

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Siapkan CRL untuk AWS Private CA
<a name="crl-planning"></a>

Sebelum Anda dapat mengonfigurasi daftar pencabutan sertifikat (CRL) sebagai bagian dari [proses pembuatan CA](create-CA.md), beberapa pengaturan sebelumnya mungkin diperlukan. Bagian ini menjelaskan prasyarat dan opsi yang harus Anda pahami sebelum membuat CA dengan CRL terlampir. 

Untuk informasi tentang menggunakan Online Certificate Status Protocol (OCSP) sebagai alternatif atau suplemen CRL, lihat [](create-CA.md#PcaCreateRevocation) dan. [Kustomisasi URL OCSP untuk AWS Private CA](ocsp-customize.md)

**Topics**
+ [Jenis CRL](#crl-type)
+ [Struktur CRL](#crl-structure)
+ [Kebijakan akses untuk CRLs di Amazon S3](#s3-policies)
+ [Aktifkan S3 Block Public Access (BPA) dengan CloudFront](#s3-bpa)
+ [Menentukan URI Titik Distribusi CRL (CDP)](#crl-url)
+ [](#crl-ipv6)

## Jenis CRL
<a name="crl-type"></a>
+  **Selesai** - Pengaturan default. AWS Private CA memelihara file CRL tunggal yang tidak dipartisi untuk semua sertifikat yang belum kedaluwarsa yang dikeluarkan oleh CA yang telah dicabut. [Setiap sertifikat yang AWS Private CA diterbitkan terikat pada CRL tertentu melalui ekstensi CRL distribution point (CDP), sebagaimana didefinisikan dalam RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Anda dapat memiliki hingga 1 juta sertifikat pribadi untuk setiap CA dengan CRL lengkap diaktifkan. Untuk informasi lebih lanjut, lihat [AWS Private CA kuota](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). 
+  **Dipartisi** - Dibandingkan dengan yang lengkap CRLs, dipartisi CRLs secara dramatis meningkatkan jumlah sertifikasi yang dapat dikeluarkan CA pribadi Anda, dan menyelamatkan Anda dari sering memutar. CAs 
**penting**  
Saat menggunakan partisi CRLs, Anda harus memvalidasi bahwa URI titik distribusi penerbitan terkait (IDP) CRL cocok dengan URI CDP sertifikasi untuk memastikan CRL yang tepat telah diambil. AWS Private CA menandai ekstensi IDP sebagai hal yang penting, yang harus dapat diproses oleh klien Anda. 

## Struktur CRL
<a name="crl-structure"></a>

Setiap CRL adalah file DER yang dikodekan. Untuk mengunduh file dan menggunakan [OpenSSL](https://www.openssl.org/) untuk melihatnya, gunakan perintah yang mirip dengan berikut ini:

```
openssl crl -inform DER -in {{path-to-crl-file}} -text -noout
```

CRLs memiliki format berikut:

```
Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
```

**catatan**  
CRL hanya akan disimpan di Amazon S3 setelah sertifikat dikeluarkan yang merujuknya. Sebelum itu, hanya akan ada file `acm-pca-permission-test-key` yang terlihat di bucket Amazon S3.

## Kebijakan akses untuk CRLs di Amazon S3
<a name="s3-policies"></a>

Jika Anda berencana membuat CRL, Anda perlu menyiapkan ember Amazon S3 untuk menyimpannya. AWS Private CA secara otomatis menyetor CRL di bucket Amazon S3 yang Anda tunjuk dan memperbaruinya secara berkala. Untuk informasi selengkapnya, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html). 

Bucket S3 Anda harus diamankan dengan kebijakan izin IAM terlampir. Pengguna resmi dan kepala layanan memerlukan `Put` izin AWS Private CA untuk mengizinkan menempatkan objek di ember, dan `Get` izin untuk mengambilnya. 

**catatan**  
Konfigurasi kebijakan IAM tergantung pada yang Wilayah AWS terlibat. Wilayah terbagi dalam dua kategori:  
**Default-enabled Regions — Wilayah** yang *diaktifkan* secara default untuk semua. Akun AWS
Wilayah yang **dinonaktifkan default — Wilayah** yang *dinonaktifkan* secara default, tetapi dapat diaktifkan secara manual oleh pelanggan.
[Untuk informasi selengkapnya dan daftar Wilayah yang dinonaktifkan default, lihat Mengelola. Wilayah AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) Untuk diskusi tentang prinsip-prinsip layanan dalam konteks IAM, lihat [prinsip AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions) di Wilayah opt-in.  
Saat Anda mengonfigurasi CRLs sebagai metode pencabutan sertifikat, AWS Private CA buat CRL dan terbitkan ke bucket S3. Bucket S3 memerlukan kebijakan IAM yang memungkinkan kepala AWS Private CA layanan untuk menulis ke bucket. Nama kepala layanan bervariasi sesuai dengan Wilayah yang digunakan, dan tidak semua kemungkinan didukung.  


****  

<table>
<thead>
  <tr><th>PCA</th><th>S3</th><th>Pemimpin layanan</th></tr>
</thead>
<tbody>
  <tr><td colspan="2">Keduanya di wilayah yang sama</td><td>`acm-pca.amazonaws.com`</td></tr>
  <tr><td>Diaktifkan</td><td>Diaktifkan</td><td>`acm-pca.amazonaws.com`</td></tr>
  <tr><td>Dinonaktifkan</td><td>Diaktifkan</td><td>`acm-pca.{{Region}}.amazonaws.com`</td></tr>
  <tr><td>Diaktifkan</td><td>Dinonaktifkan</td><td>Tidak didukung</td></tr>
</tbody>
</table>


Kebijakan default tidak berlaku `SourceArn` pembatasan pada CA. Kami menyarankan Anda menerapkan kebijakan yang kurang permisif seperti berikut ini, yang membatasi akses ke AWS akun tertentu dan CA pribadi tertentu. Atau, Anda dapat menggunakan kunci kondisi [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) untuk membatasi akses ke organisasi tertentu di AWS Organizations. Untuk informasi selengkapnya tentang kebijakan bucket, lihat [Kebijakan Bucket untuk Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).

Jika Anda memilih untuk mengizinkan kebijakan default, Anda selalu dapat [memodifikasinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nanti.

## Aktifkan S3 Block Public Access (BPA) dengan CloudFront
<a name="s3-bpa"></a>

Bucket Amazon S3 yang baru dikonfigurasi secara default dengan fitur Blokir Akses Publik (BPA) yang aktif. Termasuk dalam [praktik terbaik keamanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) Amazon S3, BPA adalah seperangkat kontrol akses yang dapat digunakan pelanggan untuk menyempurnakan akses ke objek di bucket S3 mereka dan ke ember secara keseluruhan. Ketika BPA aktif dan dikonfigurasi dengan benar, hanya AWS pengguna yang berwenang dan diautentikasi yang memiliki akses ke ember dan isinya. 

AWS merekomendasikan penggunaan BPA pada semua bucket S3 untuk menghindari paparan informasi sensitif terhadap musuh potensial. Namun, perencanaan tambahan diperlukan jika klien PKI Anda mengambil CRLs di internet publik (yaitu, saat tidak masuk ke AWS akun). Bagian ini menjelaskan cara mengonfigurasi solusi PKI pribadi menggunakan Amazon CloudFront, jaringan pengiriman konten (CDN), untuk melayani CRLs tanpa memerlukan akses klien yang diautentikasi ke bucket S3.

**catatan**  
Menggunakan CloudFront menimbulkan biaya tambahan pada akun Anda AWS . Untuk informasi selengkapnya, lihat [ CloudFront Harga Amazon](https://aws.amazon.com/cloudfront/pricing/).  
Jika Anda memilih untuk menyimpan CRL Anda di bucket S3 dengan BPA diaktifkan, dan Anda tidak menggunakannya CloudFront, Anda harus membangun solusi CDN lain untuk memastikan bahwa klien PKI Anda memiliki akses ke CRL Anda.

### Siapkan CloudFront untuk BPA
<a name="set-up-cloudfront"></a>

Buat CloudFront distribusi yang akan memiliki akses ke bucket S3 pribadi Anda, dan dapat melayani CRLs klien yang tidak diautentikasi.

**Untuk mengkonfigurasi CloudFront distribusi untuk CRL**

1. Buat CloudFront distribusi baru menggunakan prosedur dalam [Membuat Distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) di *Panduan CloudFront Pengembang Amazon*.

   Saat menyelesaikan prosedur, terapkan pengaturan berikut:
   + Di **Nama Domain Asal**, pilih bucket S3 Anda.
   + Pilih **Ya** untuk **Batasi Akses Bucket**.
   + Pilih **Buat Identitas Baru** untuk **Identitas Akses Asal**.
   + Pilih **Ya, Perbarui Kebijakan Bucket** di bawah **Berikan Izin Baca pada Bucket**.
**catatan**  
Dalam prosedur ini, CloudFront ubah kebijakan bucket Anda agar dapat mengakses objek bucket. Pertimbangkan [mengedit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) kebijakan ini untuk hanya mengizinkan akses ke objek di bawah folder `crl`. 

1. Setelah distribusi diinisialisasi, cari nama domainnya di CloudFront konsol dan simpan untuk prosedur selanjutnya.
**catatan**  
Jika bucket S3 Anda baru dibuat di Wilayah selain us-east-1, Anda mungkin mendapatkan kesalahan pengalihan sementara HTTP 307 saat mengakses aplikasi yang dipublikasikan melalui. CloudFront Mungkin perlu beberapa jam agar alamat ember menyebar.

### Siapkan CA Anda untuk BPA
<a name="set-up-CA"></a>

Saat mengonfigurasi CA baru Anda, sertakan alias ke distribusi Anda CloudFront. 

**Untuk mengonfigurasi CA Anda dengan CNAME untuk CloudFront**
+ Buat CA Anda menggunakan [Buat CA pribadi di AWS Private CA](create-CA.md).

  Saat Anda melakukan prosedur, file pencabutan `revoke_config.txt` harus menyertakan baris berikut untuk menentukan objek CRL non-publik dan untuk memberikan URL ke titik akhir distribusi di: CloudFront

  ```
  "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
  	"CustomCname":"{{abcdef012345.cloudfront.net}}"
  ```

  Setelah itu, ketika Anda mengeluarkan sertifikat dengan CA ini, sertifikat tersebut akan berisi blok seperti berikut:

  ```
  X509v3 CRL Distribution Points: 
  	Full Name:
  	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
  ```

**catatan**  
Jika Anda memiliki sertifikat yang lebih lama yang diterbitkan oleh CA ini, sertifikat tersebut akan dapat mengakses CRL.

## Menentukan URI Titik Distribusi CRL (CDP)
<a name="crl-url"></a>

Jika Anda perlu menggunakan URI Titik Distribusi CRL (CDP) di alur kerja Anda, Anda dapat mengeluarkan sertifikat menggunakan URI CRL pada sertifikat tersebut atau menggunakan metode berikut. Ini hanya berfungsi untuk lengkap CRLs. Dipartisi CRLs memiliki GUID acak yang ditambahkan padanya. 

Jika Anda menggunakan bucket S3 sebagai CRL Distribution Point (CDP) untuk CA Anda, URI CDP dapat berada dalam salah satu format berikut.
+ `http://{{amzn-s3-demo-bucket}}.s3.{{region-code}}.amazonaws.com/crl/{{CA-ID}}.crl`
+ `http://s3.{{region-code}}.amazonaws.com/{{amzn-s3-demo-bucket}}/crl/{{CA-ID}}.crl`

Jika Anda telah mengonfigurasi CA Anda dengan CNAME kustom, URI CDP akan menyertakan CNAME, misalnya, `http://{{alternative.example.com}}/crl/{{CA-ID}}.crl`

## 
<a name="crl-ipv6"></a>

 Secara default, AWS Private CA tulis ekstensi CDP menggunakan titik akhir regional, IPv4 -only`amazonaws.com`. Untuk menggunakan CRLs over IPv6, lakukan salah satu langkah berikut sehingga CDPs ditulis dengan titik URLs itu ke titik akhir [dualstack S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html): 
+ Tetapkan [nama kustom CRL](create-CA.md#PcaCreateRevocation) Anda ke domain endpoint dualstack S3. Sebagai contoh, `{{bucketname}}.s3.dualstack.{{region-code}}.amazonaws.com`.
+ Siapkan catatan DNS CNAME Anda sendiri yang menunjuk ke titik akhir dualstack S3 yang relevan, lalu gunakan sebagai nama kustom CRL Anda
PCA	S3	Pemimpin layanan
Keduanya di wilayah yang sama		`acm-pca.amazonaws.com`
Diaktifkan	Diaktifkan	`acm-pca.amazonaws.com`
Dinonaktifkan	Diaktifkan	`acm-pca.{{Region}}.amazonaws.com`
Diaktifkan	Dinonaktifkan	Tidak didukung