Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Después de crear una entidad de certificación privada, puede actualizar su estado o la configuración de revocación. En este tema se proporcionan detalles sobre el estado y el ciclo de vida de la CA, junto con ejemplos de actualizaciones de la consola y la CLI CAs.
Actualizar una CA (consola)
Los siguientes procedimientos muestran cómo actualizar configuraciones de CA existentes utilizando AWS Management Console.
Actualizar el estado de CA (consola)
En este ejemplo, el estado de una CA habilitada cambia a inhabilitado.
Para actualizar el estado de una CA
-
Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa
-
En la página Autoridad de certificación privada, elija una CA privada que esté actualmente activa de la lista.
-
En el menú Acciones, seleccione Desactivar para deshabilitar la CA privada.
Actualizar la configuración de revocación de una CA (consola)
Puede actualizar la configuración de revocación de su CA privada, por ejemplo, añadiendo o quitando la compatibilidad con OCSP o CRL, o modificando su configuración.
nota
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para OCSP, puede cambiar las opciones siguientes:
-
Habilitación y desactivación de OCSP.
-
Habilite o deshabilite un nombre de dominio completo OCSP personalizado (FQDN).
-
Cambie el FQDN.
Para una CRL, puede elegir una de las siguientes configuraciones:
-
El tipo de CRL (completa o particionada)
-
Si la entidad de certificación privada genera una lista de revocación de certificados (CRL)
-
El número de días para que caduque una CRL. Tenga en cuenta que Autoridad de certificación privada de AWS comienza a intentar regenerar la CRL a la mitad del número de días que especifique.
-
El nombre del bucket de Amazon S3 donde se guarda la CRL.
-
Una alias para que el nombre del bucket de Amazon S3 no esté visible públicamente.
importante
Cambiar cualquiera de estos parámetros pueden tener consecuencias negativas. Algunos ejemplos incluyen deshabilitar la generación de CRL, cambiar el período de validez o cambiar el bucket de S3 después de poner su CA privada en producción. Estos cambios pueden infringir los certificados existentes que dependen de la CRL y de la configuración de la CRL actual. El alias se puede cambiar sin problema siempre que el alias anterior siga asociado al bucket correcto.
Para actualizar la configuración de revocación
-
En la página Autoridad de certificación privada, elija una CA privada de la lista. Esto abre el panel de detalles de la CA.
-
Seleccione la pestaña Configuración de revocación y, a continuación, elija Editar.
-
En las Opciones de revocación de certificados, se muestran dos opciones:
-
Activar la distribución de CRL
-
Encender OCSP
Puede configurar uno de estos mecanismos de revocación, ninguno o ambos para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Planifique el método de revocación AWS Private CA de su certificado para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las características de revocación adicionales.
-
-
Selección Activar la distribución de CRL.
-
Si desea crear un bucket de Amazon S3 para las entradas de CRL, seleccione Crear un nuevo bucket de S3. Proporcione un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, deje esta opción sin seleccionar y elija un bucket existente de la lista de nombres de buckets de S3.
Si creas un depósito nuevo, Autoridad de certificación privada de AWS crea y adjunta la política de acceso requerida. Si decide utilizar un depósito existente, debe adjuntarle una política de acceso antes de empezar a CRLs generarlo. Utilice uno de los patrones de políticas descritos en Políticas de acceso para CRLs Amazon S3 . Para obtener más información sobre cómo adjuntar un política, consulte Agregar una política de bucket mediante la consola de Amazon S3.
nota
Al utilizar la Autoridad de certificación privada de AWS consola, se produce un error al intentar crear una CA si se cumplen las dos condiciones siguientes:
-
Está aplicando la configuración de bloqueo de acceso público en su cuenta o bucket de Amazon S3.
-
Ha solicitado Autoridad de certificación privada de AWS crear un bucket de Amazon S3 automáticamente.
En esta situación, la consola intenta, de forma predeterminada, crear un bucket de acceso público y Amazon S3 rechaza esta acción. Compruebe su configuración de Amazon S3 si esto ocurre. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.
-
-
Expanda Avanzado para obtener opciones de configuración adicionales.
-
Seleccione Habilitar la partición para habilitar la partición de. CRLs Si no habilita la partición, su CA estará sujeta al número máximo de certificados revocados que se indica en las cuotas.AWS Private Certificate Authority Para obtener más información sobre las particiones CRLs, consulta los tipos de CRL.
-
Agregue un Nombre de CRL personalizado para crear un alias para el bucket de Amazon S3. Este nombre se incluye en los certificados emitidos por la entidad de certificación (CA) en la extensión “Puntos de distribución de CRL” definida por RFC 5280.
-
Añada una ruta personalizada para crear un alias de DNS para la ruta del archivo en su bucket de Amazon S3.
-
Introduzca la validez en días en los que su CRL seguirá siendo válida. El valor predeterminado es 7 días. En el caso de Internet CRLs, es habitual que el período de validez sea de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerar la CRL en el punto medio del período especificado.
-
-
Cuando haya terminado, elija Guardar cambios.
-
En la página Revocación de certificados, elija Activar OCSP.
-
En el campo Punto de conexión de OCSP personalizado (opcional), puede proporcionar un nombre de dominio completo (FQDN) para un punto de conexión de OCSP.
Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar de en la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:
-
Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS
-
Agregue el registro CNAME correspondiente a su base de datos DNS.
sugerencia
Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte Personalice la URL de OCSP para AWS Private CA.
Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.
Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico alternative.example.com
CNAME Sencillez - proxy.example.com nota
El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.
-
-
Cuando haya terminado, elija Guardar cambios.
Actualizar una CA (CLI)
Los siguientes procedimientos muestran cómo actualizar el estado y la configuración de revocación de una CA existente utilizando AWS CLI.
nota
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para actualizar el estado de la CA (AWS CLI)
Utilice el comando update-certificate-authority.
Esto resulta útil cuando tiene una CA existente con un estado DISABLED que desea configurar ACTIVE. Para empezar, confirme el estado inicial de la CA con el siguiente comando.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Esto devuelve un resultado similar a lo siguiente.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}El siguiente comando establece el estado de la CA privada en ACTIVE. Esto solo es posible si hay un certificado válido instalado en la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Inspeccione el nuevo estado de la CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
El estado ahora aparece como ACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}En algunos casos, es posible que tenga una CA activa sin un mecanismo de revocación configurado. Si quiere empezar a utilizar una lista de revocación de certificados (CRL), utilice el siguiente procedimiento.
Para agregar una CRL a una CA existente (AWS CLI)
-
Puede utilizar el siguiente comando para encontrar el estado actual de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA tiene un estado
ACTIVE, pero no está configurada para usar una CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Cree y guarde un archivo con un nombre
revoke_config.txtpara definir los parámetros de configuración de la CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }nota
Al actualizar una CA de atestación de dispositivos Matter para habilitarla CRLs, debe configurarla para que omita la extensión CDP de los certificados emitidos a fin de cumplir con el estándar Matter actual. Para ello, defina los parámetros de configuración de la CRL tal y como se muestra a continuación:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspeccione nuevamente el estado de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA está ahora configurada para usar una CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }En algunos casos, es posible que desee agregar soporte de revocación de OCSP en lugar de habilitar una CRL tal y como se hizo en el procedimiento anterior. En ese caso, siga los siguientes pasos.
Para añadir compatibilidad con OCSP a una CA existente (AWS CLI)
-
Cree y guarde un archivo con un nombre; por ejemplo,
revoke_config.txt, para definir los parámetros de OCSP.{ "OcspConfiguration":{ "Enabled":true } } -
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspeccione nuevamente el estado de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA está ahora configurada para usar un OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
nota
También puede configurar el soporte de CRL y OCSP en una CA.
