我想知道如何配置 AWS Private Certificate Authority 以进行灾难恢复。
解决方法
由于 AWS Private CA 可在多个 AWS 区域使用,因此您可以在多个区域创建冗余的从属 CA。然后,将从属 CA 链接到单个区域中的同一个根 CA。
完成以下步骤:
-
在不同于根 CA 区域 (root_CA_region) 的另一个 AWS 区域 (sub_CA_2_region) 中创建从属 CA (sub_CA_2) 。
-
运行以下命令,从 sub_CA_2_region 获取 sub_CA_2:
aws acm-pca get-certificate-authority-csr --certificate-authority-arn sub_CA_2_ARN --region sub_CA_2_region
-
运行以下命令,从 root_CA_region 的根 CA 颁发 sub_CA_2 证书:
aws acm-pca issue-certificate --certificate-authority-arn root_CA_ARN --csr fileb://<CSRfile> --signing-algorithm SHA256WITHRSA --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1 --validity Value=5,Type="YEARS" --region root_CA_region
-
运行以下命令,获取证书和 sub_CA_2 证书的证书链:
aws acm-pca get-certificate --certificate-authority-arn root_CA_ARN --certificate-arn certificate-arn-from-the-previous-step --region root_CA_region --output json > cert.json
-
运行以下命令,将证书和证书链分成两个文件:
cert.pem for the subordinate CA certificate
cert_chain.pem for the root CA certificate chain details
cat cert.json | jq -r .Certificate > cert.pem
cat cert.json | jq -r .CertificateChain > cert_chain.pem
-
运行以下命令,将 sub_CA_2 的签名证书导入到 sub_CA_2_region:
aws acm-pca import-certificate-authority-certificate --certificate-authority-arn sub_CA_2_ARN --certificate fileb://cert.pem --certificate-chain fileb://cert_chain.pem --region sub_CA_2_region
第二个区域的从属 CA 设置现已完成,可用于颁发用于灾难恢复的私有证书。
有关更多信息,请参阅冗余和灾难恢复。
相关信息
AWS Private CA 最佳实践