Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können den Status einer privaten Zertifizierungsstelle aktualisieren oder ihre Sperrkonfiguration ändern, nachdem Sie sie erstellt haben. Dieses Thema enthält Details zum CA-Status und zum CA-Lebenszyklus sowie Beispiele für Konsolen- und CLI-Updates für CAs.
Aktualisieren Sie eine CA (Konsole)
Die folgenden Verfahren zeigen, wie Sie vorhandene CA-Konfigurationen mithilfe von aktualisieren AWS Management Console.
CA-Status aktualisieren (Konsole)
In diesem Beispiel wird der Status einer aktivierten Zertifizierungsstelle auf deaktiviert geändert.
Um den Status einer CA zu aktualisieren
-
Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause
-
Wählen Sie auf der Seite Private Zertifizierungsstellen eine private Zertifizierungsstelle aus der Liste aus, die derzeit aktiv ist.
-
Wählen Sie im Menü Aktionen die Option Deaktivieren aus, um die private Zertifizierungsstelle zu deaktivieren.
Aktualisierung der Sperrkonfiguration einer CA (Konsole)
Sie können die Sperrkonfiguration für Ihre private Zertifizierungsstelle aktualisieren, indem Sie beispielsweise entweder OCSP- oder CRL-Unterstützung hinzufügen oder entfernen oder deren Einstellungen ändern.
Anmerkung
Änderungen an der Sperrkonfiguration einer Zertifizierungsstelle wirken sich nicht auf Zertifikate aus, die bereits ausgestellt wurden. Damit der verwaltete Widerruf funktioniert, müssen ältere Zertifikate erneut ausgestellt werden.
Für OCSP ändern Sie die folgenden Einstellungen:
-
Aktivieren oder deaktivieren Sie OCSP.
-
Aktivieren oder deaktivieren Sie einen benutzerdefinierten vollqualifizierten OCSP-Domänennamen (FQDN).
-
Ändern Sie den FQDN.
Für eine CRL können Sie jede der folgenden Einstellungen ändern:
-
Der CRL-Typ (vollständig oder partitioniert)
-
Gibt an, ob die private CA eine Zertifikatsperrliste (CRL) generiert
-
Die Anzahl der Tage, bevor eine Zertifikatsperrliste abläuft. Beachten Sie, dass der Versuch, die CRL zu regenerieren, bei der Hälfte der von Ihnen angegebenen Anzahl von Tagen AWS Private CA beginnt.
-
Der Name des Amazon S3 S3-Buckets, in dem Ihre CRL gespeichert ist.
-
Ein Alias, um den Namen Ihres Amazon S3 S3-Buckets vor der Öffentlichkeit zu verbergen.
Wichtig
Die Änderung eines der oben genannten Parameter kann negative Auswirkungen haben. Beispiele hierfür sind das Deaktivieren der CRL-Generierung, das Ändern des Gültigkeitszeitraums oder das Ändern des S3-Buckets, nachdem Sie Ihre private CA in Betrieb genommen haben. Solche Änderungen können bestehende Zertifikate beschädigen, die von der CRL und der aktuellen CRL-Konfiguration abhängen. Das Ändern des Alias kann sicher durchgeführt werden, solange der alte Alias mit dem richtigen Bucket verknüpft bleibt.
Um die Sperreinstellungen zu aktualisieren
-
Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause
. -
Wählen Sie auf der Seite Private Zertifizierungsstellen eine private Zertifizierungsstelle aus der Liste aus. Dadurch wird das Detailfenster für die CA geöffnet.
-
Wählen Sie die Registerkarte Widerrufskonfiguration und dann Bearbeiten aus.
-
Unter Optionen zum Widerruf von Zertifikaten werden zwei Optionen angezeigt:
-
Aktivieren Sie die CRL-Verteilung
-
Schalten Sie OCSP ein
Sie können einen, keinen oder beide dieser Sperrmechanismen für Ihre CA konfigurieren. Der verwaltete Widerruf ist zwar optional, wird aber als bewährte Methode empfohlen. Bevor Sie diesen Schritt abschließen, finden Sie unter Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten Informationen zu den Vorteilen der einzelnen Methoden, zur eventuell erforderlichen vorläufigen Einrichtung und zu zusätzlichen Sperrfunktionen.
-
-
Wählen Sie CRL-Verteilung aktivieren aus.
-
Um einen Amazon S3 S3-Bucket für Ihre CRL-Einträge zu erstellen, wählen Sie Neuen S3-Bucket erstellen aus. Geben Sie einen eindeutigen Bucket-Namen an. (Sie müssen den Pfad zum Bucket nicht einschließen.) Andernfalls lassen Sie diese Option deaktiviert und wählen Sie einen vorhandenen Bucket aus der Liste der S3-Bucket-Namen aus.
Wenn Sie einen neuen Bucket erstellen, AWS Private CA erstellt und fügt ihm die erforderliche Zugriffsrichtlinie hinzu. Wenn Sie sich dafür entscheiden, einen vorhandenen Bucket zu verwenden, müssen Sie ihm eine Zugriffsrichtlinie hinzufügen, bevor Sie mit der Generierung CRLs beginnen können. Verwenden Sie eines der unter beschriebenen RichtlinienmusterZugriffsrichtlinien für CRLs in Amazon S3 . Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.
Anmerkung
Wenn Sie die AWS Private CA Konsole verwenden, schlägt der Versuch, eine CA zu erstellen, fehl, wenn die beiden folgenden Bedingungen zutreffen:
-
Sie setzen die Einstellungen für den Block Public Access in Ihrem Amazon S3 S3-Bucket oder Konto durch.
-
Sie haben darum AWS Private CA gebeten, automatisch einen Amazon S3 S3-Bucket zu erstellen.
In dieser Situation versucht die Konsole standardmäßig, einen öffentlich zugänglichen Bucket zu erstellen, und Amazon S3 lehnt diese Aktion ab. Überprüfen Sie in diesem Fall Ihre Amazon S3 S3-Einstellungen. Weitere Informationen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher.
-
-
Erweitern Sie Erweitert, um weitere Konfigurationsoptionen zu erhalten.
-
Wählen Sie Partitionierung aktivieren, um die Partitionierung von zu aktivieren. CRLs Wenn Sie die Partitionierung nicht aktivieren, gilt für Ihre CA die maximale Anzahl widerrufener Zertifikate, die in den Kontingenten angegeben ist.AWS Private Certificate Authority Weitere Informationen zu partitionierten Dateien finden Sie unter CRLs CRL-Typen.
-
Fügen Sie einen benutzerdefinierten CRL-Namen hinzu, um einen Alias für Ihren Amazon S3 S3-Bucket zu erstellen. Dieser Name ist in Zertifikaten enthalten, die von der Zertifizierungsstelle in der Erweiterung „CRL Distribution Points“ ausgestellt wurden, die in RFC 5280 definiert ist.
-
Fügen Sie einen benutzerdefinierten Pfad hinzu, um einen DNS-Alias für den Dateipfad in Ihrem Amazon S3 S3-Bucket zu erstellen.
-
Geben Sie die Gültigkeitsdauer in Tagen ein, in der Ihre CRL gültig bleiben soll. Der Standardwert lautet 7 Tage. Im Online-Bereich CRLs ist eine Gültigkeitsdauer von 2-7 Tagen üblich. AWS Private CA versucht, die CRL in der Mitte des angegebenen Zeitraums zu regenerieren.
-
-
Wählen Sie Änderungen speichern, wenn Sie fertig sind.
-
Wählen Sie auf der Seite Certificate Revocation die Option Turn on OCSP aus.
-
(Optional) Geben Sie im Feld Benutzerdefinierter OCSP-Endpunkt einen vollqualifizierten Domänennamen (FQDN) für Ihren OCSP-Endpunkt ein.
Wenn Sie in diesem Feld einen FQDN angeben, AWS Private CA fügt dieser anstelle der Standard-URL für den OCSP-Responder den FQDN in die Authority Information Access-Erweiterung jedes ausgestellten Zertifikats ein. AWS Wenn ein Endpunkt ein Zertifikat empfängt, das den benutzerdefinierten FQDN enthält, fragt er diese Adresse nach einer OCSP-Antwort ab. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:
-
Verwenden Sie einen Proxyserver, um den Datenverkehr, der bei Ihrem benutzerdefinierten FQDN eingeht, an den AWS OCSP-Responder weiterzuleiten.
-
Fügen Sie Ihrer DNS-Datenbank einen entsprechenden CNAME-Eintrag hinzu.
Tipp
Weitere Hinweise zur Implementierung einer vollständigen OCSP-Lösung mit einem benutzerdefinierten CNAME finden Sie unter. Passen Sie die OCSP-URL an für AWS Private CA
Hier ist zum Beispiel ein CNAME-Eintrag für benutzerdefiniertes OCSP, wie er in Amazon Route 53 erscheinen würde.
Datensatzname Typ Routing-Richtlinie Unterscheidungsmerkmal Bewerten/Weiterleiten des Datenverkehrs an alternative.example.com
CNAME Einfach - proxy.example.com Anmerkung
Der Wert des CNAME-Werts darf kein Protokollpräfix wie „http://“ oder „https://“ enthalten.
-
-
Wählen Sie Änderungen speichern, wenn Sie fertig sind.
Aktualisierung einer CA (CLI)
Die folgenden Verfahren zeigen, wie Sie den Status und die Sperrkonfiguration einer vorhandenen Zertifizierungsstelle mithilfe der aktualisieren AWS CLI.
Anmerkung
Änderungen an der Sperrkonfiguration einer Zertifizierungsstelle wirken sich nicht auf Zertifikate aus, die bereits ausgestellt wurden. Damit der verwaltete Widerruf funktioniert, müssen ältere Zertifikate erneut ausgestellt werden.
Um den Status Ihrer privaten CA ()AWS CLI zu aktualisieren
Verwenden Sie den update-certificate-authority-Befehl.
Dies ist nützlich, wenn Sie bereits über eine Zertifizierungsstelle verfügenDISABLED, deren Status Sie ändern möchtenACTIVE. Bestätigen Sie zunächst den Anfangsstatus der CA mit dem folgenden Befehl.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Dies führt zu einer Ausgabe, die der folgenden ähnelt.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Der folgende Befehl setzt den Status der privaten CA aufACTIVE. Dies ist nur möglich, wenn ein gültiges Zertifikat auf der CA installiert ist.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Überprüfen Sie den neuen Status der CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Der Status wird jetzt als angezeigtACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}In einigen Fällen haben Sie möglicherweise eine aktive Zertifizierungsstelle, für die kein Sperrmechanismus konfiguriert ist. Wenn Sie mit der Verwendung einer Zertifikatssperrliste (CRL) beginnen möchten, gehen Sie wie folgt vor.
So fügen Sie einer vorhandenen Zertifizierungsstelle eine CRL hinzu ()AWS CLI
-
Verwenden Sie den folgenden Befehl, um den aktuellen Status der CA zu überprüfen.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonDie Ausgabe bestätigt, dass die CA zwar den Status hat
ACTIVE, aber nicht für die Verwendung einer CRL konfiguriert ist.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Erstellen und speichern Sie eine Datei mit einem Namen,
revoke_config.txtum beispielsweise Ihre CRL-Konfigurationsparameter zu definieren.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }Anmerkung
Wenn Sie eine Matter Device Attestation CA aktualisieren, um sie zu aktivieren CRLs, müssen Sie sie so konfigurieren, dass die CDP-Erweiterung in den ausgestellten Zertifikaten weggelassen wird, um dem aktuellen Matter-Standard zu entsprechen. Definieren Sie dazu Ihre CRL-Konfigurationsparameter wie unten dargestellt:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Verwenden Sie den update-certificate-authorityBefehl und die Sperrkonfigurationsdatei, um die CA zu aktualisieren.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Überprüfen Sie erneut den Status der CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonDie Ausgabe bestätigt, dass CA jetzt für die Verwendung einer CRL konfiguriert ist.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }In einigen Fällen möchten Sie möglicherweise OCSP-Sperrunterstützung hinzufügen, anstatt wie im vorherigen Verfahren eine CRL zu aktivieren. Gehen Sie in diesem Fall wie folgt vor.
Um OCSP-Unterstützung zu einer vorhandenen CA hinzuzufügen ()AWS CLI
-
Erstellen und speichern Sie eine Datei mit einem Namen,
revoke_config.txtum beispielsweise Ihre OCSP-Parameter zu definieren.{ "OcspConfiguration":{ "Enabled":true } } -
Verwenden Sie den update-certificate-authorityBefehl und die Sperrkonfigurationsdatei, um die CA zu aktualisieren.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Überprüfen Sie erneut den Status der CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonDie Ausgabe bestätigt, dass CA jetzt für die Verwendung von OCSP konfiguriert ist.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Anmerkung
Sie können auch sowohl die CRL- als auch die OCSP-Unterstützung auf einer CA konfigurieren.
