Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Actualice una CA privada en AWS Private Certificate Authority
Después de crear una entidad de certificación privada, puede actualizar su estado o la [configuración de revocación](revocation-setup.md). En este tema se proporcionan detalles sobre el estado y el ciclo de vida de la CA, junto con ejemplos de actualizaciones de la consola y la CLI CAs.
## Actualizar una CA (consola)
Los siguientes procedimientos muestran cómo actualizar configuraciones de CA existentes utilizando Consola de administración de AWS.
### Actualizar el estado de CA (consola)
En este ejemplo, el estado de una CA habilitada cambia a inhabilitado.
**Para actualizar el estado de una CA**
1. Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home)
1. En la página **Autoridad de certificación privada**, elija una CA privada que esté actualmente activa de la lista.
1. En el menú **Acciones**, seleccione **Desactivar** para deshabilitar la CA privada.
### Actualizar la configuración de revocación de una CA (consola)
Puede actualizar la [configuración de revocación](revocation-setup.md) de su CA privada, por ejemplo, añadiendo o quitando la compatibilidad con OCSP o CRL, o modificando su configuración.
**nota**
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para OCSP, puede cambiar las opciones siguientes:
+ Habilitación y desactivación de OCSP.
+ Habilite o deshabilite un nombre de dominio completo OCSP personalizado (FQDN).
+ Cambie el FQDN.
Para una CRL, puede elegir una de las siguientes configuraciones:
+ El tipo de CRL (completa o particionada)
+ Si la entidad de certificación privada genera una lista de revocación de certificados (CRL)
+ El número de días para que caduque una CRL. Tenga en cuenta que Autoridad de certificación privada de AWS comienza a intentar regenerar la CRL a la mitad del número de días que especifique.
+ El nombre del bucket de Amazon S3 donde se guarda la CRL.
+ Una alias para que el nombre del bucket de Amazon S3 no esté visible públicamente.
**importante**
Cambiar cualquiera de estos parámetros pueden tener consecuencias negativas. Algunos ejemplos incluyen deshabilitar la generación de CRL, cambiar el período de validez o cambiar el bucket de S3 después de poner su CA privada en producción. Estos cambios pueden infringir los certificados existentes que dependen de la CRL y de la configuración de la CRL actual. El alias se puede cambiar sin problema siempre que el alias anterior siga asociado al bucket correcto.
**Para actualizar la configuración de revocación**
1. [Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en casahttps://console.aws.amazon.com/acm-pca/.](https://console.aws.amazon.com/acm-pca/home)
1. En la página **Autoridad de certificación privada**, elija una CA privada de la lista. Esto abre el panel de detalles de la CA.
1. Seleccione la pestaña **Configuración de revocación** y, a continuación, elija **Editar**.
1. En las **Opciones de revocación de certificados**, se muestran dos opciones:
+ **Activar la distribución de CRL**
+ **Encender OCSP**
Puede configurar uno de estos mecanismos de revocación, ninguno o ambos para su CA. Aunque es opcional, se recomienda la revocación gestionada como [práctica recomendada](ca-best-practices.md). Antes de completar este paso, consulte [Planifique el método de revocación AWS Private CA de su certificado](revocation-setup.md) para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las características de revocación adicionales.
#### Para configurar una CRL
1. Selección **Activar la distribución de CRL**.
1. Si desea crear un bucket de Amazon S3 para las entradas de CRL, seleccione **Crear un nuevo bucket de S3**. Proporcione un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, deje esta opción sin seleccionar y elija un bucket existente de la lista de **nombres de buckets de S3**.
Si creas un depósito nuevo, Autoridad de certificación privada de AWS crea y adjunta la [política de acceso requerida](crl-planning.md#s3-policies). Si decide utilizar un depósito existente, debe adjuntarle una política de acceso antes de empezar a CRLs generarlo. Utilice uno de los patrones de políticas descritos en [Políticas de acceso para CRLs Amazon S3](crl-planning.md#s3-policies). Para obtener más información sobre cómo adjuntar un política, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
**nota**
Al utilizar la Autoridad de certificación privada de AWS consola, se produce un error al intentar crear una CA si se cumplen las dos condiciones siguientes:
Está aplicando la configuración de bloqueo de acceso público en su cuenta o bucket de Amazon S3.
Ha solicitado Autoridad de certificación privada de AWS crear un bucket de Amazon S3 automáticamente.
En esta situación, la consola intenta, de forma predeterminada, crear un bucket de acceso público y Amazon S3 rechaza esta acción. Compruebe su configuración de Amazon S3 si esto ocurre. Para obtener más información, consulte [Bloqueo del acceso público al almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).
1. Expanda **Avanzado** para obtener opciones de configuración adicionales.
+ Seleccione **Habilitar la partición** para habilitar la partición de. CRLs [Si no habilita la partición, su CA estará sujeta al número máximo de certificados revocados que se indica en las cuotas.AWS Private Certificate Authority](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) [Para obtener más información sobre las particiones CRLs, consulta los tipos de CRL.](crl-planning.md#crl-type)
+ Agregue un **Nombre de CRL personalizado** para crear un alias para el bucket de Amazon S3. Este nombre se incluye en los certificados emitidos por la entidad de certificación (CA) en la extensión “Puntos de distribución de CRL” definida por RFC 5280. [Para usar CRLs over IPv6, configúrelo en el punto final S3 de doble pila de su bucket, tal y como se describe en Using over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Añada una **ruta personalizada** para crear un alias de DNS para la ruta del archivo en su bucket de Amazon S3.
+ Introduzca la **validez en días en los** que su CRL seguirá siendo válida. El valor predeterminado es 7 días. En el caso de Internet CRLs, es habitual que el período de validez sea de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerar la CRL en el punto medio del período especificado.
1. Cuando haya terminado, elija **Guardar cambios**.
#### Para configurar OCSP
1. En la página **Revocación de certificados**, elija **Activar OCSP**.
1. En el campo **Punto de conexión de OCSP personalizado** (opcional), puede proporcionar un nombre de dominio completo (FQDN) para un punto de conexión de OCSP. [Para usar OCSP over IPv6, defina este campo en un punto final de doble pila, tal y como se describe en Using OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión *Authority Information Access* de cada certificado emitido, en lugar de la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:
+ Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS
+ Agregue el registro CNAME correspondiente a su base de datos DNS.
**sugerencia**
Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte [Personaliza la URL de OCSP para AWS Private CA](ocsp-customize.md).
Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/PCAUpdateCA.html)
**nota**
El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.
1. Cuando haya terminado, elija **Guardar cambios**.
## Actualizar una CA (CLI)
Los siguientes procedimientos muestran cómo actualizar el estado y la [configuración de revocación](revocation-setup.md) de una CA existente utilizando AWS CLI.
**nota**
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
**Para actualizar el estado de la CA (AWS CLI)**
Utilice el comando [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html).
Esto resulta útil cuando tiene una CA existente con un estado `DISABLED` que desea configurar `ACTIVE`. Para empezar, confirme el estado inicial de la CA con el siguiente comando.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Esto devuelve un resultado similar a lo siguiente.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
El siguiente comando establece el estado de la CA privada en `ACTIVE`. Esto solo es posible si hay un certificado válido instalado en la CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
Inspeccione el nuevo estado de la CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
El estado ahora aparece como `ACTIVE`.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
En algunos casos, es posible que tenga una CA activa sin un mecanismo de revocación configurado. Si quiere empezar a utilizar una lista de revocación de certificados (CRL), utilice el siguiente procedimiento.
**Para agregar una CRL a una CA existente (AWS CLI)**
1. Puede utilizar el siguiente comando para encontrar el estado actual de la CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
El resultado confirma que la CA tiene un estado `ACTIVE`, pero no está configurada para usar una CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. Cree y guarde un archivo con un nombre `revoke_config.txt` para definir los parámetros de configuración de la CRL.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**nota**
Al actualizar una CA de atestación de dispositivos Matter para habilitarla CRLs, debe configurarla para que omita la extensión CDP de los certificados emitidos para cumplir con el estándar Matter actual. Para ello, defina los parámetros de configuración de la CRL tal y como se muestra a continuación:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. Utilice el [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando y el archivo de configuración de revocación para actualizar la CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Inspeccione nuevamente el estado de la CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
El resultado confirma que la CA está ahora configurada para usar una CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
En algunos casos, es posible que desee agregar soporte de revocación de OCSP en lugar de habilitar una CRL tal y como se hizo en el procedimiento anterior. En ese caso, siga los siguientes pasos.
**Para añadir compatibilidad con OCSP a una CA existente (AWS CLI)**
1. Cree y guarde un archivo con un nombre; por ejemplo, `revoke_config.txt`, para definir los parámetros de OCSP.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. Utilice el [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando y el archivo de configuración de revocación para actualizar la CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Inspeccione nuevamente el estado de la CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
El resultado confirma que la CA está ahora configurada para usar un OCSP.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**nota**
También puede configurar el soporte de CRL y OCSP en una CA.