Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan Windows Server sebagai otoritas sertifikat (CA) dengan AWS CloudHSM
<a name="third-ca-toplevel"></a>

AWS CloudHSM menawarkan dukungan untuk mengkonfigurasi Windows Server sebagai otoritas sertifikat (CA) melalui Client SDK 3 dan Client SDK 5. Langkah-langkah untuk menggunakan alat ini akan bervariasi tergantung pada versi SDK klien yang saat ini telah Anda unduh. Bagian berikut memberikan informasi untuk setiap SDK. 

**Topics**
+ [Klien SDK 5 dengan Windows Server CA](win-ca-overview-sdk5.md)
+ [Klien SDK 3 dengan Windows Server CA](win-ca-overview-sdk3.md)

# Konfigurasikan Windows Server sebagai otoritas sertifikat (CA) dengan Client SDK 5
<a name="win-ca-overview-sdk5"></a>

Dalam infrastruktur kunci publik (PKI), otoritas sertifikat (CA) adalah entitas tepercaya yang mengeluarkan sertifikat digital. Sertifikat digital ini mengikat kunci publik dengan suatu identitas (orang atau organisasi) dengan cara kriptografi kunci publik dan tanda tangan digital. Untuk mengoperasikan CA, Anda harus mempertahankan kepercayaan dengan melindungi kunci privat yang menandatangani sertifikat yang dikeluarkan oleh CA Anda. Anda dapat menyimpan kunci privat di HSM di klaster AWS CloudHSM , dan menggunakan HSM untuk melakukan operasi penandatanganan kriptografi.

Dalam tutorial ini, Anda menggunakan Windows Server dan AWS CloudHSM untuk mengkonfigurasi CA. Instal perangkat lunak klien AWS CloudHSM untuk Windows di server Windows, kemudian tambahkan peran Active Directory Certificate Services (AD CS) ke Windows Server Anda. Saat mengonfigurasi peran ini, Anda menggunakan penyedia penyimpanan AWS CloudHSM kunci (KSP) untuk membuat dan menyimpan kunci pribadi CA di AWS CloudHSM klaster Anda. KSP adalah jembatan yang menghubungkan server Windows Anda ke AWS CloudHSM cluster Anda. Pada langkah terakhir, Anda menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA.

Untuk informasi selengkapnya, lihat topik berikut:

**Topics**
+ [

## Langkah 1: Siapkan prasyarat
](#win-ca-prerequisites-sdk5)
+ [

## Langkah 2: Buat CA Windows Server dengan AWS CloudHSM
](#win-ca-setup-sdk5)
+ [

## Langkah 3: Menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA Anda AWS CloudHSM
](#win-ca-sign-csr-sdk5)

## Langkah 1: Siapkan prasyarat
<a name="win-ca-prerequisites-sdk5"></a>

Untuk mengatur Windows Server sebagai otoritas sertifikat (CA) dengan AWS CloudHSM, Anda memerlukan yang berikut ini:
+  AWS CloudHSM Cluster aktif dengan setidaknya satu HSM.
+ Instans Amazon EC2 yang menjalankan sistem operasi Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal. Tutorial ini menggunakan Microsoft Windows Server 2016.
+ Pengguna kriptografi (CU) harus memiliki dan mengelola kunci privat CA pada HSM.

**Untuk mengatur prasyarat untuk Windows Server CA dengan AWS CloudHSM**

1. Selesaikan langkah-langkah dalam [Mulai menggunakan](getting-started.md). Ketika Anda meluncurkan klien Amazon EC2, pilih Windows Server AMI. Tutorial ini menggunakan Microsoft Windows Server 2016. Ketika Anda menyelesaikan langkah-langkah ini, Anda memiliki klaster aktif dengan setidaknya satu HSM. Anda juga memiliki instans klien Amazon EC2 yang menjalankan Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal.

1. (Opsional) Tambahkan lebih banyak HSMs ke cluster Anda. Untuk informasi selengkapnya, lihat [Menambahkan HSM ke cluster AWS CloudHSM](add-hsm.md).

1. Hubungkan ke instans klien Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Buat pengguna kripto (CU) menggunakan [Mengelola pengguna HSM dengan CloudHSM CLI atau Mengelola pengguna HSM dengan CloudHSM](manage-hsm-users-chsm-cli.md) [Management Utility (CMU](manage-hsm-users-cmu.md)). Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya untuk menyelesaikan langkah berikutnya.

1. [Atur kredensial login untuk HSM](ksp-library-authentication.md), menggunakan nama pengguna dan kata sandi CU yang Anda buat di langkah sebelumnya.

1. *Pada langkah 5, jika Anda menggunakan Windows Credentials Manager untuk mengatur kredensi HSM, unduh [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)dari SysInternals untuk menjalankan perintah berikut sebagai NT Authority\$1 SYSTEM:*

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Ganti *<USERNAME>* dan *<PASSWORD>* dengan kredensi HSM.

Untuk membuat Windows Server CA dengan AWS CloudHSM, buka[Buat Windows Server CA](#win-ca-setup-sdk5).

## Langkah 2: Buat CA Windows Server dengan AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Untuk membuat Windows Server CA, Anda menambahkan peran Active Directory Certificate Services (AD CS) ke Windows Server. Saat menambahkan peran ini, Anda menggunakan penyedia penyimpanan AWS CloudHSM kunci (KSP) untuk membuat dan menyimpan kunci pribadi CA di AWS CloudHSM klaster Anda.

**catatan**  
Ketika Anda membuat Windows Server CA, Anda dapat memilih untuk membuat CA root atau CA bawahan. Anda biasanya membuat keputusan ini berdasarkan desain infrastruktur kunci publik dan kebijakan keamanan organisasi Anda. Tutorial ini menjelaskan cara membuat root CA untuk kesederhanaan.

**Untuk menambahkan peran AD CS ke Windows Server dan membuat kunci privat CA**

1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Pada server Windows Anda, mulai **Manager Server**.

1. Di dasbor **Server Manager**, pilih **Tambahkan peran dan fitur**.

1. Baca informasi **Sebelum Anda memulai**, kemudian pilih **Selanjutnya**.

1. Untuk **Jenis Instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**. Lalu, pilih **Selanjutnya**.

1. Untuk **Pemilihan Server**, pilih **Pilih server dari kolam server**. Lalu, pilih **Selanjutnya**.

1. Untuk **Peran Server**, lakukan hal berikut:

   1. Pilih **Layanan Sertifikat Active Directory**.

   1. Untuk **Tambahkan fitur yang diperlukan untuk Active Directory Sertifikat Services**, pilih **Tambah Fitur**.

   1. Pilih **Selanjutnya** untuk menyelesaikan pemilihan peran server.

1. Untuk **Fitur**, terima default, dan kemudian pilih **Selanjutnya**.

1. Untuk **AD CS**, lakukan hal berikut:

   1. Pilih **Selanjutnya**.

   1. Pilih **Otoritas Sertifikasi**, lalu pilih **Selanjutnya**.

1. Untuk **Konfirmasi**, baca informasi konfirmasi, dan kemudian pilih **Instal**. Jangan tutup jendela.

1. Pilih tautan yang disorot **Atur Konfigurasi Layanan Active Directory Certificate Services di server tujuan**.

1. Untuk **Kredenitas**, verifikasi atau ubah kredensial yang ditampilkan. Lalu, pilih **Selanjutnya**.

1. Untuk **Peran Layanan**, pilih **Otoritas Sertifikasi**. Lalu, pilih **Selanjutnya**.

1. Untuk**Jenis Pengaturan**, pilih **CA Mandiri**. Lalu, pilih **Selanjutnya**.

1. Untuk**Jenis CA**, pilih **CA Root**. Lalu, pilih **Selanjutnya**.
**catatan**  
Anda dapat memilih untuk membuat CA root atau CA bawahan berdasarkan desain infrastruktur kunci publik Anda dan kebijakan keamanan organisasi Anda. Tutorial ini menjelaskan cara membuat root CA untuk kesederhanaan.

1. Untuk **Kunci Privat**, pilih **Buat kunci privat baru**. Lalu, pilih **Selanjutnya**.

1. Untuk **Kriptografi**, lakukan hal berikut:

   1. Untuk **Pilih penyedia kriptografi**, pilih salah satu opsi Penyedia **Penyimpanan Kunci CloudHSM** dari menu. Ini adalah penyedia penyimpanan kunci AWS CloudHSM . Misalnya, Anda dapat memilih **Penyedia Penyimpanan Kunci RSA \$1CloudHSM**.

   1. Untuk **Panjang kunci**, pilih salah satu opsi panjang kunci.

   1. Untuk **Pilih algoritme hash untuk menandatangani sertifikat yang dikeluarkan oleh CA ini**, pilih salah satu opsi algoritme hash.

   Pilih **Selanjutnya**.

1. Untuk **Nama CA**, lakukan hal berikut:

   1. (Opsional) Edit nama umum.

   1. (Opsional) Ketik akhiran nama berbeda.

   Pilih **Selanjutnya**.

1. Untuk **Masa Berlaku**, tentukan jangka waktu dalam tahun, bulan, minggu, atau hari. Lalu, pilih **Selanjutnya**.

1. Untuk **Basis Data Sertifikat**, Anda dapat menerima nilai default, atau secara opsional mengubah lokasi untuk basis data dan log basis data. Lalu, pilih **Selanjutnya**.

1. Untuk **Konfirmasi**, tinjau informasi tentang CA Anda; Kemudian pilih**Konfigurasi**.

1. Pilih **Tutup**, lalu pilih **Tutup** lagi.

Anda sekarang memiliki Windows Server CA dengan AWS CloudHSM. Untuk mempelajari cara menandatangani permintaan penandatanganan sertifikat (CSR) dengan CA Anda, kunjungi [Menandatangani CSR](#win-ca-sign-csr-sdk5).

## Langkah 3: Menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA Anda AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

Anda dapat menggunakan CA Windows Server Anda AWS CloudHSM untuk menandatangani permintaan penandatanganan sertifikat (CSR). Untuk menyelesaikan langkah-langkah ini, Anda memerlukan CSR yang valid. Anda dapat membuat CSR dengan beberapa cara, termasuk yang berikut:
+ Menggunakan OpenSSL
+ Menggunakan Manajer Layanan Informasi Internet (IIS) Windows Server
+ Menggunakan sertifikat snap-in di Konsol Manajemen Microsoft
+ Menggunakan utilitas baris perintah **certreq** pada Windows

Langkah-langkah untuk membuat CSR berada di luar cakupan tutorial ini. Bila Anda memiliki CSR, Anda dapat menandatanganinya dengan Windows Server CA.

**Untuk menandatangani CSR dengan Windows Server CA**

1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Pada server Windows Anda, mulai **Manager Server**.

1. Di dasbor **Manajer Server**, di pojok kanan atas, pilih **Alat**, **Otoritas Sertifikasi**.

1. Di jendela **Otoritas Sertifikasi**, pilih nama komputer Anda.

1. Dari menu **Tindakan**, pilih **Semua Tugas**, **Kirim permintaan baru**.

1. Pilih file CSR Anda, lalu pilih **Buka**.

1. Di jendela **Otoritas Sertifikasi**, klik dua kali **Permintaan Menunggu Keputusan**.

1. Pilih permintaan yang tertunda. Kemudian, dari menu **Tindakan**, pilih **Semua Tugas**, **Terbitkan**.

1. Di jendela **Otoritas Sertifikasi**, klik dua kali **Permintaan Diterbitkan** untuk melihat sertifikat ditandatangani.

1. (Opsional) Untuk mengekspor sertifikat yang ditandatangani ke file, selesaikan langkah-langkah berikut:

   1. Di jendela **Otoritas Sertifikasi**, klik dua kali sertifikat.

   1. Plih tab **Detail**, dan kemudian pilih **Salin ke File**.

   1. Ikuti instruksi di **Wizard Ekspor Sertifikat**.

Anda sekarang memiliki Windows Server CA dengan AWS CloudHSM, dan sertifikat yang valid ditandatangani oleh Windows Server CA.

# Konfigurasikan Windows Server sebagai otoritas sertifikat (CA) dengan Client SDK 3
<a name="win-ca-overview-sdk3"></a>

Dalam infrastruktur kunci publik (PKI), otoritas sertifikat (CA) adalah entitas tepercaya yang mengeluarkan sertifikat digital. Sertifikat digital ini mengikat kunci publik dengan suatu identitas (orang atau organisasi) dengan cara kriptografi kunci publik dan tanda tangan digital. Untuk mengoperasikan CA, Anda harus mempertahankan kepercayaan dengan melindungi kunci privat yang menandatangani sertifikat yang dikeluarkan oleh CA Anda. Anda dapat menyimpan kunci privat di HSM di klaster AWS CloudHSM , dan menggunakan HSM untuk melakukan operasi penandatanganan kriptografi.

Dalam tutorial ini, Anda menggunakan Windows Server dan AWS CloudHSM untuk mengkonfigurasi CA. Instal perangkat lunak klien AWS CloudHSM untuk Windows di server Windows, kemudian tambahkan peran Active Directory Certificate Services (AD CS) ke Windows Server Anda. Saat mengonfigurasi peran ini, Anda menggunakan penyedia penyimpanan AWS CloudHSM kunci (KSP) untuk membuat dan menyimpan kunci pribadi CA di AWS CloudHSM klaster Anda. KSP adalah jembatan yang menghubungkan server Windows Anda ke AWS CloudHSM cluster Anda. Pada langkah terakhir, Anda menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA.

Untuk informasi selengkapnya, lihat topik berikut:

**Topics**
+ [

## Langkah 1: Siapkan prasyarat
](#win-ca-prerequisites-sdk3)
+ [

## Langkah 2: Buat CA Windows Server dengan AWS CloudHSM
](#win-ca-setup-sdk3)
+ [

## Langkah 3: Menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA Anda AWS CloudHSM
](#win-ca-sign-csr-sdk3)

## Langkah 1: Siapkan prasyarat
<a name="win-ca-prerequisites-sdk3"></a>

Untuk mengatur Windows Server sebagai otoritas sertifikat (CA) dengan AWS CloudHSM, Anda memerlukan yang berikut ini:
+  AWS CloudHSM Cluster aktif dengan setidaknya satu HSM.
+ Instans Amazon EC2 yang menjalankan sistem operasi Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal. Tutorial ini menggunakan Microsoft Windows Server 2016.
+ Pengguna kriptografi (CU) harus memiliki dan mengelola kunci privat CA pada HSM.

**Untuk mengatur prasyarat untuk Windows Server CA dengan AWS CloudHSM**

1. Selesaikan langkah-langkah dalam [Mulai menggunakan](getting-started.md). Ketika Anda meluncurkan klien Amazon EC2, pilih Windows Server AMI. Tutorial ini menggunakan Microsoft Windows Server 2016. Ketika Anda menyelesaikan langkah-langkah ini, Anda memiliki klaster aktif dengan setidaknya satu HSM. Anda juga memiliki instans klien Amazon EC2 yang menjalankan Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal.

1. (Opsional) Tambahkan lebih banyak HSMs ke cluster Anda. Untuk informasi selengkapnya, lihat [Menambahkan HSM ke cluster AWS CloudHSM](add-hsm.md).

1. Hubungkan ke instans klien Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Buat pengguna kripto (CU) menggunakan [Mengelola pengguna HSM dengan CloudHSM CLI atau Mengelola pengguna HSM dengan CloudHSM](manage-hsm-users-chsm-cli.md) [Management Utility (CMU](manage-hsm-users-cmu.md)). Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya untuk menyelesaikan langkah berikutnya.

1. [Atur kredensial login untuk HSM](ksp-library-prereq.md), menggunakan nama pengguna dan kata sandi CU yang Anda buat di langkah sebelumnya.

1. *Pada langkah 5, jika Anda menggunakan Windows Credentials Manager untuk mengatur kredensi HSM, unduh [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)dari SysInternals untuk menjalankan perintah berikut sebagai NT Authority\$1 SYSTEM:*

   ```
   	  psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Ganti *<USERNAME>* dan *<PASSWORD>* dengan kredensi HSM.

Untuk membuat Windows Server CA dengan AWS CloudHSM, buka[Buat Windows Server CA](#win-ca-setup-sdk3).

## Langkah 2: Buat CA Windows Server dengan AWS CloudHSM
<a name="win-ca-setup-sdk3"></a>

Untuk membuat Windows Server CA, Anda menambahkan peran Active Directory Certificate Services (AD CS) ke Windows Server. Saat menambahkan peran ini, Anda menggunakan penyedia penyimpanan AWS CloudHSM kunci (KSP) untuk membuat dan menyimpan kunci pribadi CA di AWS CloudHSM klaster Anda.

**catatan**  
Ketika Anda membuat Windows Server CA, Anda dapat memilih untuk membuat CA root atau CA bawahan. Anda biasanya membuat keputusan ini berdasarkan desain infrastruktur kunci publik dan kebijakan keamanan organisasi Anda. Tutorial ini menjelaskan cara membuat root CA untuk kesederhanaan.

**Untuk menambahkan peran AD CS ke Windows Server dan membuat kunci privat CA**

1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Pada server Windows Anda, mulai **Manager Server**.

1. Di dasbor **Server Manager**, pilih **Tambahkan peran dan fitur**.

1. Baca informasi **Sebelum Anda memulai**, kemudian pilih **Selanjutnya**.

1. Untuk **Jenis Instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**. Lalu, pilih **Selanjutnya**.

1. Untuk **Pemilihan Server**, pilih **Pilih server dari kolam server**. Lalu, pilih **Selanjutnya**.

1. Untuk **Peran Server**, lakukan hal berikut:

   1. Pilih **Layanan Sertifikat Active Directory**.

   1. Untuk **Tambahkan fitur yang diperlukan untuk Active Directory Sertifikat Services**, pilih **Tambah Fitur**.

   1. Pilih **Selanjutnya** untuk menyelesaikan pemilihan peran server.

1. Untuk **Fitur**, terima default, dan kemudian pilih **Selanjutnya**.

1. Untuk **AD CS**, lakukan hal berikut:

   1. Pilih **Selanjutnya**.

   1. Pilih **Otoritas Sertifikasi**, lalu pilih **Selanjutnya**.

1. Untuk **Konfirmasi**, baca informasi konfirmasi, dan kemudian pilih **Instal**. Jangan tutup jendela.

1. Pilih tautan yang disorot **Atur Konfigurasi Layanan Active Directory Certificate Services di server tujuan**.

1. Untuk **Kredenitas**, verifikasi atau ubah kredensial yang ditampilkan. Lalu, pilih **Selanjutnya**.

1. Untuk **Peran Layanan**, pilih **Otoritas Sertifikasi**. Lalu, pilih **Selanjutnya**.

1. Untuk**Jenis Pengaturan**, pilih **CA Mandiri**. Lalu, pilih **Selanjutnya**.

1. Untuk**Jenis CA**, pilih **CA Root**. Lalu, pilih **Selanjutnya**.
**catatan**  
Anda dapat memilih untuk membuat CA root atau CA bawahan berdasarkan desain infrastruktur kunci publik Anda dan kebijakan keamanan organisasi Anda. Tutorial ini menjelaskan cara membuat root CA untuk kesederhanaan.

1. Untuk **Kunci Privat**, pilih **Buat kunci privat baru**. Lalu, pilih **Selanjutnya**.

1. Untuk **Kriptografi**, lakukan hal berikut:

   1. Untuk **Pilih penyedia kriptografi**, pilih salah satu dari opsi **Penyedia Penyimpanan Kunci Cavium** dari menu. Ini adalah penyedia penyimpanan kunci AWS CloudHSM . Misalnya, Anda dapat memilih **Penyedia Penyimpanan Kunci RSA\$1Cavium**.

   1. Untuk **Panjang kunci**, pilih salah satu opsi panjang kunci.

   1. Untuk **Pilih algoritme hash untuk menandatangani sertifikat yang dikeluarkan oleh CA ini**, pilih salah satu opsi algoritme hash.

   Pilih **Selanjutnya**.

1. Untuk **Nama CA**, lakukan hal berikut:

   1. (Opsional) Edit nama umum.

   1. (Opsional) Ketik akhiran nama berbeda.

   Pilih **Selanjutnya**.

1. Untuk **Masa Berlaku**, tentukan jangka waktu dalam tahun, bulan, minggu, atau hari. Lalu, pilih **Selanjutnya**.

1. Untuk **Basis Data Sertifikat**, Anda dapat menerima nilai default, atau secara opsional mengubah lokasi untuk basis data dan log basis data. Lalu, pilih **Selanjutnya**.

1. Untuk **Konfirmasi**, tinjau informasi tentang CA Anda; Kemudian pilih**Konfigurasi**.

1. Pilih **Tutup**, lalu pilih **Tutup** lagi.

Anda sekarang memiliki Windows Server CA dengan AWS CloudHSM. Untuk mempelajari cara menandatangani permintaan penandatanganan sertifikat (CSR) dengan CA Anda, kunjungi [Menandatangani CSR](#win-ca-sign-csr-sdk3).

## Langkah 3: Menandatangani permintaan penandatanganan sertifikat (CSR) dengan Windows Server CA Anda AWS CloudHSM
<a name="win-ca-sign-csr-sdk3"></a>

Anda dapat menggunakan CA Windows Server Anda AWS CloudHSM untuk menandatangani permintaan penandatanganan sertifikat (CSR). Untuk menyelesaikan langkah-langkah ini, Anda memerlukan CSR yang valid. Anda dapat membuat CSR dengan beberapa cara, termasuk yang berikut:
+ Menggunakan OpenSSL
+ Menggunakan Manajer Layanan Informasi Internet (IIS) Windows Server
+ Menggunakan sertifikat snap-in di Konsol Manajemen Microsoft
+ Menggunakan utilitas baris perintah **certreq** pada Windows

Langkah-langkah untuk membuat CSR berada di luar cakupan tutorial ini. Bila Anda memiliki CSR, Anda dapat menandatanganinya dengan Windows Server CA.

**Untuk menandatangani CSR dengan Windows Server CA**

1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.

1. Pada server Windows Anda, mulai **Manager Server**.

1. Di dasbor **Manajer Server**, di pojok kanan atas, pilih **Alat**, **Otoritas Sertifikasi**.

1. Di jendela **Otoritas Sertifikasi**, pilih nama komputer Anda.

1. Dari menu **Tindakan**, pilih **Semua Tugas**, **Kirim permintaan baru**.

1. Pilih file CSR Anda, lalu pilih **Buka**.

1. Di jendela **Otoritas Sertifikasi**, klik dua kali **Permintaan Menunggu Keputusan**.

1. Pilih permintaan yang tertunda. Kemudian, dari menu **Tindakan**, pilih **Semua Tugas**, **Terbitkan**.

1. Di jendela **Otoritas Sertifikasi**, klik dua kali **Permintaan Diterbitkan** untuk melihat sertifikat ditandatangani.

1. (Opsional) Untuk mengekspor sertifikat yang ditandatangani ke file, selesaikan langkah-langkah berikut:

   1. Di jendela **Otoritas Sertifikasi**, klik dua kali sertifikat.

   1. Plih tab **Detail**, dan kemudian pilih **Salin ke File**.

   1. Ikuti instruksi di **Wizard Ekspor Sertifikat**.

Anda sekarang memiliki Windows Server CA dengan AWS CloudHSM, dan sertifikat yang valid ditandatangani oleh Windows Server CA.