Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perbarui CA pribadi di AWS Private Certificate Authority
Anda dapat memperbarui status CA pribadi atau mengubah [konfigurasi pencabutan](revocation-setup.md) setelah membuatnya. Topik ini memberikan detail tentang status CA dan siklus hidup CA, bersama dengan contoh pembaruan konsol dan CLI. CAs
## Perbarui CA (konsol)
Prosedur berikut menunjukkan cara memperbarui konfigurasi CA yang ada menggunakan. Konsol Manajemen AWS
### Perbarui status CA (konsol)
Dalam contoh ini, status CA yang diaktifkan diubah menjadi dinonaktifkan.
**Untuk memperbarui status CA**
1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di [https://console.aws.amazon.com/acm-pca/rumah](https://console.aws.amazon.com/acm-pca/home)
1. Pada halaman **Private Certificate Authority**, pilih CA pribadi yang saat ini aktif dari daftar.
1. Pada menu **Tindakan**, pilih **Nonaktifkan** untuk menonaktifkan CA pribadi.
### Memperbarui konfigurasi pencabutan CA (konsol)
Anda dapat memperbarui [konfigurasi pencabutan](revocation-setup.md) untuk CA pribadi Anda, misalnya, dengan menambahkan atau menghapus dukungan OCSP atau CRL, atau dengan memodifikasi pengaturannya.
**catatan**
Perubahan pada konfigurasi pencabutan CA tidak memengaruhi sertifikat yang sudah diterbitkan. Agar pencabutan terkelola berfungsi, sertifikat lama harus diterbitkan kembali.
Untuk OCSP, Anda mengubah pengaturan berikut:
+ Aktifkan atau nonaktifkan OCSP.
+ Mengaktifkan atau menonaktifkan nama domain OCSP yang sepenuhnya memenuhi syarat (FQDN) kustom.
+ Ubah FQDN.
Untuk CRL, Anda dapat mengubah salah satu pengaturan berikut:
+ Jenis CRL (lengkap atau dipartisi)
+ Apakah CA privat menghasilkan daftar pencabutan sertifikat (CRL)
+ Jumlah hari sebelum CRL kedaluwarsa. Perhatikan bahwa AWS Private CA mulai mencoba meregenerasi CRL pada ½ jumlah hari yang Anda tentukan.
+ Nama bucket Amazon S3 tempat CRL Anda disimpan.
+ Alias untuk menyembunyikan nama bucket Amazon S3 Anda dari tampilan publik.
**penting**
Mengubah salah satu parameter sebelumnya dapat memiliki efek negatif. Contohnya termasuk menonaktifkan pembuatan CRL, mengubah masa berlaku, atau mengubah bucket S3 setelah Anda menempatkan CA pribadi Anda dalam produksi. Perubahan tersebut dapat merusak sertifikat yang ada yang bergantung pada CRL dan konfigurasi CRL saat ini. Mengubah alias dapat dilakukan dengan aman, selama alias lama tetap terhubung ke bucket yang benar.
**Untuk memperbarui pengaturan pencabutan**
1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di [https://console.aws.amazon.com/acm-pca/rumah](https://console.aws.amazon.com/acm-pca/home).
1. Pada halaman **Private Certificate Authority**, pilih CA pribadi dari daftar. Ini membuka panel detail untuk CA.
1. **Pilih tab **konfigurasi Pencabutan**, lalu pilih Edit.**
1. Di bawah **opsi pencabutan Sertifikat**, dua opsi ditampilkan:
+ **Aktifkan distribusi CRL**
+ **Nyalakan OCSP**
Anda dapat mengonfigurasi salah satu, keduanya, atau kedua mekanisme pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik [terbaik](ca-best-practices.md). Sebelum menyelesaikan langkah ini, lihat [Rencanakan metode pencabutan AWS Private CA sertifikat Anda](revocation-setup.md) informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.
#### Untuk mengkonfigurasi CRL
1. Pilih **Aktifkan distribusi CRL**.
1. Untuk membuat bucket Amazon S3 untuk entri CRL Anda, pilih **Buat bucket S3 baru**. Berikan nama ember yang unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak, biarkan opsi ini tidak dipilih dan pilih bucket yang ada dari daftar **nama bucket S3**.
Jika Anda membuat bucket baru, AWS Private CA buat dan lampirkan [kebijakan akses yang diperlukan](crl-planning.md#s3-policies) padanya. Jika Anda memutuskan untuk menggunakan bucket yang sudah ada, Anda harus melampirkan kebijakan akses itu sebelum Anda dapat mulai membuat CRLs. Gunakan salah satu pola kebijakan yang dijelaskan dalam [Kebijakan akses untuk CRLs di Amazon S3](crl-planning.md#s3-policies). Untuk informasi tentang melampirkan kebijakan, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
**catatan**
Saat Anda menggunakan AWS Private CA konsol, upaya untuk membuat CA gagal jika kedua kondisi berikut berlaku:
Anda menerapkan pengaturan Blokir Akses Publik di bucket atau akun Amazon S3 Anda.
Anda diminta AWS Private CA untuk membuat bucket Amazon S3 secara otomatis.
Dalam situasi ini, konsol mencoba, secara default, untuk membuat bucket yang dapat diakses publik, dan Amazon S3 menolak tindakan ini. Periksa pengaturan Amazon S3 Anda jika hal ini terjadi. Untuk informasi lebih lanjut, lihat [Memblokir akses publik ke penyimpanan Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).
1. Perluas **Lanjutan** untuk opsi konfigurasi tambahan.
+ Pilih **Aktifkan partisi** untuk mengaktifkan partisi. CRLs [Jika Anda tidak mengaktifkan partisi, CA Anda tunduk pada jumlah maksimum sertifikat yang dicabut, yang ditunjukkan pada kuota.AWS Private Certificate Authority](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) Untuk informasi selengkapnya tentang dipartisi CRLs, lihat tipe [CRL](crl-planning.md#crl-type).
+ Tambahkan **Nama CRL Kustom** untuk membuat alias untuk bucket Amazon S3. Nama ini ada dalam sertifikat yang diterbitkan oleh CA di ekstensi “CRL Distribution Points” yang ditentukan oleh RFC 5280. [Untuk menggunakan CRLs over IPv6, setel ini ke titik akhir S3 dualstack bucket Anda seperti yang dijelaskan dalam Using over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Tambahkan **jalur Kustom** untuk membuat alias DNS untuk jalur file di bucket Amazon S3 Anda.
+ Ketik **Validitas dalam beberapa hari** CRL Anda akan tetap valid. Nilai default-nya adalah 7 hari. Untuk online CRLs, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba meregenerasi CRL pada titik tengah periode yang ditentukan.
1. Pilih **Simpan perubahan** setelah selesai.
#### Untuk mengkonfigurasi OCSP
1. Pada halaman **Pencabutan sertifikat**, pilih **Aktifkan** OCSP.
1. (Opsional) Di bidang **titik akhir OCSP Kustom**, berikan nama domain yang memenuhi syarat (FQDN) untuk titik akhir OCSP Anda. [Untuk menggunakan OCSP di atas IPv6, atur bidang ini ke titik akhir dualstack seperti yang dijelaskan dalam Menggunakan OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Saat Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke ekstensi *Akses Informasi Otoritas* dari setiap sertifikat yang dikeluarkan sebagai pengganti URL default untuk responden OCSP. AWS Ketika titik akhir menerima sertifikat yang berisi FQDN kustom, ia menanyakan alamat tersebut untuk respons OCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:
+ Gunakan server proxy untuk meneruskan lalu lintas yang tiba di FQDN kustom Anda ke responder OCSP. AWS
+ Tambahkan catatan CNAME yang sesuai ke database DNS Anda.
**Tip**
Untuk informasi selengkapnya tentang penerapan solusi OCSP lengkap menggunakan CNAME kustom, lihat. [Kustomisasi URL OCSP untuk AWS Private CA](ocsp-customize.md)
Misalnya, berikut adalah catatan CNAME untuk OCSP yang disesuaikan seperti yang akan muncul di Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/PCAUpdateCA.html)
**catatan**
Nilai CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.
1. Pilih **Simpan perubahan** setelah selesai.
## Memperbarui CA (CLI)
Prosedur berikut menunjukkan cara memperbarui status dan [konfigurasi pencabutan](revocation-setup.md) CA yang ada menggunakan. AWS CLI
**catatan**
Perubahan pada konfigurasi pencabutan CA tidak memengaruhi sertifikat yang sudah diterbitkan. Agar pencabutan terkelola berfungsi, sertifikat lama harus diterbitkan kembali.
**Untuk memperbarui status CA (AWS CLI) pribadi Anda**
Gunakan perintah [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html).
Ini berguna ketika Anda memiliki CA yang sudah ada dengan status `DISABLED` yang ingin Anda atur`ACTIVE`. Untuk memulai, konfirmasikan status awal CA dengan perintah berikut.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Ini menghasilkan output yang mirip dengan yang berikut ini.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Perintah berikut menetapkan status CA pribadi ke`ACTIVE`. Ini hanya mungkin jika sertifikat yang valid diinstal pada CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
Periksa status baru CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Status sekarang muncul sebagai`ACTIVE`.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Dalam beberapa kasus, Anda mungkin memiliki CA aktif tanpa mekanisme pencabutan yang dikonfigurasi. Jika Anda ingin mulai menggunakan daftar pencabutan sertifikat (CRL), gunakan prosedur berikut.
**Untuk menambahkan CRL ke CA ()AWS CLI yang ada**
1. Gunakan perintah berikut untuk memeriksa status CA saat ini.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
Output mengkonfirmasi bahwa CA memiliki status `ACTIVE` tetapi tidak dikonfigurasi untuk menggunakan CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. Buat dan simpan file dengan nama seperti `revoke_config.txt` untuk menentukan parameter konfigurasi CRL Anda.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**catatan**
Saat memperbarui CA pengesahan perangkat Matter untuk mengaktifkan CRLs, Anda harus mengonfigurasinya untuk menghilangkan ekstensi CDP dari sertifikat yang dikeluarkan untuk membantu menyesuaikan dengan standar Matter saat ini. Untuk melakukan ini, tentukan parameter konfigurasi CRL Anda seperti yang diilustrasikan di bawah ini:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. Gunakan [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)perintah dan file konfigurasi pencabutan untuk memperbarui CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Sekali lagi periksa status CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
Output mengkonfirmasi bahwa CA sekarang dikonfigurasi untuk menggunakan CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Dalam beberapa kasus, Anda mungkin ingin menambahkan dukungan pencabutan OCSP alih-alih mengaktifkan CRL seperti pada prosedur sebelumnya. Dalam hal ini, gunakan langkah-langkah berikut.
**Untuk menambahkan dukungan OCSP ke CA ()AWS CLI yang ada**
1. Buat dan simpan file dengan nama seperti `revoke_config.txt` untuk menentukan parameter OCSP Anda.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. Gunakan [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)perintah dan file konfigurasi pencabutan untuk memperbarui CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Sekali lagi periksa status CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
Output menegaskan bahwa CA sekarang dikonfigurasi untuk menggunakan OCSP.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**catatan**
Anda juga dapat mengonfigurasi dukungan CRL dan OCSP pada CA.