Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 5 - AWS CloudHSM
Pré-requisitosCriar CA do Windows ServerAssine uma CSR

Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 5

Em uma infraestrutura de chave pública (PKI), uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais. Esses certificados digitais vinculam uma chave pública a uma identidade (uma pessoa ou organização) por meio de criptografia de chave pública e assinaturas digitais. Para operar uma CA, é necessário manter a confiança, protegendo as chaves privadas que assinam os certificados emitidos pela CA. Armazene essas chaves privadas no HSM em seu cluster AWS CloudHSM e use-o para executar as operações de assinatura criptográfica.

Neste tutorial, você usa o Windows Server e o AWS CloudHSM para configurar um CA. Instale o software cliente do AWS CloudHSM para Windows no Windows Server e adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao configurar essa função, você usa um provedor de armazenamento de chaves (KSP) do AWS CloudHSM para criar e armazenar a chave privada da CA no cluster do AWS CloudHSM. O KSP é a ponte que liga o Windows Server ao cluster do AWS CloudHSM. Na última etapa, você assina uma solicitação de assinatura de certificado (CSR) com a CA do Windows Server.

Para obter mais informações, consulte os tópicos a seguir.

Etapa 1: configurar os pré-requisitos

Para configurar o Windows Server como uma autoridade de certificação (CA) com AWS CloudHSM, você precisa do seguinte:

  • Um cluster do AWS CloudHSM ativo com pelo menos um HSM.

  • Uma instância do Amazon EC2 que esteja executando um sistema operacional Windows Server com o software cliente do AWS CloudHSM para Windows instalado. Este tutorial usa o Microsoft Windows Server 2016.

  • Um usuário de criptografia (CU) para possuir e gerenciar a chave privada da CA no HSM.

Para configurar os pré-requisitos de uma CA do Windows Server com AWS CloudHSM

  1. Siga as etapas em Começar. Quando você iniciar o cliente do Amazon EC2;, escolha uma AMI do Windows Server. Este tutorial usa o Microsoft Windows Server 2016. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também terá uma instância do cliente do Amazon EC2 executando o Windows Server com o software cliente do AWS CloudHSM para Windows instalado.

  2. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Para adicionar um HSM em um cluster do AWS CloudHSM.

  3. Conecte-se à instância do cliente. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  4. Crie um usuário de criptografia (CU) usando Gerenciamento de usuários do HSM com a CloudHSM CLI ou Gerenciamento de usuários do HSM com o CloudHSM Management Utility (CMU). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

  5. Defina as credenciais de login para o HSM, usando o nome de usuário e a senha do CU que você criou na etapa anterior.

  6. Na etapa 5, se você tiver usado o Gerenciador de credenciais do Windows para definir credenciais do HSM, faça download de psexec.exe do SysInternals para executar o seguinte comando como NT Authority\SYSTEM:

    psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Substitua <USERNAME> e <PASSWORD> pelas credenciais do HSM.

Para criar uma CA do Windows Server com o AWS CloudHSM, acesse Criar CA do Windows Server.

Etapa 2: criar uma CA do Windows Server com AWS CloudHSM

Para criar um CA do Windows Server, adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao adicionar essa função, você usa um provedor de armazenamento de chaves (KSP) do AWS CloudHSM para criar e armazenar a chave privada da CA no cluster do AWS CloudHSM.

nota

Ao criar a CA do Windows Server, você pode optar por criar uma CA raiz ou uma CA subordinada. Você normalmente toma essa decisão com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

Para adicionar a função AD CS ao Windows Server e criar a chave privada da CA

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, escolha Add roles and features.

  4. Leia as informações de Before you begin e escolha Next.

  5. Em Installation Type (Tipo de instalação), escolha Role-based or feature-based installation (Instalação com base na função ou no recurso). Em seguida, escolha Next (Próximo).

  6. Em Server Selection, escolha Select a server from the server pool. Escolha Próximo.

  7. Em Server Roles, faça o seguinte:

    1. Selecione Active Directory Certificate Services.

    2. Em Add features that are required for Active Directory Certificate Services, escolha Add Features.

    3. Escolha Next para terminar de selecionar funções de servidor.

  8. Em Recursos, aceite os padrões e escolha Next.

  9. Em AD CS, faça o seguinte:

    1. Escolha Próximo.

    2. Selecione Certification Authority e escolha Next.

  10. Em Confirmation, leia as informações de confirmação e escolha Install. Não feche a janela.

  11. Escolha o link destacado Configurar Active Directory Certificate Services no servidor de destino.

  12. Em Credentials, verifique ou altere as credenciais exibidas. Escolha Próximo.

  13. Em Role Services, selecione Certification Authority. Escolha Próximo.

  14. Em Setup Type, selecione Standalone CA. Escolha Próximo.

  15. Em CA Type, selecione Root CA. Escolha Próximo.

    nota

    Você pode optar por criar uma CA raiz ou uma CA subordinada com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

  16. Em Private Key, selecione Create a new private key. Escolha Próximo.

  17. Em Cryptography, faça o seguinte:

    1. Em Selecionar um provedor criptográfico, escolha uma das opções de CloudHSM Key Storage Provider no menu. Esses são os provedores de armazenamento de chaves do AWS CloudHSM. Por exemplo, você pode escolher RSA#CloudHSM Key Storage Provider.

    2. Em Key length, escolha uma das opções de tamanho de chave.

    3. Em Select the hash algorithm for signing certificates issued by this CA, escolha uma das opções de algoritmo hash.

    Escolha Próximo.

  18. Em CA Name, faça o seguinte:

    1. (Opcional) Edite o nome comum.

    2. (Opcional) Digite um sufixo de nome distinto.

    Escolha Próximo.

  19. Em Validity Period, especifique um período em anos, meses, semanas ou dias. Escolha Próximo.

  20. Em Certificate Database, aceite os valores padrão ou, se desejar, altere o local do banco de dados e do log do banco de dados. Escolha Próximo.

  21. Em Confirmation, analise as informações sobre a CA e escolha Configure.

  22. Escolha Close e, em seguida, escolha Close novamente.

Agora você tem uma CA do Windows Server com o AWS CloudHSM. Para saber como assinar uma solicitação de assinatura de certificado (CSR) com a CA, vá para Assine uma CSR.

Etapa 3: assinar uma Certificate Signing Request (CSR – Solicitação de assinatura de certificado) com a CA do Windows Server com o AWS CloudHSM

Você pode usar a CA do Windows Server com o AWS CloudHSM para assinar uma solicitação de assinatura de certificado (CSR). Para concluir estas etapas, você precisa de uma CSR válida. Você pode criar uma CSR de várias formas:

  • Usando o OpenSSL

  • Usando o Gerenciador do Serviços de Informações da Internet (IIS) do Windows Server

  • Usando o snap-in de certificados no Microsoft Management Console

  • Usando o utilitário de linha de comando certreq no Windows

As etapas de criação de uma CSR estão fora do escopo deste tutorial. Quando você tiver uma CSR, poderá assiná-lo com a CA do Windows Server.

Para assinar uma CSR com a CA do Windows Server

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, no canto superior direito, escolha Tools, Certification Authority.

  4. Na janela Autoridade de Certificação, escolha o nome do computador.

  5. No menu Action, escolha All Tasks, Submit new request.

  6. Selecione o arquivo CSR e escolha Open.

  7. Na janela Certification Authority, clique duas vezes em Pending Requests.

  8. Selecione a solicitação pendente. No menu Action, escolha All Tasks, Issue.

  9. Na janela Certification Authority, clique duas vezes em Issued Requests para visualizar o certificado assinado.

  10. (Opcional) Para exportar o certificado assinado para um arquivo, execute as seguintes etapas:

    1. Na janela Certification Authority, clique duas vezes no certificado.

    2. Escolha a guia Details e escolha Copy to File.

    3. Siga as instruções no Certificate Export Wizard.

Agora, você tem uma CA do Windows com o AWS CloudHSM e um certificado válido assinado pela CA do Windows Server.