yang mirip dengan contoh berikut.

Certificate: Data: Version: 3 (0x2) Serial Number: 4122 (0x101a) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Corp, CN=www.example.com/[email protected] Validity Not Before: Mar 29 19:28:43 2018 GMT Not After : Mar 26 19:28:43 2028 GMT Subject: O=Example Company, OU=Corporate Office, CN=Example Company CA 1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 3D:5B:CC:96:FA:A5:91:37:2A:C9:97:22:F8:AF:10:A7:4E:E1:A0:6A X509v3 Authority Key Identifier: keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0

X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign Signature Algorithm: sha256WithRSAEncryption

Versi latest181


Mengimpor sertifikat CA

7e:4b:7c:ca:31:b2:66:25:eb:99:26:91:e2:77:1b:7c:2c:a5: d5:e4:ab:c3:98:2a:a2:d7:d9:3b:4a:89:27:cd:94:5c:50:fb: 59:00:9b:13:56:08:da:87:3c:50:e4:eb:f9:b3:35:92:f8:72: d9:11:f0:1e:f3:3b:2e:f5:42:12:de:46:ce:36:ab:f7:b9:2f: 7e:dd:50:47:49:ad:a6:ee:f6:67:b3:c6:2f:6c:7a:fe:16:9c: 47:41:81:18:cd:ff:4e:b9:66:8b:ed:04:7a:d0:ce:cb:f3:88: c8:89:20:68:6a:2f:6c:3d:60:56:cb:5e:d3:e0:66:8a:32:d8: 88:19

Mengimpor sertifikat CA privat Anda ke ACMPrivate CA

Setelah Anda membuat (p. 60) CA bawahan privat Anda, mengambil (p. 178) permintaanpenandatanganan sertifikat (CSR), dan meminta akar eksternal atau otoritas perantara Andamenandatangani (p. 180) sertifikat CA, Anda harus mengimpor sertifikat ke ACM Private CA. Setelahmenandatangani dan mengimpor sertifikat, Anda dapat menggunakan CA bawahan privat Anda untukmenerbitkan dan mencabut sertifikat SSL/TLS privat yang tepercaya. Ini memungkinkan komunikasitepercaya antara pengguna, aplikasi, komputer, dan perangkat lain di dalam organisasi Anda. Sertifikattersebut tidak dapat dipercaya secara publik.

Anda juga harus mengambil rantai sertifikat yang berisi sertifikat CA perantara atau akar yang digunakanuntuk menandatangani sertifikat CA privat Anda dan semua sertifikat sebelumnya. Untuk membuat rantai,gabungkan sertifikat akar Anda, jika tersedia, dan semua sertifikat bawahan yang mungkin Anda milikike dalam satu file. Anda dapat menggunakan perintah cat (Linux) untuk melakukannya. Setiap sertifikatharus secara langsung mengesahkan sertifikat sebelumnya, dan seluruh rantai harus diformat PEM.Contoh berikut berisi tiga sertifikat, tetapi infrastruktur PKI Anda mungkin memiliki lebih banyak atau lebihsedikit.

-----BEGIN CERTIFICATE----- Base64-encoded intermediate CA certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64-encoded intermediate CA certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64-encoded root or intermediate CA certificate -----END CERTIFICATE-----

Note

ACM Private CA dengan aman membuat dan menyimpan kunci privat sertifikat Anda. Anda tidakpernah mengimpor kunci rahasia yang dihasilkan secara eksternal.

Mengimpor sertifikat CA privat (konsol)Anda dapat mengimpor sertifikat CA pribadi menggunakan AWS Management Console.

Untuk mengimpor sertifikat CA (konsol)

1. Jika konsol Anda masih terbuka untuk halaman Impor sertifikat otoritas sertifikat (CA) yangditandatangani, langsung ke langkah 8. Jika tidak, lanjutkan.


Versi latest182




Mengimpor sertifikat CA privat (AWS CLI)

3. Pilih CA Privat.4. Pilih CA bawahan privat Anda dari daftar CA. Di panel detail di bawah daftar, tampilan kotak Tindakan

diperlukan!.5. Dalam kotak Tindakan diperlukan!, pilih Impor sertifikat CA.6. Pilih CA privat eksternal dan Selanjutnya.7. Pada halaman Ekspor permintaan penandatanganan sertifikat (CSR), pilih Berikutnya.8. Di halaman Impor sertifikat otoritas sertifikasi (CA) yang ditandatangani, berikan informasi yang

diperlukan.

• Untuk Isi sertifikat, salin sertifikat CA privat Anda yang ditandatangani ke dalam kotak teks atauimpor dari file.

• Untuk Rantai sertifikat, salin rantai sertifikat ke dalam kotak teks atau impor dari file.

Kemudian pilih Selanjutnya.9. Pilih Konfirmasi dan instal untuk mengimpor sertifikat CA privat.

Mengimpor sertifikat CA privat (AWS CLI)Sebelum memulai, pastikan Anda memiliki sertifikat CA yang ditandatangani dan rantai sertifikat Andadalam file berformat PEM.

Untuk mengimpor sertifikat CA (AWS CLI)

Gunakan perintah import-certificate-authority-certificate untuk mengimpor sertifikat CA privat ke ACMPrivate CA.

$ aws acm-pca import-certificate-authority-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/12345678-1234-1234-1234-123456789012 \--certificate file://C:\example_ca_cert.pem \--certificate-chain file://C:\example_ca_cert_chain.pem

Menegakkan kendala nama pada CA privatKendala nama ditentukan dalam standar infrastruktur kunci publik internet (PKI) RFC 5280. Batasan inimenyediakan cara bagi administrator CA untuk membatasi nama subjek dalam sertifikat. Administratordapat mengontrol nama mana yang diizinkan atau dilarang dalam sertifikat yang dikeluarkan dari CA privatmereka. Misalnya, nama domain privat seperti "project1.corp" mungkin diizinkan. Tetapi nama domainprivat lain seperti "project2.corp" mungkin dicadangkan untuk proyek internal lain. Demikian pula, namaDNS publik seperti "example.com" atau "*.com" dapat ditolak. Untuk informasi selengkapnya, lihat bagianKendala Nama pada RFC 5280.

ACM Private CA memberlakukan batasan nama yang disertakan dalam sertifikat CA. Namun, sertifikat CAyang diterbitkan oleh ACM Private CA tidak dapat menyertakan batasan nama. Untuk menerapkan batasannama dalam hierarki CA privat Anda, tanda tangani sertifikat CA terkelola AWS Anda dengan CA eksternalyang mendukung penerbitan sertifikat CA dengan batasan nama. Kemudian, impor sertifikat tersebut keACM Private CA. Batasan nama sekarang akan diwarisi oleh sertifikat yang diterbitkan oleh CA privatAnda.

Note

Prosedur untuk membuat atau memperoleh CA eksternal berada di luar cakupan panduan ini.

Versi latest183

https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html



Contoh kebijakan kendala nama

Batasan nama menentukan nama yang dapat diizinkan atau dikecualikan dalam subpohon sertifikatdownstream. Menerapkan batasan nama mencegah administrator CA bawahan dari menerbitkan sertifikatuntuk domain atau host di luar cakupan resmi.

ACM Private CA mendukung batasan nama untuk formulir nama berikut:

• IPAddress

• DirectoryName

• UniformResourceIdentifier

• EmailAddress

• DNSName

ACM Private CA tidak akan mengimpor sertifikat yang dikonfigurasi untuk menerapkan batasan nama untuksalah satu formulir nama yang tidak didukung berikut ini:

• OtherName

• X400Address

• RegisteredID

• EDIPartyName

Contoh kebijakan kendala namaSetiap contoh berikut menyertakan kebijakan sertifikat rintisan yang menentukan sekumpulan batasannama. Contoh-contoh tersebut juga mencakup penjelasan tentang pembatasan yang dihasilkan padapenerbitan sertifikat. Aturan umum berikut berlaku:

• Batasan nama dinyatakan sebagai subpohon yang diizinkan, subpohon yang dikecualikan, ataukeduanya.

• Subpohon yang diizinkan dan dikecualikan berisi pola yang cocok, yang mungkin kosong. Jika subpohonpermitted kosong, maka semua nama dalam formulir itu ditolak. Demikian pula, jika subpohonexcluded kosong, maka semua nama dalam formulir itu diperbolehkan.

• Jika formulir nama tidak terdaftar, maka semua nama dalam formulir itu diperbolehkan.• Menempatkan batasan pada satu formulir nama tidak berpengaruh pada formulir nama lainnya.

Hanya subpohon yang diizinkannameConstraints=critical,permitted;DNSName:.privateDNSName:.localDNSName:.corpUniformResourceIdentifier:

Hasil: Nama DNS hanya diperbolehkan jika cocok dengan ".private", ".local", atau ".corp". Nama dalamformulir UniformResourceIdentifier ditolak karena tidak ada pola yang cocok. Semua nama dalamformulir tidak terdaftar yang didukung diperbolehkan.

Hanya subpohon yang dikecualikannameConstraints=critical,excluded;DNSName:.example.comDNSName:.local

Versi latest184


Contoh kebijakan kendala nama

Hasil: Nama DNS ditolak jika cocok dengan ".example.com" atau ".local". Semua nama dalam formulir tidakterdaftar yang didukung diperbolehkan.

Subpohon yang diizinkan DAN dikecualikannameConstraints=critical,permitted;DNSName:.privateDNSName:.localDNSName:.corpnameConstraints=critical,excluded;DNSName:.secret.corpDNSName:.example.com

Hasil: Nama DNS yang cocok dengan ".private" atau ".local" diperbolehkan. Nama DNS yang cocokdengan ".corp" diizinkan kecuali jika nama itu juga cocok dengan ".secret.corp". Nama DNS yang cocokdengan ".example.com" ditolak. Semua nama dalam formulir tidak terdaftar yang didukung diperbolehkan.

Hanya subpohon yang diizinkan, ditentukan dalam dua sertifikatCA dalam rantaiRoot CA:nameConstraints=critical,permitted;DNSName:.privateDNSName:.localDNSName:.corp

Subordinate CA:nameConstraints=critical,permitted;DNSName:sub.privateDNSName:a.b.local

Hasil: Nama DNS diperbolehkan jika cocok dengan "sub.private" atau "a.b.local". Nama DNS yang cocokdengan ".corp" ditolak. Semua nama dalam formulir tidak terdaftar yang didukung diperbolehkan.

Subpohon yang dikecualikan saja, ditentukan dalam dua sertifikatCA dalam rantaiRoot CA:nameConstraints=critical,excluded;DNSName:foo.privateDNSName:foo.exampleSubordinate CA:nameConstraints=critical,excluded;DNSName:bar.privateDNSName:.exampleIPAddress:0.0.0.0/0

Hasil: Nama DNS diperbolehkan kecuali jika cocok dengan "foo.private", "bar.private", atau ".example".Nama dalam formulir IPAddress ditolak karena pola yang cocok mirip dengan semua alamat IP. Semuanama dalam formulir tidak terdaftar yang didukung diperbolehkan.

Versi latest185


Mengamankan Kubernetes denganACM Private CA

Kontainer dan aplikasi Kubernetes menggunakan sertifikat digital untuk menyediakan autentikasi danenkripsi yang aman melalui TLS. Solusi yang diadopsi secara luas untuk manajemen siklus hidupsertifikat TLS di Kubernetes adalah cert-manager, add-on untuk Kubernetes yang meminta sertifikat,mendistribusikannya ke container Kubernetes, dan mengotomatiskan pembaruan sertifikat.

ACM Private CA menyediakan pencolokan sumber terbuka untuk cert-manager, aws-privateca-issuer,yang memungkinkan pelanggan yang menggunakan cert-manager untuk meningkatkan keamanan atascert-manager CA default, yang menyimpan kunci dalam plaintext di memori server. Pelanggan denganpersyaratan peraturan untuk mengontrol akses ke dan mengaudit operasi CA mereka dapat menggunakansolusi ini untuk meningkatkan kemampuan audit dan mendukung kepatuhan. Anda dapat menggunakanplugin Penerbit Private CA AWS dengan Amazon Elastic Kubernetes Service (Amazon EKS), Kubernetesyang dikelola sendiri di AWS, atau di Kubernetes on premise.

Diagram di bawah menunjukkan beberapa opsi yang tersedia untuk menggunakan TLS dengan klasterKubernetes. Klaster contoh ini, yang berisi berbagai sumber daya, terletak di belakang penyeimbangbeban. Angka-angka tersebut mengidentifikasi titik akhir yang mungkin untuk komunikasi yang diamankandengan TLS, termasuk penyeimbang beban eksternal, pengendali ingress, pod individu dalam layanan,dan sepasang pod yang berkomunikasi secara aman satu sama lain.

Versi latest186

https://cert-manager.io/docs/

https://github.com/cert-manager/aws-privateca-issuer


Solusi contoh

1. Pengakhiran pada penyeimbang beban.

Elastic Load Balancing (ELB) adalah layanan terintegrasi AWS Certificate Manager, yang berarti Andadapat menyediakan ACM dengan CA privat, menandatangani sertifikat dengannya, dan menginstalnyamenggunakan konsol ELB. Solusi ini menyediakan komunikasi terenkripsi antara klien jarak jauh danpenyeimbang beban. Data diteruskan tanpa dienkripsi ke klaster EKS. Atau, Anda dapat memberikansertifikat privat ke penyeimbang beban bukan AWS untuk mengakhiri TLS.

2. Pengakhiran di pengendali ingress Kubernetes.

Pengendali ingress berada di dalam klaster EKS sebagai penyeimbang beban asli dan router. JikaAnda telah menginstal cert-manager dan aws-privateca-issuer, dan menyediakan klaster denganCA privat, Kubernetes dapat menginstal sertifikat TLS yang ditandatangani pada pengendali, yangmemungkinkannya berfungsi sebagai titik akhir klaster untuk komunikasi eksternal. Komunikasi antarapenyeimbang beban dan pengendali ingress dienkripsi, dan setelah ingress, data melewati tanpaterenkripsi ke sumber daya klaster.

3. Pengakhiran di pod.

Setiap pod adalah grup dari satu kontainer atau lebih (misalnya, kontainer Docker) yang berbagipenyimpanan dan sumber daya jaringan. Jika Anda telah menginstal cert-manager dan aws-privateca-issuer, dan menyediakan klaster dengan CA privat, Kubernetes dapat menginstal sertifikat TLS yangditandatangani pada pod sesuai kebutuhan. Koneksi TLS yang berakhir pada pod tidak tersedia secaradefault untuk pod lain dalam klaster.

4. Komunikasi yang aman antar pod.

Anda juga dapat menyediakan beberapa pod dengan sertifikat yang memungkinkan mereka untukberkomunikasi satu sama lain. Skenario berikut ini mungkin terjadi:• Penyediaan dengan sertifikat yang ditandatangani sendiri dan dibuat oleh Kubernetes. Ini

mengamankan komunikasi antar pod, tetapi sertifikat yang ditandatangani sendiri tidak memenuhipersyaratan HIPAA atau FIPS.

• Penyediaan dengan sertifikat yang ditandatangani oleh CA privat. Seperti pada nomor 2 dan 3 diatas, ini memerlukan penginstalan cert-manager dan aws-privateca-issuer, dan menyediakan klasterdengan CA privat. Kubernetes kemudian dapat menginstal sertifikat TLS yang ditandatangani padapod sesuai kebutuhan.

Solusi contohSolusi integrasi berikut menunjukkan cara mengonfigurasi akses ke ACM Private CA di klaster AmazonEKS.

• Klaster Kubernetes berkemampuan TLS dengan ACM Private CA dan Amazon EKS

Versi latest187

https://go.aws/3ifFNEJ


Penandatanganan CSR

TroubleshootingKonsultasikan topik berikut jika Anda memiliki masalah dalam menggunakan AWS Certificate ManagerPrivate Certificate Authority.

Topik• Membuat dan menandatangani sertifikat CA privat (p. 188)• Konfigurasikan Amazon S3 untuk memungkinkan pembuatan bucket CRL (p. 188)• Menghapus sertifikat CA yang ditandatangani sendiri (p. 188)• Izin Amazon S3 dan bucket CRL (p. 188)• Menangani pengecualian (p. 189)

Membuat dan menandatangani sertifikat CA privatSetelah membuat CA privat, Anda harus mengambil CSR dan mengirimkannya ke CA perantara atau akardi infrastruktur X.509 Anda. CA Anda menggunakan CSR untuk membuat sertifikat CA privat Anda dankemudian menandatangani sertifikat tersebut sebelum mengembalikannya kepada Anda.

Sayangnya, tidak mungkin memberikan saran khusus tentang masalah yang terkait dengan pembuatandan penandatanganan sertifikat CA privat Anda. Detail infrastruktur X.509 Anda dan hierarki CA didalamnya berada di luar cakupan dokumentasi ini.

Konfigurasikan Amazon S3 untuk memungkinkanpembuatan bucket CRL

CA privat Anda mungkin gagal membuat bucket CRL jika Blokir akses publik (pengaturan bucket) AmazonS3 diterapkan di akun Anda. Periksa pengaturan Amazon S3 Anda jika ini terjadi. Untuk informasi lebihlanjut, lihat Menggunakan Amazon S3 Block Public Access.

Menghapus sertifikat CA yang ditandatanganisendiri

Anda tidak dapat mencabut sertifikat CA yang ditandatangani sendiri. Sebagai gantinya, Anda harusmenghapus CA.

Izin Amazon S3 dan bucket CRLACM Private CA dan entitas keamanan IAM harus memiliki izin untuk menulis ke bucket Amazon S3 yangAnda tentukan untuk CRL Anda. Jika entitas keamanan IAM yang melakukan panggilan tidak memilikiizin untuk menulis ke bucket, maka pengecualian akan dilemparkan. Untuk memberikan pemberitahuantentang hal ini, konfigurasikan alarm untuk metrik MisconfiguredCRLBucket di Amazon CloudWatch.Untuk informasi selengkapnya, lihat Mengonfigurasi Akses ke ACM Private CA dan Metrik CloudWatchyang Didukung.

Versi latest188

https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaAuthAccess.html




Menangani pengecualian

Jika Anda menemukan pengecualian ini, periksa apakah Anda belum memilih opsi konfigurasi Blokir aksespublik ke bucket dan objek yang diberikan melalui daftar kontrol akses (ACL) baru di akun Amazon S3Anda. Untuk informasi selengkapnya, lihat Bagaimana Saya Mengedit Pengaturan Akses Publik untukBucket S3?. CRL mungkin juga gagal memperbarui seperti yang diharapkan jika Anda secara tidak sengajamengubah izin S3 sejak CRL dibuat.

Menangani pengecualianPerintah ACM Private CA mungkin gagal karena beberapa alasan. Untuk informasi tentang setiappengecualian dan rekomendasi untuk mengatasinya, lihat tabel di bawah ini.

Pengecualian ACM Private CA

Pengecualian Dikembalikan olehACM Private CA

Deskripsi Rekomendasi

AccessDeniedException Izin yang diperlukan untukmenggunakan perintah yangdiberikan belum didelegasikanoleh CA privat ke akun panggilan.

Untuk informasi tentangmendelegasikan izin di ACMPrivate CA, lihat Menetapkanizin perpanjangan sertifikat untukACM (p. 74).

InvalidArgsException Pembuatan sertifikat ataupermintaan perpanjangan dibuatdengan parameter yang tidakvalid.

Periksa dokumentasi individualperintah untuk memastikanparameter input Anda valid.Jika Anda membuat sertifikatbaru, pastikan bahwa algoritmepenandatanganan yang dimintadapat digunakan dengan jeniskunci CA.

InvalidStateException CA privat terkait tidak dapatmemperbarui sertifikat karenatidak dalam status ACTIVE.

Mencoba memulihkanCA privat (p. 83). Jika CAprivat berada di luar masapemulihannya, CA tidak dapatdipulihkan dan sertifikat tidakdapat diperpanjang.

LimitExceededException Setiap otoritas sertifikasi (CA)memiliki kuota sertifikat yangdapat diterbitkan. CA privatyang terkait dengan sertifikatyang ditunjuk telah mencapaikuotanya. Untuk informasi lebihlanjut, lihat Service Quotas diPanduan Referensi Umum AWS.

Hubungi Pusat Dukungan AWSuntuk meminta peningkatankuota.

MalformedCSRException Permintaan penandatanganansertifikat (CSR) yang dikirimkanke ACM Private CA tidak dapatdiverifikasi atau divalidasi.

Konfirmasikan bahwa CSR Andadibuat dan dikonfigurasi denganbenar.

OtherException Kesalahan internal telahmenyebabkan permintaan gagal.

Coba untuk menjalankanperintah lagi. Jika masalahberlanjut, hubungi AWS SupportCenter.

Versi latest189

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/block-public-access-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/block-public-access-bucket.html

https://docs.aws.amazon.com/general/latest/gr/acm-pca.html#limits_acm-pca

http://aws.amazon.com/premiumsupport/




Menangani pengecualian

Pengecualian Dikembalikan olehACM Private CA

Deskripsi Rekomendasi

RequestFailedException Masalah jaringan di lingkunganAWS Anda menyebabkanpermintaan gagal.

Coba lagi permintaannya. Jikakegagalan berlanjut, periksakonfigurasi Amazon VPC (VPC)Anda.

ResourceNotFoundException CA privat yang mengeluarkansertifikat telah dihapus dan tidakada lagi.

Minta sertifikat baru dari CA aktiflainnya.

ThrottlingException Tindakan API yang diminta gagalkarena melebihi kuota.

Konfirmasikan bahwa Andatidak melakukan lebih banyakpanggilan daripada yangdiizinkan oleh ACM Private CA.

KesalahanThrottlingExceptionjuga dapat terjadi karenaAnda mengalami kondisisementara dan bukan dari kuotayang terlampaui. Jika Andamenemukan kesalahan dan Andabelum melakukan panggilanmelebihi kuota, coba permintaanAnda lagi.

Jika Anda kehabisan kuota,Anda mungkin dapat memintapeningkatan. Untuk informasilebih lanjut, lihat Service Quotasdi Panduan Referensi UmumAWS.

ValidationException Parameter masukan permintaansalah diformat, atau masaberlaku sertifikat akar berakhirsebelum masa berlaku sertifikatyang diminta.

Periksa persyaratan sintaksisdari parameter input perintahserta masa berlaku sertifikatakar CA Anda. Untuk informasitentang mengubah masa berlaku,lihat Memperbarui CA privatAnda (p. 77).

Versi latest190

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

https://docs.aws.amazon.com/general/latest/gr/acm-pca.html#limits_acm-pca


Kriptografi Kunci Asimetris

Istilah dan KonsepIstilah dan konsep berikut dapat membantu Anda saat Anda bekerja dengan AWS Certificate ManagerPrivate Certificate Authority (ACM Private CA).

Topik• Kriptografi Kunci Asimetris (p. 191)• Panjang Jalur Kendala Dasar (p. 191)• Otoritas Sertifikat (p. 192)• Sertifikat Otoritas Sertifikasi (CA) (p. 192)• Kedalaman CA (p. 193)• sertifikat CA (p. 193)• Tanda Tangan Sertifikat (p. 193)• Jalur Sertifikat (p. 193)• Domain Name System (p. 194)• Nama Domain (p. 194)• Sertifikat Entitas Akhir (p. 195)• CA Privat (p. 195)• Sertifikat Privat (p. 195)• Infrastruktur Kunci Publik (PKI) (p. 196)• CA akar (p. 196)• Sertifikat Akar (p. 197)• Secure Sockets Layer (SSL) (p. 197)• HTTPS aman (p. 197)• Sertifikat yang Ditandatangani Sendiri (p. 197)• Sertifikat Server SSL (p. 197)• Keamanan Lapisan Pengangkutan (TLS) (p. 197)• Trust (p. 198)• Nama Khusus X.500 (p. 198)

Kriptografi Kunci AsimetrisKriptografi asimetris menggunakan kunci yang berbeda, tetapi secara matematis, berhubungan untukmengenkripsi dan mendekripsi konten. Salah satu kunci publik dan tersedia dalam sertifikat X.509 v3.Kunci lainnya bersifat privat dan disimpan dengan aman. Sertifikat X.509 mengikat identitas pengguna,komputer, atau sumber daya lain (subjek sertifikat) ke kunci publik.

Sertifikat CA privat dan sertifikat yang diterbitkan oleh CA privat adalah sertifikat SSL/TLS X.509. Merekamengikat identitas pengguna, layanan, aplikasi, komputer, atau perangkat lain dengan kunci publik yangdisematkan dalam sertifikat. Kunci privat terkait disimpan dengan aman oleh AWS.

Panjang Jalur Kendala DasarPanjang jalur kendala dasar adalah ekstensi sertifikat untuk sertifikat CA yang menentukan maksimumKedalaman CA (p. 193) dari hierarki CA yang ada di bawah CA. Misalnya, CA dengan batasan panjang

Versi latest191


Otoritas Sertifikat

jalur nol tidak dapat memiliki CA bawahan. CA dengan batasan panjang jalur satu mungkin memiliki hinggasatu tingkat CA bawahan di bawahnya. RFC 5280 menentukan ini sebagai, "jumlah maksimum sertifikatperantara yang tidak diterbitkan sendiri yang dapat mengikuti sertifikat ini dalam jalur sertifikasi yang valid."

Otoritas SertifikatOtoritas sertifikasi (CA) menerbitkan dan jika perlu mencabut sertifikat digital. Jenis sertifikat yang palingumum didasarkan pada standar ISO X.509. Sertifikat X.509 menegaskan identitas subjek sertifikat danmengikat identitas tersebut ke kunci publik. Subjek dapat berupa pengguna, aplikasi, komputer, atauperangkat lain. CA menandatangani sertifikat dengan melakukan hash pada konten dan kemudianmengenkripsi hash dengan kunci privat yang terkait dengan kunci publik dalam sertifikat. Aplikasiklien seperti peramban web yang perlu menegaskan identitas subjek menggunakan kunci publik untukmendekripsi tanda tangan sertifikat. Ini kemudian melakukan hash pada isi sertifikat dan membandingkannilai hash dengan tanda tangan yang didekripsi untuk menentukan apakah cocok. Untuk informasi tentangpasangan kunci, lihat Kriptografi Kunci Asimetris (p. 191). Untuk informasi selengkapnya tentangpenandatanganan sertifikat, lihat Tanda Tangan Sertifikat (p. 193).

Anda dapat menggunakan ACM Private CA untuk membuat CA privat dan menggunakan CA privat untukmenerbitkan sertifikat. CA privat Anda hanya menerbitkan sertifikat SSL/TLS pribadi untuk digunakandalam organisasi Anda. Untuk informasi lebih lanjut, lihat Sertifikat Privat (p. 195). CA privat Anda jugamemerlukan sertifikat sebelum dapat menggunakannya. Untuk informasi lebih lanjut, lihat Sertifikat OtoritasSertifikasi (CA) (p. 192).

Sertifikat Otoritas Sertifikasi (CA)Sertifikat otoritas sertifikasi (CA) menegaskan identitas CA dan mengikatnya ke kunci publik yang adadalam sertifikat.

Anda dapat menggunakan ACM Private CA untuk membuat CA akar privat atau CA bawahan privat,masing-masing didukung oleh sertifikat CA. Sertifikat CA bawahan ditandatangani oleh sertifikat CA lainyang lebih tinggi dalam rantai kepercayaan. Tetapi dalam kasus CA akar, sertifikat ditandatangani sendiri.Anda juga dapat membuat otoritas akar eksternal (dihosting on premise, misalnya). Anda kemudian dapatmenggunakan otoritas akar Anda untuk menandatangani sertifikat CA akar bawahan yang dihosting olehACM Private CA.

Contoh berikut menunjukkan bidang umum yang ada dalam sertifikat CA ACM Private CA X.509.Perhatikan bahwa untuk sertifikat CA, nilai CA: dalam bidang Basic Constraints diatur ke TRUE.

Certificate: Data: Version: 3 (0x2) Serial Number: 4121 (0x1019) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/[email protected] Validity Not Before: Feb 26 20:27:56 2018 GMT Not After : Feb 24 20:27:56 2028 GMT Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c0: ... a3:4a:51

Versi latest192


Kedalaman CA

Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9 X509v3 Authority Key Identifier: keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0

X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, CRL Sign Signature Algorithm: sha256WithRSAEncryption 6:bb:94: ... 80:d8

Kedalaman CAJumlah sertifikat dalam hierarki CA dimulai dengan CA akar dan melintasi CA bawahan. Akar dihitungsebagai satu dan sertifikat tambahan dihitung untuk setiap langkah dari CA induk ke turnan di setiaptingkat. Misalnya, rantai kepercayaan dengan hanya CA akar dan sertifikat entitas akhir yang dikeluarkanlangsung dari akar memiliki kedalaman (panjang jalur) dua. Setiap CA bawahan dalam rantai kepercayaanmeningkatkan kedalaman satu per satu. CA akar dengan satu CA bawahan dan sertifikat entitas akhirmemiliki kedalaman tiga.

sertifikat CAMengidentifikasi otoritas sertifikasi (CA) . Sertifikat CA harus menyertakan ekstensi khusus yang dikenalsebagai flag batasan dasar. Flag ini harus diatur ke true agar sertifikat dapat digunakan untuk menerbitkansertifikat.

Tanda Tangan SertifikatTanda tangan digital adalah hash yang dienkripsi melalui sertifikat. Tanda tangan digunakan untukmenegaskan integritas data sertifikat. CA privat Anda membuat tanda tangan dengan menggunakan fungsihash kriptografi seperti SHA256 atas konten sertifikat ukuran variabel. Fungsi hash ini menghasilkan stringdata ukuran tetap yang efektif tidak dapat ditempa. String ini disebut hash. CA kemudian mengenkripsi nilaihash dengan kunci privat dan menggabungkan hash yang dienkripsi dengan sertifikat.

Untuk memvalidasi sertifikat yang ditandatangani, aplikasi klien menggunakan kunci publik CA untukmendekripsi tanda tangan. Klien kemudian menggunakan algoritme penandatanganan sama yang CAgunakan untuk mengomputasi hash atas sisa sertifikat. Perhatikan bahwa algoritme penandatangananyang digunakan oleh CA tercantum dalam sertifikat. Jika nilai hash dikomputasi sama dengan nilai hashdidekripsi, sertifikat belum dirusak.

Jalur SertifikatKlien yang bergantung pada sertifikat memvalidasi bahwa jalur ada dari sertifikat entitas akhir ke akartepercaya. Klien memeriksa bahwa setiap sertifikat sepanjang jalur sudah valid (tidak dicabut). Itu jugamemeriksa bahwa sertifikat belum kedaluwarsa, memiliki integritas (belum dirusak atau diubah), danbatasan dalam sertifikat ditegakkan.

Versi latest193


Domain Name System

Domain Name SystemDomain Name System (DNS) adalah sistem penamaan terdistribusi hierarkis untuk komputer dan sumberdaya lain yang terhubung ke internet atau jaringan privat. DNS terutama digunakan untuk menerjemahkannama domain tekstual, seperti aws.amazon.com, menjadi alamat IP numerik (protokol internet) dalambentuk 192.0.2.0.

Nama DomainNama domain adalah string teks seperti www.example.com yang dapat diterjemahkan oleh Domain NameSystem (DNS) menjadi alamat IP. Jaringan komputer, termasuk internet, menggunakan alamat IP, bukannama teks. Nama domain terdiri dari label yang berbeda dipisahkan oleh titik.

TLD

Label paling kanan disebut domain tingkat atas (TLD). Contoh umumnya termasuk .com, .net, dan.edu. Selain itu, TLD untuk entitas yang terdaftar di beberapa negara adalah singkatan dari nama negaradan disebut kode negara. Contohnya termasuk .uk untuk Inggris, .ru untuk Rusia, dan .fr untukPrancis. Ketika kode negara digunakan, hierarki tingkat kedua untuk TLD sering diperkenalkan untukmengidentifikasi jenis entitas terdaftar. Misalnya, TLD .co.uk mengidentifikasi perusahaan komersial diInggris.

Domain Apex

Nama domain puncak mencakup dan diperluas pada domain tingkat atas. Untuk nama domain yangmenyertakan kode negara, domain apex menyertakan kode dan label, jika ada, yang mengidentifikasijenis entitas terdaftar. Domain apex tidak menyertakan subdomain (lihat paragraf berikut). Diwww.example.com, nama domain apexnya adalah example.com. Di www.example.co.uk, namadomain apex adalah example.co.uk. Nama lain yang sering digunakan sebagai pengganti apex adalahbase, bare, root, root apex, atau zone apex.

Subdomain

Nama subdomain mendahului nama domain puncak dan dipisahkan darinya dan satu sama lain dengantitik. Nama subdomain yang paling umum adalah www, tetapi nama apa pun dimungkinkan. Juga,nama subdomain dapat memiliki beberapa tingkat. Misalnya, di jake.dog.animals.example.com,subdomainnya adalah jake, dog, dan animals dalam urutan itu.

FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama DNS lengkap untuk komputer,situs web, atau sumber daya lain yang terhubung ke jaringan atau ke internet. Misalnya aws.amazon.comadalah FQDN untuk Amazon Web Services. FQDN mencakup semua domain hingga domain tingkat atas.Misalnya,[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]mewakili format umum dari FQDN.

PQDN

Nama domain yang tidak sepenuhnya memenuhi syarat disebut nama domain yang memenuhi syaratsebagian (PQDN) dan bersifat ambigu. Nama seperti [subdomain1.subdomain2.] adalah PQDN karenadomain akar tidak dapat ditentukan.

Registration

Hak untuk menggunakan nama domain didelegasikan oleh pendaftar nama domain. Pendaftar biasanyadiakreditasi oleh Internet Corporation for Assigned Names and Numbers (ICANN). Selain itu, organisasi

Versi latest194


Sertifikat Entitas Akhir

lain yang disebut pendaftar memelihara database TLD. Saat Anda meminta nama domain, pencatatmengirimkan informasi Anda ke registri TLD yang sesuai. Registri menetapkan nama domain, memperbaruibasis data TLD, dan memublikasikan informasi Anda ke WHOIS. Biasanya, nama domain harus dibeli.

Sertifikat Entitas AkhirSertifikat entitas akhir mengidentifikasi sumber daya, seperti server, instans, kontainer, atau perangkat.Tidak seperti sertifikat CA, sertifikat entitas akhir tidak dapat digunakan untuk menerbitkan sertifikat. Istilahumum lainnya untuk sertifikat entitas akhir adalah sertifikat "klien" atau "pelanggan". Kami menggunakanistilah sertifikat entitas akhir dalam dokumentasi ACM Private CA.

CA PrivatMembuat (mengeluarkan) sertifikat untuk digunakan dalam jaringan privat atau dalam organisasi (yaitu,bukan internet publik).

Sertifikat PrivatSertifikat ACM Private CA adalah sertifikat SSL/TLS privat yang dapat Anda gunakan dalam organisasiAnda. Gunakan mereka untuk mengidentifikasi sumber daya seperti klien, server, aplikasi, layanan,perangkat, dan pengguna. Saat membuat saluran komunikasi terenkripsi yang aman, setiap sumberdaya menggunakan sertifikat seperti berikut ini serta teknik kriptografi untuk membuktikan identitasnya kesumber daya lain. Titik akhir API internal, server web, pengguna VPN, perangkat IoT, dan banyak aplikasilainnya menggunakan sertifikat privat untuk membuat saluran komunikasi terenkripsi yang diperlukan untukoperasi aman mereka. Secara default, sertifikat privat tidak dipercaya secara publik. Administrator internalharus secara eksplisit mengonfigurasi aplikasi untuk memercayai sertifikat privat dan mendistribusikansertifikat.

Certificate: Data: Version: 3 (0x2) Serial Number: e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com Validity Not Before: Feb 26 18:39:57 2018 GMT Not After : Feb 26 19:39:57 2019 GMT Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/[email protected] Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00...c7 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65

X509v3 Subject Key Identifier: C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19

Versi latest195


Infrastruktur Kunci Publik (PKI)

X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points:

Full Name: URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl

Signature Algorithm: sha256WithRSAEncryption 58:32:...:53

Infrastruktur Kunci Publik (PKI)Infrastruktur kunci publik (PKI) adalah sistem komprehensif yang memungkinkan pembuatan, penerbitan,pengelolaan, distribusi, penggunaan, penyimpanan, dan pencabutan sertifikat digital. PKI terdiri dari orang,perangkat keras, perangkat lunak, kebijakan, dokumen, dan prosedur. Di ACM Private CA, tujuan PKIadalah untuk mengelola sertifikat privat. ACM Private CA menerapkan hal berikut:

Sertifikat Kunci publik

CA privat Anda menerbitkan sertifikat untuk menegaskan identitas pengguna, layanan, aplikasi, komputer,dan perangkat lain dalam organisasi Anda. Untuk informasi lebih lanjut, lihat Sertifikat Privat (p. 195).

Repositori Sertifikat

CA privat Anda menyimpan semua sertifikat yang telah diterbitkan. Anda dapat, tentu saja, menghapussertifikat dari repositori ACM Private CA.

Pencabutan Sertifikat

ACM Private CA mendukung pencabutan sertifikat. Sertifikat yang tidak dapat dipercaya lagi harus dicabutoleh otoritas sertifikat. Sertifikat dapat dicabut sebelum akhir masa berlakunya karena sejumlah alasan.Alasan umum termasuk kompromi kunci, akhir operasi, perubahan afiliasi, atau penarikan hak istimewa.Saat Anda membuat CA privat, tentukan apakah Anda ingin CA mendukung pencabutan sertifikat. JikaCA mendukung pencabutan, Anda dapat meminta laporan audit untuk meninjau sertifikat yang telah Andacabut.

Penyimpanan Kunci

Kunci privat CA Anda dikunci dengan aman di modul keamanan perangkat keras (HSM) yang dimiliki dandikelola oleh Amazon.

CA akarBlok bangunan kriptografi dan akar kepercayaan tempat sertifikat dapat diterbitkan. Ini terdiri dari kunciprivat untuk menandatangani (menerbitkan) sertifikat dan sertifikat akar yang mengidentifikasi CA akardan mengikat kunci privat ke nama CA. Sertifikat akar didistribusikan ke penyimpanan kepercayaan setiapentitas di lingkungan. Administrator membuat penyimpanan kepercayaan untuk menyertakan hanya CAyang dipercayai. Administrator memperbarui atau membangun penyimpanan kepercayaan ke dalamsistem operasi, instans, dan citra mesin host entitas di lingkungannya. Ketika sumber daya mencoba untukterhubung satu sama lain, mereka memeriksa sertifikat yang disajikan setiap entitas. Klien memeriksasertifikat untuk validitas dan apakah ada rantai dari sertifikat ke sertifikat root yang diinstal di penyimpanankepercayaan. Jika kondisi tersebut terpenuhi, "jabat tangan" dilakukan antara sumber daya. Jabat tanganini secara kriptografis membuktikan identitas masing-masing entitas dengan yang lain dan menciptakansaluran komunikasi terenkripsi (TLS/SSL) di antaranya.

Versi latest196


Sertifikat Akar

Sertifikat AkarOtoritas sertifikasi (CA) biasanya ada dalam struktur hierarkis yang berisi beberapa CA lain denganhubungan induk-turunan yang jelas di antaranya. CA turunan atau bawahan disertifikasi oleh CA induknya,membuat rantai sertifikat. CA di bagian atas hierarki disebut sebagai CA akar, dan sertifikatnya disebutsertifikat akar. Sertifikat ini biasanya ditandatangani sendiri.

Secure Sockets Layer (SSL)Lapisan Soket Aman (SSL) dan Keamanan Lapisan Pengangkutan (TLS) adalah protokol kriptografi yangmenyediakan keamanan komunikasi melalui jaringan komputer. TLS adalah penerus SSL. Keduanyamenggunakan sertifikat X.509 untuk mengautentikasi server. Kedua protokol menegosiasikan kuncisimetris untuk mengenkripsi data yang mengalir antara klien dan server.

HTTPS amanHTTPS adalah singkatan dari HTTP melalui SSL/TLS, bentuk aman dari HTTP yang didukung oleh semuaperamban dan server utama. Semua permintaan dan tanggapan HTTP dienkripsi sebelum dikirim melaluijaringan. HTTPS menggabungkan protokol HTTP dengan teknik kriptografi berbasis sertifikat simetris,asimetris, dan X.509. HTTPS bekerja dengan menyisipkan lapisan keamanan kriptografi di bawah lapisanaplikasi HTTP dan di atas lapisan transport TCP dalam model Open Systems Interconnection (OSI).Lapisan keamanan menggunakan protokol Lapisan Soket Aman (SSL) atau protokol Keamanan LapisanPengangkutan (TLS).

Sertifikat yang Ditandatangani SendiriSertifikat yang ditandatangani oleh penerbit, bukan CA yang lebih tinggi. Tidak seperti sertifikat yangdikeluarkan dari akar aman yang dikelola oleh CA, sertifikat yang ditandatangani sendiri bertindak sebagaiakar mereka sendiri, dan akibatnya sertifikat tersebut memiliki batasan yang signifikan: Sertifikat tersebutdapat digunakan untuk menyediakan enkripsi kabel tetapi tidak untuk memverifikasi identitas, dan sertifikattersebut tidak dapat dicabut. Mereka tidak dapat diterima dari perspektif keamanan. Tetapi organisasi tetapmenggunakannya karena mudah dibuat, tidak memerlukan keahlian atau infrastruktur, dan banyak aplikasimenerimanya. Tidak ada kontrol untuk menerbitkan sertifikat yang ditandatangani sendiri. Organisasi yangmenggunakannya mengalami risiko pemadaman yang lebih besar yang disebabkan oleh masa berlakusertifikat karena tidak memiliki cara untuk melacak tanggal kedaluwarsa.

Sertifikat Server SSLTransaksi HTTPS memerlukan sertifikat server untuk mengautentikasi server. Sertifikat server adalahstruktur data X.509 v3 yang mengikat kunci publik dalam sertifikat ke subjek sertifikat. Sertifikat SSL/TLSditandatangani oleh otoritas sertifikasi (CA) Ini berisi nama server, masa berlaku, kunci publik, algoritmetanda tangan, dan banyak lagi.

Keamanan Lapisan Pengangkutan (TLS)Lihat Secure Sockets Layer (SSL) (p. 197).

Versi latest197


Trust

TrustAgar peramban web mempercayai identitas situs web, peramban harus dapat memverifikasi sertifikat situsweb. Namun, peramban hanya mempercayai sejumlah kecil sertifikat yang dikenal sebagai sertifikat akarCA. Pihak ketiga tepercaya, yang dikenal sebagai otoritas sertifikasi (CA), memvalidasi identitas situs webdan menerbitkan sertifikat digital yang ditandatangani ke operator situs web. Peramban kemudian dapatmemeriksa tanda tangan digital untuk memvalidasi identitas situs web. Jika validasi berhasil, perambanmenampilkan ikon kunci di bilah alamat.

Nama Khusus X.500Nama khusus (DN) X.500 digunakan untuk mengidentifikasi pengguna, komputer, aplikasi, layanan, server,dan perangkat lain dalam sertifikat kunci publik X.509 yang dibuat oleh ACM Private CA. Ini termasuksertifikat privat dan sertifikat CA privat. Bidang umum meliputi:

• organizationName (O) – Nama organisasi yang menerbitkan atau menjadi subjek sertifikat• organiztionUnit (OU) – Departemen atau divisi dalam suatu organisasi• country (C) – Kode negara dua huruf• stateName (S) – Nama negara bagian atau provinsi seperti Kansas• localityName (L) – Nama lokalitas seperti Seattle• commonName (CN) – Nama umum subjek atau penerbit sertifikat

Versi latest198


Riwayat DokumenTabel berikut menjelaskan perubahan signifikan pada dokumentasi ini sejak Januari 2018. Selainperubahan besar yang ditampilkan di sini, kami juga sering memperbarui dokumentasi untuk memperbaikideskripsi dan contoh, serta membahas umpan balik yang Anda kirimkan kepada kami. Agar menerimapemberitahuan tentang perubahan signifikan, gunakan tautan di sudut kanan atas untuk berlanggananumpan RSS.

perubahan-riwayat-pembaruan deskripsi-riwayat-pembaruan tanggal-riwayat-pembaruan

Mendukung untuk fitur BlokirAkses Publik S3 untukCRL (p. 199)

Lihat Mengaktifkan fitur BlokirAkses Publik S3.

27 Mei 2021

Contoh implementasi Java yangbaru dan diperbarui (p. 199)

Lihat Menggunakan ACM PrivateCA API (Contoh Java).

9 September 2020

Dukungan wilayahbaru (p. 199)

Titik akhir ditambahkan untukAfrica (Cape Town) dan Europe(Milan). Untuk daftar lengkaptitik akhir ACM PCA, lihat Kuotadan Titik Akhir AWS CertificateManager Private CertificateAuthority.

27 Agustus 2020

Akses CA privat lintas akundidukung (p. 199)

Pengguna AWS CertificateManager dapat berwenanguntuk menerbitkan sertifikatmenggunakan CA privat yangtidak dimilikinya. Untuk informasiselengkapnya, lihat Akses LintasAkun ke CA Privat.

17 Agustus 2020

Dukungan VPC endpoint(PrivateLink) (p. 199)

Dukungan ditambahkan untukpenggunaan VPC endpoint(PrivateLink AWS) untukmeningkatkan keamananjaringan. Untuk informasiselengkapnya, lihat VPCEndpoints ACM Private CA (AWSPrivateLink).

26 Maret 2020

Bagian keamanan khususditambahkan (p. 199)

Dokumentasi keamanan untukAWS telah dikonsolidasi kedalam bagian keamanankhusus. Untuk informasi tentangkeamanan, lihat Keamanandalam AWS Certificate ManagerPrivate Certificate Authority.

26 Maret 2020

Templat ARN ditambahkan kelaporan audit. (p. 199)

Untuk informasi selengkapnya,lihat Membuat Laporan Audituntuk CA Privat Anda.

6 Maret 2020

DukunganCloudFormation (p. 199)

Dukungan ditambahkan untukAWS CloudFormation. Untuk

22 Januari 2020

Versi latest199

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html#s3-bpa

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html#s3-bpa

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaApiIntro.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaApiIntro.html





https://docs.aws.amazon.com/acm-pca/latest/userguide/pca-resource-sharing.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/pca-resource-sharing.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html



https://docs.aws.amazon.com/acm-pca/latest/userguide/security.html



https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaAuditReport.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaAuditReport.html


informasi selengkapnya, lihatReferensi Jenis Sumber DayaACMPCA dalam PanduanPengguna AWS CloudFormation.

Integrasi CloudWatchEvents (p. 199)

Integrasi dengan CloudWatchEvents untuk acara asinkron,termasuk pembuatan CA,penerbitan sertifikat, danpembuatan CRL. Untukinformasi selengkapnya,lihat Menggunakan AmazonCloudWatch Events.

23 Desember 2019

Titik akhir FIPS (p. 199) Titik akhir FIPS ditambahkanuntuk AWS GovCloud (US-East)dan AWS GovCloud (US-West)Untuk daftar lengkap titik akhirACM PCA, lihat Kuota dan TitikAkhir AWS Certificate ManagerPrivate Certificate Authority.

13 Desember 2019

Izin berbasis tag (p. 199) Izin berbasis tagdidukung menggunakanAPI TagResource,UntagResource, danListTagsForResourcebaru. Untuk informasi umumtentang kontrol berbasis tag,lihat Mengontrol Akses ke danuntuk Pengguna dan Peran IAMMenggunakan Tag Sumber DayaIAM.

5 November 2019

Penegakan kendalanama (p. 199)

Menambahkan dukunganuntuk menegakkan kendalanama subjek pada sertifikat CAyang diimpor. Untuk informasiselengkapnya, lihat MenegakkanKendala Nama pada CA Privat.

28 Oktober 2019

Templat sertifikat baru (p. 199) Templat sertifikat baruditambahkan, termasuk templatuntuk penandatanganan kodedengan AWS Signer. Untukinformasi selengkapnya, lihatMenggunakan templat.

1 Oktober 2019

Merencanakan CAAnda (p. 199)

Bagian baru ditambahkanpada perencanaan PKI Andamenggunakan ACM PCA. Untukinformasi selengkapnya, lihatMerencanakan Deployment ACMPrivate CA Anda.

30 September 2019

Versi latest200



https://docs.aws.amazon.com/acm-pca/latest/userguide/CloudWatchEvents.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/CloudWatchEvents.html




https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html




https://docs.aws.amazon.com/acm-pca/latest/userguide/name_constraints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/name_constraints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/UsingTemplates.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaPlanning.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaPlanning.html


Menambahkan dukunganwilayah (p. 199)

Menambahkan dukungan wilayahuntuk AWS Wilayah Asia Pacific(Hong Kong). Untuk daftarlengkap wilayah yang didukung,lihat Kuota dan Titik Akhir AWSCertificate Manager PrivateCertificate Authority.

24 Juli 2019

Menambahkan dukungan hierarkiCA privat yang lengkap (p. 199)

Dukungan untuk membuat danmeng-host akar CA tidak akanmemerlukan induk eksternal.

20 Juni 2019


Menambahkan dukungan wilayahuntuk AWS Wilayah GovCloud(US-West and US-East). Untukdaftar lengkap wilayah yangdidukung, lihat Kuota dan TitikAkhir AWS Certificate ManagerPrivate Certificate Authority.

8 Mei 2019


Menambahkan dukungan wilayahuntuk AWS Wilayah Asia Pacific(Mumbai dan Seoul), US West(N. California), dan EU (Parisdan Stockholm). Untuk daftarlengkap wilayah yang didukung,lihat Kuota dan Titik Akhir AWSCertificate Manager PrivateCertificate Authority.

4 April 2019

Menguji alur kerja pembaruansertifikat (p. 199)

Pelanggan kini dapat mengujikonfigurasi secara manualalur kerja pembaruan terkelolaACM mereka. Untuk informasiselengkapnya, lihat MengujiKonfigurasi Pembaruan TerkelolaACM.

14 Maret 2019


Menambahkan dukunganwilayah untuk AWS Wilayah EU(London). Untuk daftar lengkapwilayah yang didukung, lihatKuota dan Titik Akhir AWSCertificate Manager PrivateCertificate Authority.

1 Agustus 2018

Kembalikan CAs yangdihapus (p. 199)

Pemulihan CA privatmemungkinkan pelanggan untukmemulihkan otoritas sertifikasi(CA) untuk hingga 30 harisetelah dihapus. Untuk informasiselengkapnya, lihat MemulihkanCA Privat Anda.

20 Juni 2018

Versi latest201










https://docs.aws.amazon.com/acm/latest/userguide/manual-renewal.html






https://docs.aws.amazon.com/acm-pca/latest/userguide/PCARestoreCA.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PCARestoreCA.html


Pembaruan Sebelumnya

Pembaruan SebelumnyaTabel berikut menjelaskan riwayat rilis dokumentasi AWS Certificate Manager Private Certificate Authoritysebelum Juni 2018.

Perubahan Deskripsi Tanggal

Panduan baru Rilis ini memperkenalkan AWSCertificate Manager PrivateCertificate Authority.

4 April 2018

Versi latest202

aws certificate manager private certificate authority

Documents