Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Aggiorna una CA privata in AWS Autorità di certificazione privata
È possibile aggiornare lo stato di una CA privata o modificarne la [configurazione di revoca](revocation-setup.md) dopo averla creata. Questo argomento fornisce dettagli sullo stato della CA e sul ciclo di vita della CA, oltre a esempi di aggiornamenti della console e della CLI. CAs
## Aggiornare una CA (console)
Le seguenti procedure mostrano come aggiornare le configurazioni CA esistenti utilizzando. Console di gestione AWS
### Aggiornare lo stato della CA (console)
In questo esempio, lo stato di una CA abilitata viene modificato in disabilitato.
**Per aggiornare lo stato di una CA**
1. Accedi al tuo AWS account e apri la CA privata AWS console a [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home)
1. Nella pagina **Autorità di certificazione private**, scegli una CA privata attualmente attiva dall'elenco.
1. Nel menu **Azioni**, scegli **Disabilita** per disabilitare la CA privata.
### Aggiornamento della configurazione di revoca di una CA (console)
È possibile aggiornare la [configurazione di revoca](revocation-setup.md) per la CA privata, ad esempio aggiungendo o rimuovendo il supporto OCSP o CRL o modificandone le impostazioni.
**Nota**
Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.
Per OCSP, è possibile modificare le seguenti impostazioni:
+ Abilita o disabilita OCSP.
+ Abilita o disabilita un nome di dominio completo (FQDN) OCSP personalizzato.
+ Cambia il nome di dominio completo.
Per un CRL, puoi modificare una delle seguenti impostazioni:
+ Il tipo di CRL (completo o partizionato)
+ Se la CA privata genera un elenco di revoche di certificati (CRL)
+ Il numero di giorni prima della scadenza di un CRL. Nota che CA privata AWS inizia il tentativo di rigenerare il CRL alla metà del numero di giorni specificato.
+ Il nome del bucket Amazon S3 in cui è salvato il tuo CRL.
+ Un alias per nascondere il nome del tuo bucket Amazon S3 dalla visualizzazione pubblica.
**Importante**
La modifica di uno qualsiasi dei parametri precedenti può avere effetti negativi. Gli esempi includono la disabilitazione della generazione di CRL, la modifica del periodo di validità o la modifica del bucket S3 dopo aver messo in produzione la CA privata. Tali modifiche possono interrompere i certificati esistenti che dipendono dal CRL e dalla configurazione CRL corrente. La modifica dell'alias può essere effettuata in modo sicuro finché l'alias precedente rimane collegato al bucket corretto.
**Per aggiornare le impostazioni di revoca**
1. Accedi al tuo AWS account e apri la CA privata AWS console a [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home).
1. Nella pagina **Autorità di certificazione private**, scegli una CA privata dall'elenco. Si apre il pannello dei dettagli per la CA.
1. Scegli la scheda **Configurazione della revoca**, quindi scegli **Modifica**.
1. In Opzioni **di revoca del certificato**, vengono visualizzate due opzioni:
+ **Attiva la distribuzione CRL**
+ **Attiva OCSP**
È possibile configurare uno, nessuno dei due o entrambi questi meccanismi di revoca per la CA. Sebbene facoltativa, la revoca gestita è consigliata come [best](ca-best-practices.md) practice. Prima di completare questo passaggio, consulta [AWS Private CA Pianifica il tuo metodo di revoca dei certificati](revocation-setup.md) le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.
#### Per configurare un CRL
1. Seleziona **Attiva la distribuzione CRL.**
1. Per creare un bucket Amazon S3 per le voci del CRL, seleziona **Crea un** nuovo bucket S3. Fornisci un nome univoco per il bucket. (Non è necessario includere il percorso del bucket.) Altrimenti, lascia questa opzione deselezionata e scegli un bucket esistente dall'elenco dei nomi dei bucket **S3**.
[Se crei un nuovo bucket, CA privata AWS crea e allega la politica di accesso richiesta.](crl-planning.md#s3-policies) Se decidi di utilizzare un bucket esistente, devi allegare una politica di accesso prima di poter iniziare la generazione. CRLs Utilizza uno dei modelli di policy descritti in[Politiche di accesso per CRLs Amazon S3](crl-planning.md#s3-policies). Per informazioni su come allegare una policy, consulta [Aggiungere una bucket policy utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
**Nota**
Quando usi la CA privata AWS console, un tentativo di creare una CA fallisce se si verificano entrambe le seguenti condizioni:
Stai applicando le impostazioni Block Public Access sul tuo bucket o account Amazon S3.
Hai chiesto CA privata AWS di creare automaticamente un bucket Amazon S3.
In questa situazione, la console tenta, per impostazione predefinita, di creare un bucket accessibile pubblicamente e Amazon S3 rifiuta questa azione. Controlla le impostazioni di Amazon S3 se ciò si verifica. Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico allo storage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).
1. Espandere **Avanzate** per ulteriori opzioni di configurazione.
+ Scegli **Abilita il partizionamento per abilitare il partizionamento** di. CRLs [Se non abiliti il partizionamento, la tua CA è soggetta al numero massimo di certificati revocati, indicato nelle quote.AWS Autorità di certificazione privata](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) [Per ulteriori informazioni sul CRLs partizionamento, vedere Tipi di CRL.](crl-planning.md#crl-type)
+ Aggiungi un **nome CRL personalizzato** per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRL Distribution Points» definita da RFC 5280. [Per riutilizzarlo IPv6, impostalo CRLs sull'endpoint S3 dualstack del tuo bucket come descritto in Using over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Aggiungi un **percorso personalizzato** per creare un alias DNS per il percorso del file nel tuo bucket Amazon S3.
+ Digita la **validità in giorni** il tuo CRL rimarrà valido. Il valore predefinito è 7 giorni. Per gli utenti online CRLs, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.
1. Al termine, scegli **Salva le modifiche**.
#### Per configurare OCSP
1. Nella pagina di **revoca del certificato**, scegli **Attiva OCSP**.
1. (Facoltativo) Nel campo **Endpoint OCSP personalizzato**, fornisci un nome di dominio completo (FQDN) per l'endpoint OCSP. [Per utilizzare OCSP over IPv6, imposta questo campo su un endpoint dualstack come descritto in Utilizzo di OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Quando fornisci un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione *Authority Information Access di ciascun certificato emesso al posto* dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:
+ Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.
+ Aggiungi un record CNAME corrispondente al tuo database DNS.
**Suggerimento**
Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. [Personalizza l'URL OCSP per AWS Private CA](ocsp-customize.md)
Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/PCAUpdateCA.html)
**Nota**
Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».
1. Al termine, scegli **Salva le modifiche**.
## Aggiornamento di una CA (CLI)
Le procedure seguenti mostrano come aggiornare la [configurazione dello stato e della revoca](revocation-setup.md) di una CA esistente utilizzando. AWS CLI
**Nota**
Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.
**Per aggiornare lo stato della tua CA privata ()AWS CLI**
Utilizza il comando [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html).
Ciò è utile quando si dispone di una CA esistente con uno stato su `DISABLED` cui si desidera impostare`ACTIVE`. Per iniziare, confermate lo stato iniziale della CA con il seguente comando.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Il risultato è un output simile al seguente.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Il comando seguente imposta lo stato della CA privata su`ACTIVE`. Ciò è possibile solo se sulla CA è installato un certificato valido.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
Controlla il nuovo stato della CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Lo stato ora appare come`ACTIVE`.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
In alcuni casi, è possibile che sia presente una CA attiva senza alcun meccanismo di revoca configurato. Se si desidera iniziare a utilizzare un elenco di revoca dei certificati (CRL), utilizzare la procedura seguente.
**Per aggiungere un CRL a una CA esistente ()AWS CLI**
1. Utilizzate il seguente comando per controllare lo stato corrente della CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
L'output conferma che la CA ha uno stato `ACTIVE` ma non è configurata per utilizzare un CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. Crea e salva un file con un nome tale `revoke_config.txt` da definire i parametri di configurazione CRL.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**Nota**
Quando si aggiorna una CA di attestazione del dispositivo Matter per abilitarla CRLs, è necessario configurarla in modo da omettere l'estensione CDP dai certificati emessi per contribuire alla conformità allo standard Matter corrente. A tale scopo, definisci i parametri di configurazione CRL come illustrato di seguito:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. Utilizzate il [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando e il file di configurazione della revoca per aggiornare la CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Controllate nuovamente lo stato della CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
L'output conferma che CA è ora configurata per utilizzare un CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
In alcuni casi, è possibile aggiungere il supporto per la revoca OCSP anziché abilitare un CRL come nella procedura precedente. In tal caso, utilizzare la procedura seguente.
**Per aggiungere il supporto OCSP a una CA esistente ()AWS CLI**
1. Crea e salva un file con un nome tale `revoke_config.txt` da definire i parametri OCSP.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. Utilizza il [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando e il file di configurazione della revoca per aggiornare la CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Controllate nuovamente lo stato della CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
L'output conferma che CA è ora configurata per utilizzare OCSP.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**Nota**
È inoltre possibile configurare il supporto CRL e OCSP su una CA.