Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mettre à jour une autorité de certification privée dans AWS Autorité de certification privée
Vous pouvez mettre à jour le statut d'une autorité de certification privée ou modifier sa [configuration de révocation](revocation-setup.md) après l'avoir créée. Cette rubrique fournit des détails sur le statut de l'autorité de certification et le cycle de vie de l'autorité de certification, ainsi que des exemples de mises à jour de la console et de la CLI pour CAs.
## Mettre à jour une autorité de certification (console)
Les procédures suivantes montrent comment mettre à jour les configurations CA existantes à l'aide du AWS Management Console.
### Mettre à jour le statut de l'autorité de certification (console)
Dans cet exemple, le statut d'une autorité de certification activée devient désactivé.
**Pour mettre à jour le statut d'une autorité de certification**
1. Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home)
1. Sur la page **Autorités de certification privées**, choisissez une autorité de certification privée actuellement active dans la liste.
1. Dans le menu **Actions**, choisissez **Désactiver** pour désactiver l'autorité de certification privée.
### Mettre à jour la configuration de révocation d'une autorité de certification (console)
Vous pouvez mettre à jour la [configuration de révocation](revocation-setup.md) de votre autorité de certification privée, par exemple en ajoutant ou en supprimant le support OCSP ou CRL, ou en modifiant leurs paramètres.
**Note**
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
Pour OCSP, vous modifiez les paramètres suivants :
+ Activez ou désactivez OCSP.
+ Activez ou désactivez un nom de domaine complet OCSP personnalisé (FQDN).
+ Modifiez le FQDN.
Pour une CRL, vous pouvez modifier l'un des paramètres suivants :
+ Le type de CRL (complet ou partitionné)
+ Si l'autorité de certification privée génère ou non une liste de révocation de certificats
+ Le nombre de jours avant qu'une liste de révocation de certificats expire. Notez que la tentative de régénération de la CRL Autorité de certification privée AWS commence à la moitié du nombre de jours que vous spécifiez.
+ Le nom du compartiment Amazon S3 dans lequel votre CRL est enregistrée.
+ Un alias pour masquer le nom de votre compartiment Amazon S3 à la vue du public.
**Important**
La modification de l'un des paramètres précédents peut avoir des effets négatifs. Les exemples incluent la désactivation de la génération de CRL, la modification de la période de validité ou la modification du compartiment S3 une fois que vous avez placé votre autorité de certification privée en production. De telles modifications peuvent endommager les certificats existants qui dépendent de la CRL et de la configuration actuelle de la CRL. Il est possible de modifier l'alias en toute sécurité, à condition que l'ancien alias reste lié au compartiment correct.
**Pour mettre à jour les paramètres de révocation**
1. Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home).
1. Sur la page **Autorités de certification privées**, choisissez une autorité de certification privée dans la liste. Cela ouvre le panneau de détails de l'autorité de certification.
1. Choisissez l'onglet **Configuration de la révocation**, puis sélectionnez **Modifier**.
1. Sous **Options de révocation du certificat**, deux options sont affichées :
+ **Activer la distribution CRL**
+ **Activez OCSP**
Vous pouvez configurer l'un ou l'autre de ces mécanismes de révocation, ou les deux, pour votre autorité de certification. Bien que facultative, la gestion des révocations est recommandée en tant que [bonne pratique](ca-best-practices.md). Avant de terminer cette étape, consultez [Planifiez la méthode de révocation de votre AWS CA privée certificat](revocation-setup.md) les informations sur les avantages de chaque méthode, la configuration préliminaire qui peut être requise et les fonctionnalités de révocation supplémentaires.
#### Pour configurer une CRL
1. Sélectionnez **Activer la distribution CRL**.
1. Pour créer un compartiment Amazon S3 pour vos entrées CRL, sélectionnez **Créer un nouveau compartiment S3**. Indiquez un nom de compartiment unique. (Vous n'avez pas besoin d'inclure le chemin d'accès au compartiment.) Sinon, laissez cette option désactivée et choisissez un bucket existant dans la liste des **noms de bucket S3**.
Si vous créez un nouveau bucket, il Autorité de certification privée AWS crée et associe la [politique d'accès requise](crl-planning.md#s3-policies) à celui-ci. Si vous décidez d'utiliser un bucket existant, vous devez lui associer une politique d'accès avant de pouvoir commencer à le générer CRLs. Utilisez l'un des modèles de politique décrits dans[Politiques d'accès pour CRLs Amazon S3](crl-planning.md#s3-policies). Pour plus d'informations sur l'attachement d'une politique, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
**Note**
Lorsque vous utilisez la Autorité de certification privée AWS console, toute tentative de création d'une autorité de certification échoue si les deux conditions suivantes s'appliquent :
Vous appliquez les paramètres de blocage de l'accès public sur votre compartiment ou compte Amazon S3.
Vous avez demandé Autorité de certification privée AWS de créer automatiquement un compartiment Amazon S3.
Dans ce cas, la console tente, par défaut, de créer un compartiment accessible au public, et Amazon S3 rejette cette action. Vérifiez les paramètres de votre Amazon S3 dans ce cas. Pour plus d'informations, consultez [Blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).
1. Développez **Avancé** pour obtenir des options de configuration supplémentaires.
+ Choisissez **Activer le partitionnement** pour activer le partitionnement de. CRLs [Si vous n'activez pas le partitionnement, votre autorité de certification est soumise au nombre maximum de certificats révoqués, indiqué sur les AWS Autorité de certification privée quotas.](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) Pour plus d'informations sur le partitionnement CRLs, consultez la section Types de [CRL.](crl-planning.md#crl-type)
+ Ajoutez un **nom CRL personnalisé** pour créer un alias pour votre compartiment Amazon S3. Ce nom est contenu dans les certificats émis par l'autorité de certification dans l'extension « CRL Distribution Points » définie par la RFC 5280. Pour utiliser CRLs over IPv6, configurez ce paramètre sur le point de terminaison S3 dualstack de votre bucket, comme décrit dans [Using CRLs ](crl-planning.md#crl-ipv6) over. IPv6
+ Ajoutez un **chemin personnalisé** pour créer un alias DNS pour le chemin du fichier dans votre compartiment Amazon S3.
+ Entrez la **durée de validité en jours pendant** laquelle votre CRL restera valide. La valeur par défaut est 7 jours. En ligne CRLs, une période de validité de 2 à 7 jours est courante. Autorité de certification privée AWS essaie de régénérer la CRL au milieu de la période spécifiée.
1. Choisissez **Enregistrer les modifications** lorsque vous avez terminé.
#### Pour configurer OCSP
1. Sur la page de **révocation du certificat**, choisissez **Activer l'OCSP**.
1. (Facultatif) Dans le champ **Point de terminaison OCSP personnalisé**, fournissez un nom de domaine complet (FQDN) pour votre point de terminaison OCSP. Pour utiliser OCSP over IPv6, définissez ce champ sur un point de terminaison à double pile, comme décrit dans [Utilisation](ocsp-customize.md#ocsp-ipv6) d'OCSP over. IPv6
Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension *Authority Information Access* de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :
+ Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.
+ Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.
**Astuce**
Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. [Personnaliser l'URL OCSP pour AWS CA privée](ocsp-customize.md)
Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/PCAUpdateCA.html)
**Note**
La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».
1. Choisissez **Enregistrer les modifications** lorsque vous avez terminé.
## Mettre à jour une autorité de certification (CLI)
Les procédures suivantes montrent comment mettre à jour le statut et la [configuration de révocation](revocation-setup.md) d'une autorité de certification existante à l'aide du AWS CLI.
**Note**
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
**Pour mettre à jour le statut de votre autorité de certification privée (AWS CLI)**
Utilisez la commande [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html).
Cela est utile lorsque vous avez une autorité de certification existante `DISABLED` dont vous souhaitez définir le statut`ACTIVE`. Pour commencer, confirmez le statut initial de l'autorité de certification à l'aide de la commande suivante.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Il en résulte un résultat similaire à ce qui suit.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
La commande suivante définit le statut de l'autorité de certification privée sur`ACTIVE`. Cela n'est possible que si un certificat valide est installé sur l'autorité de certification.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
Vérifiez le nouveau statut de l'autorité de certification.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Le statut apparaît désormais sous la forme`ACTIVE`.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Dans certains cas, il se peut que vous disposiez d'une autorité de certification active sans mécanisme de révocation configuré. Si vous souhaitez commencer à utiliser une liste de révocation de certificats (CRL), suivez la procédure ci-dessous.
**Pour ajouter une CRL à une autorité de certification existante ()AWS CLI**
1. Utilisez la commande suivante pour vérifier l'état actuel de l'autorité de certification.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
La sortie confirme que l'autorité de certification a un statut `ACTIVE` mais qu'elle n'est pas configurée pour utiliser une CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. Créez et enregistrez un fichier avec un nom tel que `revoke_config.txt` pour définir vos paramètres de configuration CRL.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**Note**
Lorsque vous mettez à jour une autorité de certification d'appareil Matter pour l'activer CRLs, vous devez la configurer pour omettre l'extension CDP des certificats émis afin de vous conformer à la norme Matter actuelle. Pour ce faire, définissez vos paramètres de configuration CRL comme illustré ci-dessous :
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. Utilisez la [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)commande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Vérifiez à nouveau l'état de l'autorité de certification.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
Le résultat confirme que CA est désormais configuré pour utiliser une CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Dans certains cas, vous souhaiterez peut-être ajouter le support de révocation OCSP au lieu d'activer une CRL comme dans la procédure précédente. Dans ce cas, suivez les étapes ci-dessous.
**Pour ajouter le support OCSP à une autorité de certification existante ()AWS CLI**
1. Créez et enregistrez un fichier avec un nom tel que `revoke_config.txt` pour définir vos paramètres OCSP.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. Utilisez la [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)commande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Vérifiez à nouveau l'état de l'autorité de certification.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
Le résultat confirme que CA est désormais configuré pour utiliser OCSP.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**Note**
Vous pouvez également configurer le support CRL et OCSP sur une autorité de certification.