Exemples d’utilisation de l’AWS CLI avec AWS CA privée

Pour créer un rapport d’audit de l’autorité de certification

La commande create-certificate-authority-audit-report suivante crée un rapport d’audit pour l’autorité de certification privée identifiée par l’ARN.

aws acm-pca create-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-east-1:accountid:certificate-authority/12345678-1234-1234-1234-123456789012 --s3-bucket-name your-bucket-name --audit-report-response-format JSON

Pour créer une autorité de certification privée

La commande create-certificate-authority suivante crée une autorité de certification privée dans votre compte AWS.

aws acm-pca create-certificate-authority --certificate-authority-configuration file://C:\ca_config.txt --revocation-configuration file://C:\revoke_config.txt --certificate-authority-type "SUBORDINATE" --idempotency-token 98256344

Pour supprimer une autorité de certification privée

La commande delete-certificate-authority suivante supprime l’autorité de certification identifiée par l’ARN.

aws acm-pca delete-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

Pour décrire un rapport d’audit destiné à une autorité de certification

La commande describe-certificate-authority-audit-report suivante répertorie les informations concernant le rapport d’audit spécifié pour l’autorité de certification identifiée par l’ARN.

aws acm-pca describe-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/99999999-8888-7777-6666-555555555555 --audit-report-id 11111111-2222-3333-4444-555555555555

Pour décrire une autorité de certification privée

La commande describe-certificate-authority suivante répertorie les informations concernant l’autorité de certification privée identifiée par l’ARN.

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

Pour récupérer le certificat d’une autorité de certification (CA)

La commande get-certificate-authority-certificate suivante extrait le certificat et la chaîne de certificats pour l’autorité de certification spécifiée par l’ARN.

aws acm-pca get-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

Pour récupérer la demande de signature de certificat pour une autorité de certification

La commande get-certificate-authority-csr suivante extrait la demande de signature de certificat pour l’autorité de certification privée spécifiée par l’ARN.

aws acm-pca get-certificate-authority-csr --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

Pour récupérer un certificat émis

L’exemple get-certificate suivant récupère un certificat auprès de l’autorité de certification privée spécifiée.

aws acm-pca get-certificate \
    --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

Sortie :

-----BEGIN CERTIFICATE-----
MIIEDzCCAvegAwIBAgIRAJuJ8f6ZVYL7gG/rS3qvrZMwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ....certificate body truncated for brevity....
tKCSglgZZrd4FdLw1EkGm+UVXnodwMtJEQyy3oTfZjURPIyyaqskTu/KSS7YDjK0
KQNy73D6LtmdOEbAyq10XiDxqY41lvKHJ1eZrPaBmYNABxU=
-----END CERTIFICATE---- -----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIRAOskdzLvcj1eShkoyEE693AwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ...certificate body truncated for brevity....
kdRGB6P2hpxstDOUIwAoCbhoaWwfA4ybJznf+jOQhAziNlRdKQRR8nODWpKt7H9w
dJ5nxsTk/fniJz86Ddtp6n8s82wYdkN3cVffeK72A9aTCOU=
-----END CERTIFICATE-----

La première partie de la sortie est le certificat lui-même. La deuxième partie est la chaîne de certificats qui est liée au certificat CA racine. Notez que lorsque vous utilisez l’option --output text, un caractère TAB est inséré entre les deux éléments du certificat (ce qui explique pourquoi le texte est mis en retrait). Si vous avez l’intention d’utiliser cette sortie et d’analyser les certificats avec d’autres outils, vous devrez peut-être supprimer le caractère TAB afin qu’elle soit traitée correctement.

Pour importer le certificat de l’autorité de certification dans ACM PCA

La commande import-certificate-authority-certificate suivante importe le certificat CA privé signé de l’autorité de certification spécifiée par l’ARN dans ACM PCA.

aws acm-pca import-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate file://C:\ca_cert.pem --certificate-chain file://C:\ca_cert_chain.pem

Pour émettre un certificat privé

La commande issue-certificate suivante utilise l’autorité de certification privée spécifiée par l’ARN pour émettre un certificat privé.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234

Pour répertorier vos autorités de certification privées

La commande list-certificate-authorities suivante répertorie les informations sur toutes les autorités de certification privées de votre compte.

aws acm-pca list-certificate-authorities --max-results 10

Pour répertorier les balises de votre autorité de certification

La commande list-tags suivante extrait l’ensemble des balises associées à l’autorité de certification spécifiée par l’ARN.

aws acm-pca list-tags --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/123455678-1234-1234-1234-123456789012 --max-results 10

Pour révoquer un certificat privé

La commande revoke-certificate suivante révoque un certificat privé de l’autorité de certification identifiée par l’ARN.

aws acm-pca revoke-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:1234567890:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-serial 67:07:44:76:83:a9:b7:f4:05:56:27:ff:d5:5c:eb:cc --revocation-reason "KEY_COMPROMISE"

Pour ajouter des balises à une autorité de certification privée

La commande tag-certificate-authority suivante ajoute une ou plusieurs balises à votre autorité de certification privée.

aws acm-pca tag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice

Pour supprimer une ou plusieurs balises de votre autorité de certification privée

La commande untag-certificate-authority suivante supprime les balises de l’autorité de certification privée identifiée par l’ARN.

aws acm-pca untag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Purpose,Value=Website

Pour mettre à jour la configuration de votre autorité de certification privée

La commande update-certificate-authority suivante met à jour le statut et la configuration de l’autorité de certification privée identifiée par l’ARN.

aws acm-pca update-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-1232456789012 --revocation-configuration file://C:\revoke_config.txt --status "DISABLED"