Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority - AWS Private Certificate Authority
Aktualisieren Sie eine CA (Konsole)Aktualisierung einer CA (CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority

Sie können den Status einer privaten Zertifizierungsstelle aktualisieren oder ihre Sperrkonfiguration ändern, nachdem Sie sie erstellt haben. Dieses Thema enthält Informationen zum Status der Zertifizierungsstelle und zum Lebenszyklus der Zertifizierungsstelle sowie Beispiele für Konsolen und CLI Updates fürCAs.

Aktualisieren Sie eine CA (Konsole)

Die folgenden Verfahren zeigen, wie Sie vorhandene CA-Konfigurationen mithilfe von aktualisieren AWS Management Console.

CA-Status aktualisieren (Konsole)

In diesem Beispiel wird der Status einer aktivierten Zertifizierungsstelle auf deaktiviert geändert.

Um den Status einer CA zu aktualisieren

  1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause

  2. Wählen Sie auf der Seite Private Zertifizierungsstellen eine private Zertifizierungsstelle aus der Liste aus, die derzeit aktiv ist.

  3. Wählen Sie im Menü Aktionen die Option Deaktivieren aus, um die private CA zu deaktivieren.

Aktualisierung der Sperrkonfiguration einer CA (Konsole)

Sie können die Sperrkonfiguration für Ihre private Zertifizierungsstelle aktualisieren, indem Sie beispielsweise CRL Support hinzufügen OCSP oder entfernen oder deren Einstellungen ändern.

Anmerkung

Änderungen an der Sperrkonfiguration einer Zertifizierungsstelle wirken sich nicht auf Zertifikate aus, die bereits ausgestellt wurden. Damit der verwaltete Widerruf funktioniert, müssen ältere Zertifikate erneut ausgestellt werden.

Für OCSP ändern Sie die folgenden Einstellungen:

  • Aktivieren oder deaktivierenOCSP.

  • Aktivieren oder deaktivieren Sie einen benutzerdefinierten OCSP vollqualifizierten Domainnamen (FQDN).

  • Ändern Sie dasFQDN.

Für a CRL können Sie jede der folgenden Einstellungen ändern:

  • Gibt an, ob die private Zertifizierungsstelle eine Zertifikatssperrliste generiert (CRL)

  • Die Anzahl der Tage, bevor ein CRL abläuft. Beachten Sie, dass der Versuch, das zu regenerieren, CRL bei ½ der von Ihnen angegebenen Anzahl von Tagen AWS Private CA beginnt.

  • Der Name des Amazon S3 S3-Buckets, in dem Ihr gespeichert CRL ist.

  • Ein Alias, um den Namen Ihres Amazon S3 S3-Buckets vor der Öffentlichkeit zu verbergen.

Wichtig

Die Änderung eines der oben genannten Parameter kann negative Auswirkungen haben. Beispiele hierfür sind das Deaktivieren der CRL Generierung, das Ändern des Gültigkeitszeitraums oder das Ändern des S3-Buckets, nachdem Sie Ihre private CA in Betrieb genommen haben. Solche Änderungen können bestehende Zertifikate beschädigen, die von der CRL und der aktuellen CRL Konfiguration abhängen. Das Ändern des Alias kann sicher durchgeführt werden, solange der alte Alias mit dem richtigen Bucket verknüpft bleibt.

Um die Sperreinstellungen zu aktualisieren

  1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause.

  2. Wählen Sie auf der Seite Private Zertifizierungsstellen eine private Zertifizierungsstelle aus der Liste aus. Dadurch wird der Detailbereich für die CA geöffnet.

  3. Wählen Sie die Registerkarte Widerrufskonfiguration und dann Bearbeiten aus.

  4. Unter Optionen zum Widerruf von Zertifikaten werden zwei Optionen angezeigt:

    • CRLVerteilung aktivieren

    • Einschalten OCSP

    Sie können einen, keinen oder beide dieser Sperrmechanismen für Ihre CA konfigurieren. Der verwaltete Widerruf ist zwar optional, wird aber als bewährte Methode empfohlen. Bevor Sie diesen Schritt abschließen, finden Sie unter Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten Informationen zu den Vorteilen der einzelnen Methoden, zur eventuell erforderlichen vorläufigen Einrichtung und zu zusätzlichen Sperrfunktionen.

  1. Wählen Sie CRLVerteilung aktivieren aus.

  2. Um einen Amazon S3 S3-Bucket für Ihre CRL Einträge zu erstellen, wählen Sie Neuen S3-Bucket erstellen aus. Geben Sie einen eindeutigen Bucket-Namen an. (Sie müssen den Pfad zum Bucket nicht einschließen.) Andernfalls lassen Sie diese Option deaktiviert und wählen Sie einen vorhandenen Bucket aus der Liste der S3-Bucket-Namen aus.

    Wenn Sie einen neuen Bucket erstellen, AWS Private CA erstellt und fügt ihm die erforderliche Zugriffsrichtlinie hinzu. Wenn Sie sich dafür entscheiden, einen vorhandenen Bucket zu verwenden, müssen Sie ihm eine Zugriffsrichtlinie hinzufügen, bevor Sie mit der Generierung CRLs beginnen können. Verwenden Sie eines der unter beschriebenen RichtlinienmusterZugriffsrichtlinien für CRLs in Amazon S3 . Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.

    Anmerkung

    Wenn Sie die AWS Private CA Konsole verwenden, schlägt der Versuch, eine CA zu erstellen, fehl, wenn die beiden folgenden Bedingungen zutreffen:

    • Sie setzen die Einstellungen für den Block Public Access in Ihrem Amazon S3 S3-Bucket oder Konto durch.

    • Sie haben darum AWS Private CA gebeten, automatisch einen Amazon S3 S3-Bucket zu erstellen.

    In dieser Situation versucht die Konsole standardmäßig, einen öffentlich zugänglichen Bucket zu erstellen, und Amazon S3 lehnt diese Aktion ab. Überprüfen Sie in diesem Fall Ihre Amazon S3 S3-Einstellungen. Weitere Informationen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher.

  3. Erweitern Sie Erweitert, um weitere Konfigurationsoptionen zu erhalten.

    • Fügen Sie einen benutzerdefinierten CRL Namen hinzu, um einen Alias für Ihren Amazon S3 S3-Bucket zu erstellen. Dieser Name ist in Zertifikaten enthalten, die von der CA in der durch RFC 5280 definierten Erweiterung „CRLDistribution Points“ ausgestellt wurden.

    • Geben Sie die Anzahl der Tage ein, für CRL die Sie gültig bleiben werden. Der Standardwert lautet 7 Tage. Im CRLs Online-Bereich ist eine Gültigkeitsdauer von 2-7 Tagen üblich. AWS Private CA versucht, den CRL in der Mitte des angegebenen Zeitraums zu regenerieren.

  4. Wählen Sie Änderungen speichern, wenn Sie fertig sind.

  1. Wählen Sie auf der Seite zum Widerruf von Zertifikaten die Option Einschalten ausOCSP.

  2. (Optional) Geben Sie im Feld Benutzerdefinierter OCSP Endpunkt einen vollqualifizierten Domainnamen (FQDN) für Ihren OCSP Endpunkt ein.

    Wenn Sie FQDN in diesem Feld eine angeben, AWS Private CA fügt sie die FQDN Erweiterung für den Zugriff auf Autoritätsinformationen jedes ausgestellten Zertifikats anstelle der Standarderweiterung URL für den AWS OCSP Responder ein. Wenn ein Endpunkt ein Zertifikat erhält, das das benutzerdefinierte Zertifikat enthältFQDN, fragt er diese Adresse ab, um eine OCSP Antwort zu erhalten. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:

    • Verwenden Sie einen Proxyserver, um den Datenverkehr, der bei Ihrem Custom eingehtFQDN, an den AWS OCSP Responder weiterzuleiten.

    • Fügen Sie Ihrer DNS Datenbank einen entsprechenden CNAME Datensatz hinzu.

    Tipp

    Weitere Hinweise zur Implementierung einer OCSP Komplettlösung mithilfe einer benutzerdefinierten CNAME Lösung finden Sie unterAnpassen OCSP URL für AWS Private CA.

    Hier ist zum Beispiel ein CNAME Datensatz für angepasst, OCSP wie er in Amazon Route 53 erscheinen würde.

    Datensatzname Typ Routing-Richtlinie Unterscheidungsmerkmal Bewerten/Weiterleiten des Datenverkehrs an

    alternative.example.com

    		 CNAME Einfach - proxy.example.com
    Anmerkung

    Der Wert von CNAME darf kein Protokollpräfix wie „http://“ oder „https://“ enthalten.

  3. Wählen Sie Änderungen speichern, wenn Sie fertig sind.

Aktualisierung einer CA (CLI)

Die folgenden Verfahren zeigen, wie Sie den Status und die Sperrkonfiguration einer vorhandenen Zertifizierungsstelle mithilfe der aktualisieren AWS CLI.

Anmerkung

Änderungen an der Sperrkonfiguration einer Zertifizierungsstelle wirken sich nicht auf Zertifikate aus, die bereits ausgestellt wurden. Damit der verwaltete Widerruf funktioniert, müssen ältere Zertifikate erneut ausgestellt werden.

Um den Status Ihrer privaten CA ()AWS CLI zu aktualisieren

Verwenden Sie den update-certificate-authorityBefehl.

Dies ist nützlich, wenn Sie bereits über eine Zertifizierungsstelle verfügenDISABLED, deren Status Sie ändern möchtenACTIVE. Bestätigen Sie zunächst den Anfangsstatus der CA mit dem folgenden Befehl.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Dies führt zu einer Ausgabe, die der folgenden ähnelt.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "DISABLED",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
			},
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Der folgende Befehl setzt den Status der privaten CA aufACTIVE. Dies ist nur möglich, wenn ein gültiges Zertifikat auf der CA installiert ist.

$ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --status "ACTIVE"

Überprüfen Sie den neuen Status der CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Der Status wird jetzt als angezeigtACTIVE.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

In einigen Fällen haben Sie möglicherweise eine aktive Zertifizierungsstelle, für die kein Sperrmechanismus konfiguriert ist. Wenn Sie mit der Verwendung einer Zertifikatssperrliste (CRL) beginnen möchten, gehen Sie wie folgt vor.

Um eine CRL zu einer vorhandenen Zertifizierungsstelle hinzuzufügen (AWS CLI)

  1. Verwenden Sie den folgenden Befehl, um den aktuellen Status der CA zu überprüfen.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    Die Ausgabe bestätigt, dass die CA den Status hatACTIVE, aber nicht für die Verwendung von a konfiguriert istCRL.

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": false
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

  2. Erstellen und speichern Sie eine Datei mit einem Namen, revoke_config.txt um beispielsweise Ihre CRL Konfigurationsparameter zu definieren.

    {
   "CrlConfiguration":{
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   }
}
    Anmerkung

    Wenn Sie eine Matter-Gerätebescheinigungszertifizierungsstelle aktualisieren, um sie zu aktivierenCRLs, müssen Sie sie so konfigurieren, dass die CDP Erweiterung in den ausgestellten Zertifikaten weggelassen wird, um dem aktuellen Matter-Standard zu entsprechen. Definieren Sie dazu Ihre CRL Konfigurationsparameter wie unten dargestellt: 

    {
   "CrlConfiguration":{
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
      "CrlDistributionPointExtensionConfiguration":{
         "OmitExtension": true
      }
   }
}

  3. Verwenden Sie den update-certificate-authorityBefehl und die Sperrkonfigurationsdatei, um die CA zu aktualisieren. 

    $ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --revocation-configuration file://revoke_config.txt

  4. Überprüfen Sie erneut den Status der CA.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    Die Ausgabe bestätigt, dass CA jetzt für die Verwendung von konfiguriert istCRL.

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "S3BucketName": "amzn-s3-demo-bucket",
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

    In einigen Fällen möchten Sie möglicherweise OCSP Sperrunterstützung hinzufügen, anstatt a CRL wie im vorherigen Verfahren zu aktivieren. Gehen Sie in diesem Fall wie folgt vor.

Um OCSP Unterstützung zu einer vorhandenen Zertifizierungsstelle hinzuzufügen (AWS CLI)

  1. Erstellen und speichern Sie eine Datei mit einem Namenrevoke_config.txt, um beispielsweise Ihre OCSP Parameter zu definieren.

    {
   "OcspConfiguration":{
      "Enabled":true
   }
}

  2. Verwenden Sie den update-certificate-authorityBefehl und die Sperrkonfigurationsdatei, um die CA zu aktualisieren. 

    $ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --revocation-configuration file://revoke_config.txt

  3. Überprüfen Sie erneut den Status der CA.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    Die Ausgabe bestätigt, dass die CA jetzt für die Verwendung konfiguriert istOCSP.

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": false
            },
            "OcspConfiguration": {
                "Enabled": true
            }
        }
    }
}
Anmerkung

Sie können auch beides CRL und die OCSP Unterstützung auf einer CA konfigurieren.