Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configurez une CRL pour AWS CA privée Avant de pouvoir configurer une liste de révocation de certificats (CRL) dans le cadre du [processus de création de l'autorité de certification](create-CA.md), une configuration préalable peut être nécessaire. Cette section explique les prérequis et les options que vous devez comprendre avant de créer une autorité de certification associée à une CRL. Pour plus d'informations sur l'utilisation du protocole OCSP (Online Certificate Status Protocol) comme alternative ou complément à une CRL, consultez [](create-CA.md#PcaCreateRevocation) et. [Personnaliser l'URL OCSP pour AWS CA privée](ocsp-customize.md) **Topics** + [Types de CRL](#crl-type) + [Structure CRL](#crl-structure) + [Politiques d'accès pour CRLs Amazon S3](#s3-policies) + [Activez l'accès public par blocs S3 (BPA) avec CloudFront](#s3-bpa) + [Déterminer l'URI du point de distribution CRL (CDP)](#crl-url) + [](#crl-ipv6) ## Types de CRL + **Terminé** : paramètre par défaut. Autorité de certification privée AWS gère un seul fichier CRL non partitionné pour tous les certificats non expirés émis par une autorité de certification qui ont été révoqués. [Chaque certificat Autorité de certification privée AWS émis est lié à une CRL spécifique via son extension de point de distribution CRL (CDP), telle que définie dans la RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Vous pouvez avoir jusqu'à 1 million de certificats privés pour chaque autorité de certification lorsque la CRL complète est activée. Pour plus d'informations, consultez les [AWS CA privée quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). + **Partitionné** - Par rapport au partitionnement complet CRLs, le partitionnement augmente CRLs considérablement le nombre de certificats que votre autorité de certification privée peut délivrer et vous évite de changer fréquemment de certificat. CAs **Important** Lorsque vous utilisez partitioned CRLs, vous devez vérifier que l'URI du point de distribution émetteur (IDP) associé à la CRL correspond à l'URI CDP du certificat afin de vous assurer que la bonne CRL a été récupérée. Autorité de certification privée AWS marque l'extension IDP comme critique, que votre client doit être capable de traiter. ## Structure CRL Chaque liste est un fichier codé DER. Pour télécharger le fichier et utiliser [OpenSSL](https://www.openssl.org/) pour l'afficher, utilisez une commande similaire à la suivante : ``` openssl crl -inform DER -in {{path-to-crl-file}} -text -noout ``` CRLs ont le format suivant : ``` Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com Last Update: Feb 26 19:28:25 2018 GMT Next Update: Feb 26 20:28:25 2019 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65 X509v3 CRL Number: 1519676905984 Revoked Certificates: Serial Number: E8CBD2BEDB122329F97706BCFEC990F8 Revocation Date: Feb 26 20:00:36 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: F7D7A3FD88B82C6776483467BBF0B38C Revocation Date: Jan 30 21:21:31 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf: c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f: 9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f: 49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6: c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88: e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94: 62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80: 1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89: 2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a: 57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44: 53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7: 83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f: 97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94: 58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73: 5a:2c:88:85 ``` **Note** La CRL ne sera déposée dans Amazon S3 qu'après l'émission d'un certificat y faisant référence. Avant cela, seul un `acm-pca-permission-test-key` fichier sera visible dans le compartiment Amazon S3. ## Politiques d'accès pour CRLs Amazon S3 Si vous envisagez de créer une CRL, vous devez préparer un compartiment Amazon S3 dans lequel la stocker. Autorité de certification privée AWS dépose automatiquement la CRL dans le compartiment Amazon S3 que vous désignez et la met à jour régulièrement. Pour plus d’informations, consultez [Créer un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html). Votre compartiment S3 doit être sécurisé par une politique d'autorisation IAM attachée. Les utilisateurs autorisés et les responsables du service doivent être `Put` autorisés Autorité de certification privée AWS à placer des objets dans le compartiment et `Get` à les récupérer. **Note** La configuration de la politique IAM dépend de l'acteur Régions AWS concerné. Les régions se répartissent en deux catégories : **Régions activées par défaut** : régions *activées* par défaut pour tous. Comptes AWS **Régions désactivées par défaut** : régions *désactivées* par défaut, mais qui peuvent être activées manuellement par le client. [Pour plus d'informations et une liste des régions désactivées par défaut, consultez la section Gestion. Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) Pour une discussion sur les principes de service dans le contexte de l'IAM, voir les [principes de AWS service dans les régions optionnelles.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions) Lorsque vous configurez CRLs comme méthode de révocation de certificat, vous Autorité de certification privée AWS créez une CRL et la publiez dans un compartiment S3. Le compartiment S3 nécessite une politique IAM qui permet au principal du Autorité de certification privée AWS service d'écrire dans le compartiment. Le nom du principal de service varie en fonction des régions utilisées, et toutes les possibilités ne sont pas prises en charge. ****
PCAS3Principal du service
Les deux dans la même région`acm-pca.amazonaws.com`
ActivéActivé`acm-pca.amazonaws.com`
DésactivéActivé`acm-pca.{{Region}}.amazonaws.com`
ActivéDésactivéNon pris en charge
La politique par défaut n'applique aucune `SourceArn` restriction à l'autorité de certification. Nous vous recommandons d'appliquer une politique moins permissive telle que la suivante, qui restreint l'accès à un AWS compte spécifique et à une autorité de certification privée spécifique. Vous pouvez également utiliser la clé de condition [aws : SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) pour restreindre l'accès à une organisation spécifique dans AWS Organizations. Pour plus d'informations sur les politiques relatives aux compartiments, consultez [les politiques relatives aux compartiments pour Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Si vous choisissez d'autoriser la politique par défaut, vous pourrez toujours la [modifier](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) ultérieurement. ## Activez l'accès public par blocs S3 (BPA) avec CloudFront Les nouveaux compartiments Amazon S3 sont configurés par défaut avec la fonctionnalité Block Public Access (BPA) activée. Inclus dans les [meilleures pratiques de sécurité](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) d'Amazon S3, le BPA est un ensemble de contrôles d'accès que les clients peuvent utiliser pour affiner l'accès aux objets de leurs compartiments S3 et aux compartiments dans leur ensemble. Lorsque le BPA est actif et correctement configuré, seuls les AWS utilisateurs autorisés et authentifiés ont accès à un bucket et à son contenu. AWS recommande l'utilisation du BPA sur tous les compartiments S3 afin d'éviter d'exposer des informations sensibles à des adversaires potentiels. Cependant, une planification supplémentaire est requise si vos clients PKI accèdent CRLs à Internet via Internet public (c'est-à-dire lorsqu'ils ne sont pas connectés à un AWS compte). Cette section décrit comment configurer une solution PKI privée à l'aide d'Amazon CloudFront, un réseau de diffusion de contenu (CDN), pour qu'elle fonctionne CRLs sans nécessiter un accès client authentifié à un compartiment S3. **Note** L'utilisation CloudFront entraîne des frais supplémentaires sur votre AWS compte. Pour plus d'informations, consultez [Amazon CloudFront Pricing](https://aws.amazon.com/cloudfront/pricing/). Si vous choisissez de stocker votre CRL dans un compartiment S3 où le BPA est activé et que vous ne l'utilisez pas CloudFront, vous devez créer une autre solution CDN pour garantir que votre client PKI a accès à votre CRL. ### Configuration CloudFront pour le BPA Créez une CloudFront distribution qui aura accès à votre compartiment S3 privé et pourra servir CRLs à des clients non authentifiés. **Pour configurer une CloudFront distribution pour la CRL** 1. Créez une nouvelle CloudFront distribution en suivant la procédure décrite dans la section [Création d'une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) du manuel *Amazon CloudFront Developer Guide*. Au cours de la procédure, appliquez les paramètres suivants : + Dans **Origin Domain Name**, choisissez votre compartiment S3. + Choisissez **Oui** pour **Restreindre l'accès au bucket**. + Choisissez **Créer une nouvelle identité** pour **Origin Access Identity**. + Choisissez **Yes, Update Bucket Policy** sous **Accorder les autorisations de lecture sur le bucket**. **Note** Dans cette procédure, CloudFront modifie votre politique de compartiment pour lui permettre d'accéder aux objets du compartiment. Envisagez de [modifier](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) cette politique afin de n'autoriser l'accès qu'aux objets situés `crl` dans le dossier. 1. Une fois la distribution initialisée, recherchez son nom de domaine dans la CloudFront console et enregistrez-le pour la procédure suivante. **Note** Si votre compartiment S3 vient d'être créé dans une région autre que us-east-1, vous risquez de recevoir une erreur de redirection temporaire HTTP 307 lorsque vous accédez à votre application publiée via. CloudFront La propagation de l'adresse du bucket peut prendre plusieurs heures. ### Configurez votre CA pour le BPA Lors de la configuration de votre nouvelle autorité de certification, incluez l'alias dans votre CloudFront distribution. **Pour configurer votre autorité de certification avec un CNAME pour CloudFront** + Créez votre CA à l'aide de[Créez une autorité de certification privée dans AWS CA privée](create-CA.md). Lorsque vous exécutez la procédure, le fichier de révocation `revoke_config.txt` doit inclure les lignes suivantes pour spécifier un objet CRL non public et pour fournir une URL vers le point de terminaison de distribution dans : CloudFront ``` "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL", "CustomCname":"{{abcdef012345.cloudfront.net}}" ``` Par la suite, lorsque vous émettrez des certificats avec cette autorité de certification, ils contiendront un bloc comme celui-ci : ``` X509v3 CRL Distribution Points: Full Name: URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl ``` **Note** Si vous possédez d'anciens certificats émis par cette autorité de certification, elle ne pourra pas accéder à la CRL. ## Déterminer l'URI du point de distribution CRL (CDP) Si vous devez utiliser l'URI du point de distribution CRL (CDP) dans votre flux de travail, vous pouvez soit émettre un certificat en utilisant l'URI CRL sur ce certificat, soit utiliser la méthode suivante. Cela ne fonctionne que pour la version complète CRLs. Un GUID aléatoire est ajouté aux CRLs partitionnés. Si vous utilisez le compartiment S3 comme point de distribution CRL (CDP) pour votre autorité de certification, l'URI du CDP peut être dans l'un des formats suivants. + `http://{{amzn-s3-demo-bucket}}.s3.{{region-code}}.amazonaws.com/crl/{{CA-ID}}.crl` + `http://s3.{{region-code}}.amazonaws.com/{{amzn-s3-demo-bucket}}/crl/{{CA-ID}}.crl` Si vous avez configuré votre autorité de certification avec un CNAME personnalisé, l'URI du CDP inclura le CNAME, par exemple, `http://{{alternative.example.com}}/crl/{{CA-ID}}.crl` ## Par défaut, Autorité de certification privée AWS écrit les extensions CDP en utilisant des points de IPv4 terminaison régionaux uniquement`amazonaws.com`. Pour l'utiliser IPv6, effectuez l'une des étapes suivantes afin que ce point soit écrit avec URLs ce point CRLs sur CDPs les points de [terminaison à double pile de S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html) : + Définissez le [nom personnalisé de votre CRL sur le domaine](create-CA.md#PcaCreateRevocation) de point de terminaison S3 dualstack. Par exemple, `{{bucketname}}.s3.dualstack.{{region-code}}.amazonaws.com` + Configurez votre propre enregistrement DNS CNAME pointant vers le point de terminaison S3 dualstack approprié, puis utilisez-le comme nom personnalisé CRL