本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中创建私有 CA AWS 私有 CA
您可以使用本节中的过程来创建根 CAs 或从属关系CAs,从而生成符合您组织需求的可审计信任关系层次结构。您可以使用或 AWS CloudFormation的 AWS 管理控制台、PCA 部分创建 CA。 AWS CLI
有关更新已创建 CA 配置的信息,请参阅 [在中更新私有 CA AWS 私有证书颁发机构](PCAUpdateCA.md)。
有关使用 CA 为用户、设备和应用程序签署终端实体证书的信息,请参阅 [颁发私有终端实体证书](PcaIssueCert.md)。
**注意**
从您创建私有 CA 的时间开始,每月将为每个私有 CA 向您的账户收取费用。
有关最新的定 AWS 私有 CA 价信息,请参阅[AWS 私有证书颁发机构 定价](https://aws.amazon.com/private-ca/pricing/)。您也可以使用定 [AWS 价计算器](https://calculator.aws/#/createCalculator/certificateManager)来估算成本。
**Topics**
+ [创建私有 CA 的 CLI 示例](#create-ca-cli-examples)
------
#### [ Console ]
**使用 控制台创建私有 CA**
1. 完成以下步骤以使用 AWS 管理控制台创建私有 CA。
**开始使用控制台**
登录您的 AWS 账户并打开 AWS 私有 CA 控制台,网址为**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**。
+ 如果您在没有私有控制台的地区打开控制台 CAs,则会显示介绍页面。选择**创建私有 CA**。
+ 如果您在已创建 CA 的区域中打开控制台,则会打开**私有证书颁发机构**页面,其中会列出您的证书 CAs。选择**创建 CA**。
1. 在 “**模式选项**” 下,选择您的 CA 颁发的证书的到期模式。
+ **通用** – 颁发可配置为任何到期日期的证书。这是默认值。
+ **短期证书** – 颁发最长有效期为七天的证书。在某些情况下,较短的有效期可以取代吊销机制。
1. 在控制台的**类型选项**部分,选择您要创建的私有证书颁发机构的类型。
+ 选择**根**可建立新的 CA 层次结构。此 CA 由自签名证书提供支持。它是层次结构中其他证书 CAs 和最终实体证书的最终签名机构。
+ 选择**从属**将创建一个 CA,该 CA 必须由层次结构中在其上方的父 CA 签名。从属机构 CAs 通常用于创建其他下属机构 CAs 或向用户、计算机和应用程序颁发终端实体证书。
**注意**
AWS 私有 CA 当您的下属 CA 的父 CA 也由托管时,会提供自动签名流程 AWS 私有 CA。您只需选择要使用的父 CA。
您的从属 CA 可能需要由外部信任服务提供商签名。如果是,则会 AWS 私有 CA 为您提供证书签名请求 (CSR),您必须下载该请求并使用该请求才能获得签名的 CA 证书。有关更多信息,请参阅 [安装由外部父 CA 签名的从属 CA 证书](PCACertInstall.md#InstallSubordinateExternal)。
1. 在**使用者可分辨名称选项**下,配置您的私有 CA 的使用者名称。您必须至少输入以下选项之一的值:
+ **组织(O)**– 例如,公司名称
+ **组织单位(OU)**– 例如,公司内部的部门
+ **国家/地区名称(C)**– 两个字母的国家/地区代码
+ **州或省名称** – 州或省的全名
+ **所在地名称** – 城市的名称
+ **公用名 (CN)** — 用于标识 CA 的人类可读字符串。
**注意**
通过在颁发证书时应用APIPassthrough 模板,您可以进一步自定义证书的主题名称。有关更多信息和详细示例,请参阅 [使用 APIPassthrough 模板颁发带有自定义主题名称的证书](PcaIssueCert.md#custom-subject-1)。
由于支持证书是自签名的,因此您为私有 CA 提供的使用者信息可能比公有 CA 包含的使用者信息更少。有关构成使用者可分辨名称的每个值的更多信息,请参阅 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4)。
1. 在 “**密钥算法选项**” 下,选择密钥算法和算法强度。默认值为 RSA 2048。可从以下算法中进行选择:
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. 在**证书吊销选项**下,您可以从两种与使用您的证书的客户端共享吊销状态的方法中进行选择:
+ **激活 CRL 分配**
+ **打开 OCSP**
您可以为 CA 配置这两个吊销选项中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为[最佳实践](ca-best-practices.md)。在完成此步骤之前,请参阅 [规划您的 AWS 私有 CA 证书吊销方法](revocation-setup.md),了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。
**注意**
如果您在未配置吊销的情况下创建 CA,以后可以随时对其进行配置。有关更多信息,请参阅 [在中更新私有 CA AWS 私有证书颁发机构](PCAUpdateCA.md)。
要配置**证书吊销选项**,请执行以下步骤。
1. 在**证书吊销选项**下,选择**激活 CRL 分配**。
1. 在 **S3 存储桶 URI** 下,从列表中选择一个现有存储桶。
指定现有存储桶时,必须确保为该账户和存储桶禁用 BPA。否则,创建 CA 的操作将失败。如果 CA 已成功创建,您仍必须手动将策略附加到它,然后才能开始生成 CRLs。使用 [亚马逊 S3 CRLs 中的访问策略](crl-planning.md#s3-policies) 中所述的策略模式之一。有关更多信息,请参阅[使用 Amazon S3 控制台添加桶策略](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。
1. 展开 **CRL 设置**以获取其他配置选项。
+ 选择 “**启用分区**” 以启用分区。 CRLs如果您不启用分区,则您的 CA 将遵守吊销证书的最大数量。有关更多信息,请参阅 [AWS 私有证书颁发机构 配额](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。有关分区的更多信息 CRLs,请参阅 [CRL 类型](crl-planning.md#crl-type)。
+ 添加**自定义 CRL 名称**可为 Amazon S3 桶创建别名。此名称包含在由 CA 颁发的证书的“CRL 分配点”扩展中(由 RFC 5280 定义)。[要重新使用 IPv6,请按照 Using ov CRLs er 中所述将其设置为存储桶的 dualstack S3 终端节点。 CRLs IPv6](crl-planning.md#crl-ipv6)
+ 添加**自定义路径**,为您的 Amazon S3 存储桶中的文件路径创建 DNS 别名。
+ 键入**有效期(以天为单位**),您的 CRL 将保持有效。默认值为 7 天。对于在线 CRLs版,有效期通常为 2-7 天。 AWS 私有 CA 尝试在指定周期的中点重新生成 CRL。
1. 对于**证书吊销选项**,请选择**启用 OCSP**。
1. 在**自定义 OCSP 端点* – 可选***字段中,您可以为非 Amazon OCSP 端点提供完全限定的域名(FQDN)。要使用 OCSP IPv6,请将此字段设置为双栈端点,如[使用](ocsp-customize.md#ocsp-ipv6) OCSP over 中所述。 IPv6
在此字段中提供 FQDN 时,将 FQDN AWS 私有 CA 插入到每个已颁发证书的*授权信息访问*扩展插件中,以代替 AWS OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:
+ 使用代理服务器将到达您的自定义 FQDN 的流量转发给 AWS OCSP 响应器。
+ 将相应的 CNAME 记录添加到您的 DNS 数据库。
**提示**
有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 [自定义 OCSP 网址 AWS 私有 CA](ocsp-customize.md)。
例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/create-CA.html)
**注意**
CNAME 的值不得包含协议前缀,例如“http://”或“https://”。
1. 在**添加标签**下,您可以选择标记您的 CA。标签是键值对,用作标识和组织 AWS 资源的元数据。有关 AWS 私有 CA 标签参数列表以及如何在创建 CAs 后向其添加标签的说明,请参阅[为您的私有 CA 添加标签](PcaCaTagging.md)。
**注意**
要在创建过程中将标签附加到私有 CA,CA 管理员必须先将内联 IAM policy 与 `CreateCertificateAuthority` 操作关联并显式允许标记。有关更多信息,请参阅 [Tag-on-create:在创建 CA 时将标签附加到 CA](auth-InlinePolicies.md#tag-on-create)。
1. 在 **CA 权限选项**下,您可以选择将自动续订权限委托给 AWS Certificate Manager 服务委托人。如果授予此权限,ACM 只能自动续订此 CA 生成的私有终端实体证书。您可以随时使用 AWS 私有 CA [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)API 或 [create-permission C](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) LI 命令分配续订权限。
这些权限默认启用。
**注意**
AWS Certificate Manager 不支持自动续订短期证书。
1. 在**定价**下,确认您了解私有 CA 的定价。
**注意**
有关最新的定 AWS 私有 CA 价信息,请参阅[AWS 私有证书颁发机构 定价](https://aws.amazon.com/private-ca/pricing/)。您也可以使用定 [AWS 价计算器](https://calculator.aws/#/createCalculator/certificateManager)来估算成本。
1. 检查所有输入信息的准确性后,选择**创建 CA**。CA 的详细信息页面将打开,其状态显示为**待处理证书**。
**注意**
在详细信息页面上,您可以通过选择**操作**、**安装 CA 证书**来完成 CA 的配置,也可以稍后返回**私有证书颁发机构**列表并完成适用于您的情况的安装过程:
[安装根 CA 证书](PCACertInstall.md#InstallRoot)
[安装由托管的从属 CA 证书 AWS 私有 CA](PCACertInstall.md#InstallSubordinateInternal)
[安装由外部父 CA 签名的从属 CA 证书](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
使用 [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) 命令创建私有 CA。必须指定 CA 配置(包含算法和主题名称信息)、撤销配置(如果您计划使用 OCSP 作为 CRL)和 C and/or A 类型(根或从属)。配置和吊销配置详细信息包含在您作为命令参数提供的两个文件中。或者,您还可以配置 CA 使用模式(用于颁发标准或短期证书)、附加标签和提供幂等性令牌。
如果您正在配置 CRL,则在发出 **create-certificate-authority** 命令*之前*,必须准备好安全的 Amazon S3 桶。有关更多信息,请参阅 [亚马逊 S3 CRLs 中的访问策略](crl-planning.md#s3-policies)。
CA 配置文件可指定以下信息:
+ 算法的名称
+ 要用于创建 CA 私钥的密钥大小
+ CA 用来签署自己的证书签名请求和 OCSP 响应的签名算法类型 CRLs
+ X.500 主题信息
OCSP 的吊销配置定义了一个包含以下信息的 `OcspConfiguration` 对象:
+ `Enabled` 标签设置为“true”。
+ (可选)声明为 `OcspCustomCname` 值的自定义 CNAME。
CRL 的吊销配置定义了一个包含以下信息的 `CrlConfiguration` 对象:
+ `Enabled` 标签设置为“true”。
+ CRL 有效期,以天为单位(CRL 的有效期)。
+ 将包含 CRL 的 Amazon S3 桶。
+ (可选)确定 CRL 是否可公开访问的 [S3 ObjectAcl](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) 值。在此处提供的示例中,阻止公共访问。有关更多信息,请参阅 [使用启用 S3 阻止公共访问 (BPA) CloudFront](crl-planning.md#s3-bpa)。
+ (可选)CA 颁发的证书中包含的 S3 桶的 CNAME 别名。如果 CRL 不可公开访问,则将指向诸如 Amazon CloudFront 之类的分发机制。
+ (可选)包含以下信息的`CrlDistributionPointExtensionConfiguration`对象:
+ 该`OmitExtension`标志设置为 “真” 或 “假”。这控制是否将 CDP 扩展的默认值写入 CA 颁发的证书。有关 CDP 扩展的更多信息,请参阅[确定 CRL 分发点 (CDP) URI](crl-planning.md#crl-url)。如果为 “true” OmitExtension ,则 CustomCname 无法设置 A。
+ (可选)S3 存储桶中 CRL 的自定义路径。
+ (可选)确定 CRL 是完整还是分区的[CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType)值。如果未提供,则 CRL 将默认为完成。
**注意**
通过定义 `OcspConfiguration` 对象和 `CrlConfiguration` 对象,可以在同一 CA 上启用两种吊销机制。如果不提供任何 **--revocation-configuration** 参数,则默认情况下两种机制均处于禁用状态。如果您以后需要吊销验证支持,请参阅 [更新 CA(CLI)](PCAUpdateCA.md#ca-update-cli)。
有关 CLI 示例,请参阅以下部分。
------
## 创建私有 CA 的 CLI 示例
以下示例假设您已使用有效的默认区域、端点和凭证设置了 `.aws` 配置目录。有关配置 AWS CLI 环境的信息,请参阅[配置和凭证文件设置](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html)。为了便于阅读,我们在示例命令中以 JSON 文件的形式提供 CA 配置和吊销输入。根据需要修改示例文件以供您使用。
除非另有说明,否则所有示例都使用以下 `ca_config.txt` 配置文件。
**文件:ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### 示例 1:创建启用 OCSP 的 CA
在此示例中,吊销文件启用默认 OCSP 支持,即使用 AWS 私有 CA 响应器检查证书状态。
**文件:适用于 OCSP 的 revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
如果成功,此命令将输出新 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### 示例 2:创建启用 OCSP 和自定义 CNAME 的 CA
在此示例中,吊销文件启用了自定义 OCSP 支持。`OcspCustomCname` 参数采用完全限定域名(FQDN)作为其值。
在此字段中提供 FQDN 时,将 FQDN AWS 私有 CA 插入到每个已颁发证书的*授权信息访问*扩展插件中,以代替 AWS OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:
+ 使用代理服务器将到达您的自定义 FQDN 的流量转发给 AWS OCSP 响应器。
+ 将相应的 CNAME 记录添加到您的 DNS 数据库。
**提示**
有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 [自定义 OCSP 网址 AWS 私有 CA](ocsp-customize.md)。
例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。
****
| 记录名称 | Type | 路由策略 | 优势 | 值/流量路由至 |
| --- | --- | --- | --- | --- |
| alternative.example.com | 别名记录 | 简便 | - | proxy.example.com |
**注意**
CNAME 的值不得包含协议前缀,例如“http://”或“https://”。
**文件:适用于 OCSP 的 revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### 示例 3:创建带有附加 CRL 的 CA
在此示例中,吊销配置定义了 CRL 参数。
**文件:revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### 示例 4:创建带有附加 CRL 并启用自定义 CNAME 的 CA
在此示例中,吊销配置定义了包含自定义 CNAME 的 CRL 参数。
**文件:revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### 示例 5:创建 CA 并指定使用模式
在此示例中,CA 使用模式是在创建 CA 时指定的。如果未指定,则使用模式参数默认为 GENERAL\$1PURPOSE。在此示例中,参数设置为 SHORT\$1LIVED\$1CERTIFICATE,这意味着 CA 将颁发最长有效期为七天的证书。在配置吊销不方便的情况下,已被泄露的短期证书很快就会过期,这是正常操作的一部分。因此,此示例 CA 缺少吊销机制。
**注意**
AWS 私有 CA 不对根 CA 证书执行有效性检查。
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
使用中的[https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)命令显示 AWS CLI 有关生成的 CA 的详细信息,如以下命令所示:
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### 示例 6:创建用于 Active Directory 登录的 CA
你可以创建适合在 Microsoft Active Directory (AD) 的企业 NTAuth 商店中使用的私有 CA,它可以在那里颁发卡登录证书或域控制器证书。有关将 CA 证书导入 AD 的信息,请参阅[如何将第三方证书颁发机构 (CA) 证书导入企业 NTAuth 存储](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store)。
通过调用 **-dspublish** 选项,可以使用 Microsoft [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) 工具在 AD 中发布 CA 证书。使用 certutil 发布到 AD 的证书在整个林中都受信任。使用组策略,您还可以将信任限制为整个林的子集,例如单个域或域中的一组计算机。为了使登录生效,还必须在 NTAuth 商店中发布签发的 CA。有关更多信息,请参阅[使用组策略将证书分发到客户端计算机](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy)。
此示例使用以下 `ca_config_AD.txt` 配置文件。
**文件:ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### 示例 7:创建一个 Matter CA,附带一个 CRL,且已颁发的证书中省略了 CDP 扩展名
您可以创建适合颁发 Matter 智能家居标准证书的私有 CA。在此示例中,中的 CA 配置`ca_config_PAA.txt`定义了 Matter 产品认证机构 (PAA),供应商 ID (VID) 设置为。 FFF1
**文件:ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
撤销配置启用 CRLs并将 CA 配置为省略所有已颁发的证书中的默认 CDP URL。
**文件:revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**命令**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
使用以下命令检查 CA 的配置。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
此描述应包含以下部分。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```