As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode atualizar o status de uma CA privada ou alterar sua configuração de revogação depois de criá-la. Este tópico fornece detalhes sobre o status da CA e o ciclo de vida da CA, junto com exemplos de atualizações do console e da CLI para. CAs
Atualizar uma CA (console)
Os procedimentos a seguir mostram como atualizar configurações de CA existentes usando o AWS Management Console.
Atualizar o status de uma CA (console)
Neste exemplo, o status de uma CA habilitada é alterado para Desabilitada.
Para atualizar o status de uma CA
-
Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa
-
Na página Autoridades de certificação privadas, escolha na lista uma CA privada que esteja ativa.
-
No menu Ações, escolha Desabilitar para desabilitar a CA privada.
Atualizar a configuração de revogação de uma CA (console)
É possível atualizar a configuração de revogação de uma CA privada, por exemplo, adicionando ou removendo o suporte para OCSP ou CRL ou modificando suas configurações.
nota
As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.
Para OCSP, é possível alterar as seguintes configurações:
-
Habilite ou desabilite o OCSP.
-
Habilite ou desabilite um nome de domínio totalmente qualificado (FQDN) personalizado.
-
Altere o FQDN.
Para uma CRL, é possível alterar uma das seguintes configurações:
-
O tipo de CRL (completo ou particionado)
-
Se a CA privada gerar uma lista de revogação de certificados (CRL)
-
O número de dias antes de uma CRL expirar. Observe que CA privada da AWS começa a tentar regenerar a CRL na metade do número de dias que você especificar.
-
O nome do bucket do Amazon S3 no qual sua CRL é salva.
-
Um alias para ocultar o nome do bucket do Amazon S3 da visualização pública.
Importante
Alterar qualquer um dos parâmetros anteriores pode gerar efeitos negativos. Alguns exemplos incluem desabilitar a geração de CRLs, alterar o período de validade ou alterar o bucket do S3 depois de colocar a CA privada em produção. Essas alterações podem violar certificados existentes dependentes da CRL e da configuração atual dessa CRL. A alteração do alias pode ser feita com segurança, desde que o antigo alias permaneça vinculado ao bucket correto.
Para atualizar as configurações de revogação
-
Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa
. -
Na página Autoridades de certificação privadas, escolha sua CA privada na lista. Isso abre o painel de detalhes referente à CA.
-
Escolha a guia Configuração de revogação e escolha Editar.
-
Em Opções de revogação de certificado, duas opções são exibidas:
-
Ativar distribuição de CRL
-
Ativar OCSP
É possível configurar uma, nenhuma ou ambas as opções de revogação para sua CA. Embora opcional, a revogação gerenciada é recomendada como melhor prática. Antes de concluir essa etapa, consulte Planeje seu método AWS Private CA de revogação de certificado para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.
-
-
Selecione Ativar distribuição de CRL.
-
Para criar um bucket do Amazon S3 para as entradas da sua CRL, selecione Criar um novo bucket do S3. Dê um nome exclusivo para o bucket. (Você não precisa incluir o caminho para o bucket.) Caso contrário, deixe essa opção desmarcada e escolha um bucket existente na lista Nomes de buckets do S3.
Se você criar um novo bucket, CA privada da AWS cria e anexa a política de acesso necessária a ele. Se você decidir usar um bucket existente, deverá anexar uma política de acesso a ele antes de começar a gerar CRLs. Use um dos padrões de política descritos em Políticas de acesso para CRLs o Amazon S3 . Para obter informações sobre como anexar uma política, consulte Adicionar uma política de bucket usando o console do Amazon S3.
nota
Quando você estiver usando o CA privada da AWS console, uma tentativa de criar uma CA falhará se as duas condições a seguir se aplicarem:
-
Você está aplicando configurações de Bloqueeio do acesso público ao seu bucket ou conta do Amazon S3.
-
Você solicitou CA privada da AWS a criação automática de um bucket do Amazon S3.
Nessa situação, o console tenta por padrão criar um bucket acessível ao público, e o Amazon S3 rejeita essa ação. Verifique as configurações do Amazon S3 se isso ocorrer. Para obter mais informações, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3.
-
-
Expanda Avançado para obter opções de configuração adicionais.
-
Escolha Ativar particionamento para habilitar o particionamento de. CRLs Se você não habilitar o particionamento, sua CA estará sujeita ao número máximo de certificados revogados, mostrado nas cotas.AWS Private Certificate Authority Para obter mais informações sobre particionado CRLs, consulte Tipos de CRL.
-
Adicione um Nome de CRL personalizado para criar um alias para o bucket do Amazon S3. Esse nome está contido em certificados emitidos pela CA na extensão “Pontos de distribuição de CRL” definida pela RFC 5280.
-
Adicione um caminho personalizado para criar um alias de DNS para o caminho do arquivo em seu bucket do Amazon S3.
-
Digite a validade em dias em que sua CRL permanecerá válida. O valor padrão é de 7 dias. Para on-line CRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar a CRL no ponto médio do período especificado.
-
-
Quando terminar, escolha Salvar alterações.
-
Na página Revogação do certificado, escolha Ativar OCSP.
-
(Opcional) No campo Endpoint do OCSP personalizado, forneça um nome de domínio totalmente qualificado (FQDN) para o endpoint do OCSP.
Quando você fornece um FQDN nesse campo, CA privada da AWS insere o FQDN na extensão Authority Information Access de cada certificado emitido no lugar do URL padrão do respondente OCSP. AWS Quando um endpoint recebe um certificado contendo o FQDN personalizado, ele consulta esse endereço para obter uma resposta do OCSP. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
-
Use um servidor proxy para encaminhar o tráfego que chega ao seu FQDN personalizado para o respondente AWS OCSP.
-
Adicionar um registro CNAME correspondente ao seu banco de dados DNS.
dica
Para obter mais informações sobre a implementação de uma solução OCSP completa usando um CNAME personalizado, consulte Personalize o URL do OCSP para AWS Private CA.
Por exemplo, aqui está um registro CNAME para OCSP personalizado exibido no Amazon Route 53.
Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para alternative.example.com
CNAME Simples - proxy.example.com nota
O valor do CNAME não deve incluir um prefixo de protocolo como “http://” ou “https://”.
-
-
Quando terminar, escolha Salvar alterações.
Atualizar uma CA (CLI)
Os procedimentos a seguir mostram como atualizar o status e a configuração de revogação de uma CA existente usando a AWS CLI.
nota
As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.
Para atualizar o status da sua CA privada (AWS CLI)
Use o comando update-certificate-authority.
Isso é útil quando há uma CA existente com o status DISABLED que você deseja definir como ACTIVE. Para começar, confirme o status inicial da CA com o seguinte comando.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Isso resulta em uma saída semelhante à seguinte:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}O seguinte comando define o status da CA privada como ACTIVE. Isso apenas é possível quando um certificado válido está instalado na CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Inspecione o novo status da CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
O status agora aparece como ACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Em alguns casos, você pode ter uma CA ativa sem um mecanismo de revogação configurado. Se quiser começar a usar uma lista de revogação de certificados (CRL), use o procedimento a seguir.
Para adicionar uma CRL a uma CA existente (AWS CLI)
-
Use o comando a seguir para inspecionar o status atual da CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonA saída confirma que a CA tem o status
ACTIVE, mas não está configurada para usar uma CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Crie e salve um arquivo com um nome, como
revoke_config.txt, para definir seus parâmetros de configuração de CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }nota
Ao atualizar uma CA de atestado de dispositivo Matter para ativá-la CRLs, você deve configurá-la para omitir a extensão CDP dos certificados emitidos para ajudar a se adequar ao padrão Matter atual. Para fazer isso, defina seus parâmetros de configuração de CRL conforme ilustrado abaixo:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspecione novamente o status da CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonA saída confirma que a CA está configurada para usar uma CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }Em alguns casos, talvez você queira adicionar suporte à revogação do OCSP em vez de habilitar uma CRL, como no procedimento anterior. Nesse caso, siga as seguintes etapas.
Para adicionar suporte ao OCSP a uma CA existente (AWS CLI)
-
Crie e salve um arquivo com um nome, como
revoke_config.txt, para definir os parâmetros do OCSP.{ "OcspConfiguration":{ "Enabled":true } } -
Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspecione novamente o status da CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonA saída confirma que a CA está configurada para usar o OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
nota
Você também pode configurar o suporte simultâneo para CRL e OCSP em uma CA.
