如何为 AWS Private CA 配置灾难恢复?

1 分钟阅读
0

我想知道如何配置 AWS Private Certificate Authority 以进行灾难恢复。

解决方法

由于 AWS Private CA 可在多个 AWS 区域使用,因此您可以在多个区域创建冗余的从属 CA。然后,将从属 CA 链接到单个区域中的同一个根 CA。

完成以下步骤:

  1. 在不同于根 CA 区域 (root_CA_region) 的另一个 AWS 区域 (sub_CA_2_region) 中创建从属 CA (sub_CA_2) 。

  2. 运行以下命令,从 sub_CA_2_region 获取 sub_CA_2:

    aws acm-pca get-certificate-authority-csr --certificate-authority-arn sub_CA_2_ARN --region sub_CA_2_region
  3. 运行以下命令,从 root_CA_region 的根 CA 颁发 sub_CA_2 证书:

    aws acm-pca issue-certificate --certificate-authority-arn root_CA_ARN --csr fileb://<CSRfile> --signing-algorithm SHA256WITHRSA --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1 --validity Value=5,Type="YEARS" --region root_CA_region
  4. 运行以下命令,获取证书和 sub_CA_2 证书的证书链:

    aws acm-pca get-certificate --certificate-authority-arn root_CA_ARN --certificate-arn certificate-arn-from-the-previous-step --region root_CA_region --output json > cert.json
  5. 运行以下命令,将证书和证书链分成两个文件:

    cert.pem for the subordinate CA certificate
    cert_chain.pem for the root CA certificate chain details
    cat cert.json | jq -r .Certificate > cert.pem
    cat cert.json | jq -r .CertificateChain > cert_chain.pem
  6. 运行以下命令,将 sub_CA_2 的签名证书导入到 sub_CA_2_region:

    aws acm-pca import-certificate-authority-certificate --certificate-authority-arn sub_CA_2_ARN --certificate fileb://cert.pem --certificate-chain fileb://cert_chain.pem --region sub_CA_2_region

第二个区域的从属 CA 设置现已完成,可用于颁发用于灾难恢复的私有证书。

有关更多信息,请参阅冗余和灾难恢复

相关信息

AWS Private CA 最佳实践

AWS 官方
AWS 官方已更新 4 个月前