Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiorna una CA privata in AWS Private Certificate Authority
È possibile aggiornare lo stato di una CA privata o modificarne la configurazione di revoca dopo averla creata. Questo argomento fornisce dettagli sullo stato della CA e sul ciclo di vita della CA, oltre a esempi di console e CLI aggiornamenti di. CAs
Aggiorna una CA (console)
Le seguenti procedure mostrano come aggiornare le configurazioni CA esistenti utilizzando. AWS Management Console
Aggiornare lo stato della CA (console)
In questo esempio, lo stato di una CA abilitata viene modificato in disabilitato.
Per aggiornare lo stato di una CA
-
Accedi al tuo AWS account e apri la CA privata AWS console a https://console.aws.amazon.com/acm-pca/casa
-
Nella pagina Autorità di certificazione private, scegli una CA privata attualmente attiva dall'elenco.
-
Nel menu Azioni, scegli Disabilita per disabilitare la CA privata.
Aggiornamento della configurazione di revoca di una CA (console)
È possibile aggiornare la configurazione di revoca per la CA privata, ad esempio aggiungendo o rimuovendo uno o più CRL supporti OCSP o modificandone le impostazioni.
Nota
Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.
InfattiOCSP, puoi modificare le seguenti impostazioni:
-
Attivare o disattivareOCSP.
-
Abilita o disabilita un nome di dominio OCSP completo personalizzato (FQDN).
-
Cambia ilFQDN.
Per aCRL, puoi modificare una delle seguenti impostazioni:
-
Se la CA privata genera un elenco di revoca dei certificati () CRL
-
Il numero di giorni prima della CRL scadenza di un. Nota che CA privata AWS inizia a provare a rigenerarlo CRL a metà del numero di giorni specificato.
-
Il nome del bucket Amazon S3 in cui è salvato il tuoCRL.
-
Un alias per nascondere il nome del tuo bucket Amazon S3 dalla visualizzazione pubblica.
Importante
La modifica di uno qualsiasi dei parametri precedenti può avere effetti negativi. Gli esempi includono la disabilitazione della CRL generazione, la modifica del periodo di validità o la modifica del bucket S3 dopo aver messo in produzione la CA privata. Tali modifiche possono compromettere i certificati esistenti che dipendono dalla configurazione CRL corrente. CRL La modifica dell'alias può essere effettuata in modo sicuro finché l'alias precedente rimane collegato al bucket corretto.
Per aggiornare le impostazioni di revoca
-
Accedi al tuo AWS account e apri la CA privata AWS console a https://console.aws.amazon.com/acm-pca/casa
. -
Nella pagina Autorità di certificazione private, scegli una CA privata dall'elenco. Si apre il pannello dei dettagli per la CA.
-
Scegli la scheda Configurazione della revoca, quindi scegli Modifica.
-
In Opzioni di revoca del certificato, vengono visualizzate due opzioni:
-
Attiva la distribuzione CRL
-
Accendere OCSP
È possibile configurare uno, nessuno dei due o entrambi questi meccanismi di revoca per la CA. Sebbene facoltativa, la revoca gestita è consigliata come best practice. Prima di completare questo passaggio, consulta AWS Private CA Pianifica il tuo metodo di revoca dei certificati le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.
-
-
Seleziona Attiva CRL distribuzione.
-
Per creare un bucket Amazon S3 per i tuoi CRL dati, seleziona Crea un nuovo bucket S3. Fornisci un nome univoco per il bucket. (Non è necessario includere il percorso del bucket.) Altrimenti, lascia questa opzione deselezionata e scegli un bucket esistente dall'elenco dei nomi dei bucket S3.
Se crei un nuovo bucket, CA privata AWS crea e allega la politica di accesso richiesta. Se decidi di utilizzare un bucket esistente, devi allegare una politica di accesso prima di poter iniziare la generazione. CRLs Utilizza uno dei modelli di policy descritti inPolitiche di accesso per CRLs Amazon S3 . Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy utilizzando la console Amazon S3.
Nota
Quando usi la CA privata AWS console, un tentativo di creare una CA fallisce se si verificano entrambe le seguenti condizioni:
-
Stai applicando le impostazioni Block Public Access sul tuo bucket o account Amazon S3.
-
Hai chiesto CA privata AWS di creare automaticamente un bucket Amazon S3.
In questa situazione, la console tenta, per impostazione predefinita, di creare un bucket accessibile pubblicamente e Amazon S3 rifiuta questa azione. Controlla le impostazioni di Amazon S3 se ciò si verifica. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3.
-
-
Espandere Avanzate per ulteriori opzioni di configurazione.
-
Aggiungi un CRLnome personalizzato per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRLDistribution Points» definita da 5280. RFC
-
Digita il numero di giorni in cui CRL rimarrà valido. Il valore predefinito è 7 giorni. Per gli utenti onlineCRLs, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.
-
-
Al termine, scegli Salva le modifiche.
-
Nella pagina di revoca del certificato, scegli Attiva OCSP.
-
(Facoltativo) Nel campo OCSPEndpoint personalizzato, fornisci un nome di dominio completo (FQDN) per il tuo OCSP endpoint.
Quando fornisci un FQDN in questo campo, lo CA privata AWS inserisce FQDN nell'estensione Authority Information Access di ogni certificato emesso al posto del valore predefinito URL per il risponditore. AWS OCSP Quando un endpoint riceve un certificato contenente il codice personalizzatoFQDN, richiede a quell'indirizzo una risposta. OCSP Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
-
Utilizzate un server proxy per inoltrare al AWS OCSP risponditore il traffico che arriva FQDN secondo le vostre esigenze.
-
Aggiungi un CNAME record corrispondente al tuo DNS database.
Suggerimento
Per ulteriori informazioni sull'implementazione di una OCSP soluzione completa utilizzando una soluzione personalizzataCNAME, vederePersonalizza OCSP URL per AWS Private CA.
Ad esempio, ecco un CNAME record personalizzato OCSP come apparirebbe in Amazon Route 53.
Nome record Tipo Policy di routing Differenziatore Valore/instradamento traffico a alternative.example.com
CNAME Semplice - proxy.example.com Nota
Il valore di non CNAME deve includere un prefisso di protocollo come «http://» o «https://».
-
-
Al termine, scegli Salva le modifiche.
Aggiornamento di una CA (CLI)
Le procedure seguenti mostrano come aggiornare la configurazione dello stato e della revoca di una CA esistente utilizzando. AWS CLI
Nota
Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.
Per aggiornare lo stato della tua CA privata ()AWS CLI
Usa il update-certificate-authoritycomando.
Ciò è utile quando si dispone di una CA esistente con lo stato su DISABLED cui si desidera impostareACTIVE. Per iniziare, conferma lo stato iniziale della CA con il seguente comando.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Il risultato è un output simile al seguente.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Il comando seguente imposta lo stato della CA privata suACTIVE. Ciò è possibile solo se sulla CA è installato un certificato valido.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Controlla il nuovo stato della CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Lo stato ora appare comeACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}In alcuni casi, è possibile che sia presente una CA attiva senza alcun meccanismo di revoca configurato. Se si desidera iniziare a utilizzare un elenco di revoca dei certificati (CRL), utilizzare la procedura seguente.
Per aggiungere un CRL a una CA esistente ()AWS CLI
-
Utilizzate il seguente comando per controllare lo stato corrente della CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonL'output conferma che la CA ha uno stato
ACTIVEma non è configurata per utilizzare unCRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Crea e salva un file con un nome tale
revoke_config.txtda definire i parametri CRL di configurazione.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }Nota
Quando si aggiorna una CA di attestazione del dispositivo Matter per abilitarlaCRLs, è necessario configurarla in modo da omettere l'CDPestensione dai certificati emessi per contribuire alla conformità allo standard Matter corrente. A tale scopo, definisci i parametri di CRL configurazione come illustrato di seguito:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilizzate il update-certificate-authoritycomando e il file di configurazione della revoca per aggiornare la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Controllate nuovamente lo stato della CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonL'output conferma che CA è ora configurata per utilizzare unCRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }In alcuni casi, potresti voler aggiungere il supporto per OCSP la revoca invece di abilitare un CRL come nella procedura precedente. In tal caso, utilizzare la procedura seguente.
Per aggiungere OCSP supporto a una CA esistente (AWS CLI)
-
Crea e salva un file con un nome tale
revoke_config.txtda definire OCSP i tuoi parametri.{ "OcspConfiguration":{ "Enabled":true } } -
Utilizza il update-certificate-authoritycomando e il file di configurazione della revoca per aggiornare la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Controllate nuovamente lo stato della CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonL'output conferma che CA è ora configurata per l'usoOCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Nota
È inoltre possibile configurare entrambi CRL e OCSP fornire assistenza su una CA.
