Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Daftar sertifikat pribadi
Untuk membuat daftar sertifikat privat Anda, buat laporan audit, ambil dari bucket S3-nya, dan parser konten laporan sesuai kebutuhan. Untuk informasi tentang membuat laporan AWS Private CA audit, lihatGunakan laporan audit dengan CA pribadi Anda. Untuk informasi tentang mengambil objek dari bucket S3, lihat Mengunduh objek di Panduan Pengguna Amazon Simple Storage Service.
Contoh berikut mengilustrasikan pendekatan untuk membuat laporan audit dan melakukan parser untuk data yang berguna. Hasil diformatJSON, dan data difilter menggunakan jq
1. Buat laporan audit.
Perintah berikut menghasilkan laporan audit untuk CA tertentu.
$aws acm-pca create-certificate-authority-audit-report \ --regionregion\ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --s3-bucket-namebucket_name\ --audit-report-response-format JSON
Ketika berhasil, perintah mengembalikan ID dan lokasi laporan audit baru.
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}2. Ambil dan format laporan audit.
Perintah ini mengambil laporan audit, menampilkan isinya dalam output standar, serta menyaring hasil untuk menampilkan hanya sertifikat yang diterbitkan pada atau setelah 01-12-2020.
$aws s3api get-object \ --regionregion\ --bucketbucket_name\ --key audit-report/CA_ID/audit_report_ID.json\ /dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
Item yang dikembalikan menyerupai berikut ini:
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}3. Simpan laporan audit secara lokal.
Jika Anda ingin melakukan beberapa kueri, akan lebih mudah untuk menyimpan laporan audit ke file lokal.
$aws s3api get-object \ --regionregion\ --bucketbucket_name\ --key audit-report/CA_ID/audit_report_ID.json>my_local_audit_report.json
Filter yang sama seperti sebelumnya menghasilkan output yang sama:
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}4. Kueri di dalam rentang tanggal
Anda dapat kueri untuk sertifikat yang diterbitkan dalam rentang tanggal sebagai berikut:
$cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
Konten yang difilter ditampilkan dalam output standar:
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}5. Cari sertifikat mengikuti templat yang ditentukan.
Perintah berikut memfilter konten laporan menggunakan templatARN:
$cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
Output menampilkan catatan sertifikat yang cocok:
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}6. Filter untuk sertifikat yang dicabut
Untuk menemukan semua sertifikat yang dicabut, gunakan perintah berikut:
$cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
Sertifikat yang dicabut ditampilkan sebagai berikut:
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}7. Filter menggunakan ekspresi reguler.
Perintah berikut mencari nama subjek yang berisi string "leaf":
$cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
Catatan sertifikat yang cocok dikembalikan sebagai berikut:
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}