Podstawowe informacje

AWS Certificate Manager (ACM) jest dostarczany jako usługa mająca na celu ułatwienie procesu dostarczania, zarządzania i wdrażania certyfikatów SSL/TLS dla usług AWS i zasobów wewnętrznych. ACM eliminuje konieczność ręcznych procesów, takich jak zakup, przesyłanie i odnawianie certyfikatów. Umożliwia to użytkownikom skuteczne żądanie i wdrażanie certyfikatów na różnych zasobach AWS, w tym na Elastic Load Balancers, dystrybucjach Amazon CloudFront i interfejsach API na bramce API.

Kluczową cechą ACM jest automatyczne odnawianie certyfikatów, znacznie redukujące obciążenie zarządzaniem. Ponadto, ACM obsługuje tworzenie i scentralizowane zarządzanie prywatnymi certyfikatami do użytku wewnętrznego. Chociaż certyfikaty SSL/TLS dla zintegrowanych usług AWS, takich jak Elastic Load Balancing, Amazon CloudFront i Amazon API Gateway, są dostarczane bez dodatkowych kosztów za pośrednictwem ACM, użytkownicy są odpowiedzialni za koszty związane z wykorzystaniem zasobów AWS przez ich aplikacje oraz miesięczną opłatę za każdy prywatny Autorytet Certyfikacji (CA) i prywatne certyfikaty używane poza zintegrowanymi usługami ACM.

AWS Private Certificate Authority jest oferowany jako zarządzana usługa prywatnego CA, rozszerzając możliwości ACM poprzez rozszerzenie zarządzania certyfikatami o prywatne certyfikaty. Te prywatne certyfikaty są niezbędne do uwierzytelniania zasobów w organizacji.

Wyliczanie

ACM

# List certificates
aws acm list-certificates

# Get certificate info
aws acm describe-certificate --certificate-arn <arn> # Check "InUseBy" to check which resources are using it

# Get certificate data
aws acm get-certificate --certificate-arn "arn:aws:acm:us-east-1:188868097724:certificate/865abced-82c9-43bf-b7d2-1f4948bf353d"

# Account configuration
aws acm get-account-configuration

PCA

Private Certificate Authority (PCA) to usługa dostępna w AWS Certificate Manager (ACM), która umożliwia tworzenie i zarządzanie prywatnymi certyfikatami SSL/TLS. PCA umożliwia tworzenie własnej hierarchii certyfikatów, co daje większą kontrolę nad procesem certyfikacji.

Tworzenie PCA

Aby utworzyć PCA, należy zdefiniować politykę certyfikacji, która określa zasady wydawania certyfikatów. Następnie można utworzyć korzeń PCA, który będzie służył do podpisywania certyfikatów. Po utworzeniu korzenia PCA można tworzyć i zarządzać certyfikatami w hierarchii.

Wydawanie certyfikatów

Wydawanie certyfikatów w PCA odbywa się poprzez podpisanie żądania certyfikatu przez korzeń PCA. Po podpisaniu certyfikatu można go używać do zabezpieczania usług i aplikacji.

Zarządzanie certyfikatami

PCA umożliwia zarządzanie certyfikatami, w tym odwoływanie, usuwanie i odnawianie certyfikatów. Można również monitorować i rejestrować działania związane z certyfikatami.

Integracja z innymi usługami AWS

PCA można zintegrować z innymi usługami AWS, takimi jak Elastic Load Balancer (ELB) i CloudFront, aby używać prywatnych certyfikatów w tych usługach.

Bezpieczeństwo PCA

PCA zapewnia wysoki poziom bezpieczeństwa poprzez zastosowanie kontroli dostępu, monitorowanie i rejestrowanie działań, a także automatyczne odwoływanie certyfikatów w przypadku naruszenia bezpieczeństwa.

Podsumowanie

PCA w AWS Certificate Manager to usługa umożliwiająca tworzenie i zarządzanie prywatnymi certyfikatami SSL/TLS. Daje to większą kontrolę nad procesem certyfikacji i zapewnia wysoki poziom bezpieczeństwa.

# List CAs
aws acm-pca list-certificate-authorities

# Get CA info
aws acm-pca describe-certificate-authority --certificate-authority-arn <arn>

# Get CA Permissions
aws acm-pca list-permissions --certificate-authority-arn <arn>

# Get CA certificate
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <arn>

# Certificate request
aws acm-pca get-certificate-authority-csr --certificate-authority-arn <arn>

# Get CA Policy (if any)
aws acm-pca get-policy --resource-arn <arn>

Privesc

TODO

Post Exploitation

TODO