Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettre à jour une autorité de certification privée dans AWS Private Certificate Authority
Vous pouvez mettre à jour le statut d'une autorité de certification privée ou modifier sa configuration de révocation après l'avoir créée. Cette rubrique fournit des détails sur le statut de l'autorité de certification et le cycle de vie de l'autorité de certification, ainsi que des exemples de console et de CLI mises à jour deCAs.
Mettre à jour une autorité de certification (console)
Les procédures suivantes montrent comment mettre à jour les configurations CA existantes à l'aide du AWS Management Console.
Mettre à jour le statut de l'autorité de certification (console)
Dans cet exemple, le statut d'une autorité de certification activée devient désactivé.
Pour mettre à jour le statut d'une autorité de certification
-
Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
-
Sur la page Autorités de certification privées, choisissez une autorité de certification privée actuellement active dans la liste.
-
Dans le menu Actions, choisissez Désactiver pour désactiver l'autorité de certification privée.
Mettre à jour la configuration de révocation d'une autorité de certification (console)
Vous pouvez mettre à jour la configuration de révocation de votre autorité de certification privée, par exemple en ajoutant ou en supprimant l'un OCSP ou l'autre CRL support, ou en modifiant leurs paramètres.
Note
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
PourOCSP, vous modifiez les paramètres suivants :
-
Activez ou désactivezOCSP.
-
Activez ou désactivez un nom de domaine OCSP entièrement qualifié personnalisé (FQDN).
-
Changez leFQDN.
Dans le cas d'unCRL, vous pouvez modifier l'un des paramètres suivants :
-
Si l'autorité de certification privée génère une liste de révocation de certificats () CRL
-
Le nombre de jours avant l'CRLexpiration d'un. Notez que la tentative de régénération Autorité de certification privée AWS commence CRL à la moitié du nombre de jours que vous spécifiez.
-
Le nom du compartiment Amazon S3 dans lequel le vôtre CRL est enregistré.
-
Un alias pour masquer le nom de votre compartiment Amazon S3 à la vue du public.
Important
La modification de l'un des paramètres précédents peut avoir des effets négatifs. Les exemples incluent la désactivation de la CRL génération, la modification de la période de validité ou la modification du compartiment S3 une fois que vous avez placé votre autorité de certification privée en production. De telles modifications peuvent endommager les certificats existants qui dépendent CRL de la CRL configuration actuelle. Il est possible de modifier l'alias en toute sécurité, à condition que l'ancien alias reste lié au compartiment correct.
Pour mettre à jour les paramètres de révocation
-
Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
. -
Sur la page Autorités de certification privées, choisissez une autorité de certification privée dans la liste. Cela ouvre le panneau de détails de l'autorité de certification.
-
Choisissez l'onglet Configuration de la révocation, puis sélectionnez Modifier.
-
Sous Options de révocation du certificat, deux options sont affichées :
-
Activer CRL la distribution
-
Allumez OCSP
Vous pouvez configurer l'un ou l'autre de ces mécanismes de révocation, ou les deux, pour votre autorité de certification. Bien que facultative, la gestion des révocations est recommandée en tant que bonne pratique. Avant de terminer cette étape, consultez Planifiez la méthode de révocation de votre AWS Private CA certificat les informations sur les avantages de chaque méthode, la configuration préliminaire qui peut être requise et les fonctionnalités de révocation supplémentaires.
-
-
Sélectionnez Activer CRL la distribution.
-
Pour créer un compartiment Amazon S3 pour vos CRL entrées, sélectionnez Créer un nouveau compartiment S3. Indiquez un nom de compartiment unique. (Vous n'avez pas besoin d'inclure le chemin d'accès au compartiment.) Sinon, laissez cette option désactivée et choisissez un bucket existant dans la liste des noms de bucket S3.
Si vous créez un nouveau bucket, il Autorité de certification privée AWS crée et associe la politique d'accès requise à celui-ci. Si vous décidez d'utiliser un bucket existant, vous devez lui associer une politique d'accès avant de commencer à le générerCRLs. Utilisez l'un des modèles de politique décrits dansPolitiques d'accès pour CRLs Amazon S3 . Pour plus d'informations sur l'attachement d'une politique, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3.
Note
Lorsque vous utilisez la Autorité de certification privée AWS console, toute tentative de création d'une autorité de certification échoue si les deux conditions suivantes s'appliquent :
-
Vous appliquez les paramètres de blocage de l'accès public sur votre compartiment ou compte Amazon S3.
-
Vous avez demandé Autorité de certification privée AWS de créer automatiquement un compartiment Amazon S3.
Dans ce cas, la console tente, par défaut, de créer un compartiment accessible au public, et Amazon S3 rejette cette action. Vérifiez les paramètres de votre Amazon S3 dans ce cas. Pour plus d'informations, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.
-
-
Développez Avancé pour obtenir des options de configuration supplémentaires.
-
Ajoutez un CRLnom personnalisé pour créer un alias pour votre compartiment Amazon S3. Ce nom est contenu dans les certificats émis par l'autorité de certification dans l'extension « Points de CRL distribution » définie par RFC 5280.
-
Entrez le nombre de jours pendant lesquels votre CRL testament restera valide. La valeur par défaut est 7 jours. En ligneCRLs, une période de validité de 2 à 7 jours est courante. Autorité de certification privée AWS essaie de régénérer le CRL au milieu de la période spécifiée.
-
-
Choisissez Enregistrer les modifications lorsque vous avez terminé.
-
Sur la page de révocation du certificat, choisissez Activer OCSP.
-
(Facultatif) Dans le champ OCSPPoint de terminaison personnalisé, indiquez un nom de domaine complet (FQDN) pour votre OCSP point de terminaison.
Lorsque vous saisissez un FQDN dans ce champ, Autorité de certification privée AWS insère l'extension FQDN Into the Authority Information Access de chaque certificat émis à la place de l'extension par défaut URL pour le AWS OCSP répondeur. Lorsqu'un point de terminaison reçoit un certificat contenant la personnalisationFQDN, il demande une OCSP réponse à cette adresse. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :
-
Utilisez un serveur proxy pour transférer le trafic qui arrive à votre adresse personnalisée FQDN vers le AWS OCSP répondeur.
-
Ajoutez un CNAME enregistrement correspondant à votre DNS base de données.
Astuce
Pour plus d'informations sur la mise en œuvre d'une OCSP solution complète à l'aide d'une solution personnaliséeCNAME, consultezPersonnalisez OCSP URL pour AWS Private CA.
Par exemple, voici un CNAME enregistrement à personnaliser OCSP tel qu'il apparaîtrait dans Amazon Route 53.
Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers alternative.exemple.com
CNAME Simplicité - proxy.exemple.com Note
La valeur de ne CNAME doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».
-
-
Choisissez Enregistrer les modifications lorsque vous avez terminé.
Mettre à jour une autorité de certification (CLI)
Les procédures suivantes montrent comment mettre à jour le statut et la configuration de révocation d'une autorité de certification existante à l'aide du AWS CLI.
Note
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
Pour mettre à jour le statut de votre autorité de certification privée (AWS CLI)
Utilisez la update-certificate-authoritycommande.
Cela est utile lorsque vous avez une autorité de certification existante DISABLED dont vous souhaitez définir le statutACTIVE. Pour commencer, confirmez le statut initial de l'autorité de certification à l'aide de la commande suivante.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Il en résulte un résultat similaire à ce qui suit.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}La commande suivante définit le statut de l'autorité de certification privée surACTIVE. Cela n'est possible que si un certificat valide est installé sur l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Vérifiez le nouveau statut de l'autorité de certification.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Le statut apparaît désormais sous la formeACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Dans certains cas, il se peut que vous disposiez d'une autorité de certification active sans mécanisme de révocation configuré. Si vous souhaitez commencer à utiliser une liste de révocation de certificats (CRL), procédez comme suit.
Pour ajouter un CRL à une autorité de certification existante (AWS CLI)
-
Utilisez la commande suivante pour vérifier l'état actuel de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLa sortie confirme que l'autorité de certification a un statut
ACTIVEmais qu'elle n'est pas configurée pour utiliser unCRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos paramètres CRL de configuration.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }Note
Lorsque vous mettez à jour une autorité de certification d'appareil Matter pour l'activerCRLs, vous devez la configurer pour omettre l'CDPextension des certificats émis afin de vous conformer à la norme Matter actuelle. Pour ce faire, définissez vos paramètres CRL de configuration comme illustré ci-dessous :
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilisez la update-certificate-authoritycommande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour utiliser unCRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }Dans certains cas, vous souhaiterez peut-être ajouter un support de OCSP révocation au lieu d'activer un CRL comme dans la procédure précédente. Dans ce cas, suivez les étapes ci-dessous.
Pour ajouter un OCSP support à une autorité de certification existante (AWS CLI)
-
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos OCSP paramètres.{ "OcspConfiguration":{ "Enabled":true } } -
Utilisez la update-certificate-authoritycommande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour être utiliséOCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Note
Vous pouvez également configurer les deux CRL et le OCSP support sur une autorité de certification.
