Atualizar uma CA privada em AWS Private Certificate Authority - AWS Private Certificate Authority
Atualizar uma CA (console)Atualizando uma CA (CLI)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar uma CA privada em AWS Private Certificate Authority

Você pode atualizar o status de uma CA privada ou alterar sua configuração de revogação depois de criá-la. Este tópico fornece detalhes sobre o status da CA e o ciclo de vida da CA, junto com exemplos de console e CLI atualizações para. CAs

Atualizar uma CA (console)

Os procedimentos a seguir mostram como atualizar configurações de CA existentes usando o AWS Management Console.

Atualizar o status de uma CA (console)

Neste exemplo, o status de uma CA habilitada é alterado para Desabilitada.

Para atualizar o status de uma CA

  1. Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa

  2. Na página Autoridades de certificação privadas, escolha na lista uma CA privada que esteja ativa.

  3. No menu Ações, escolha Desabilitar para desabilitar a CA privada.

Atualizar a configuração de revogação de uma CA (console)

Você pode atualizar a configuração de revogação da sua CA privada, por exemplo, adicionando ou removendo um ou o CRL suporte OCSP ou modificando suas configurações.

nota

As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.

ParaOCSP, você altera as seguintes configurações:

  • Ativar ou desativarOCSP.

  • Ative ou desative um nome de domínio personalizado OCSP totalmente qualificado (FQDN).

  • Mude FQDN o.

Para aCRL, você pode alterar qualquer uma das seguintes configurações:

  • Se a CA privada gera uma lista de revogação de certificados () CRL

  • O número de dias antes de um CRL expirar. Observe que CA privada da AWS começa a tentar regenerar a CRL ½ do número de dias que você especificou.

  • O nome do bucket do Amazon S3 em que você CRL está salvo.

  • Um alias para ocultar o nome do bucket do Amazon S3 da visualização pública.

Importante

Alterar qualquer um dos parâmetros anteriores pode gerar efeitos negativos. Os exemplos incluem desativar a CRL geração, alterar o período de validade ou alterar o bucket do S3 depois de colocar sua CA privada em produção. Essas alterações podem violar os certificados existentes que dependem da configuração atual CRL e da CRL configuração atual. A alteração do alias pode ser feita com segurança, desde que o antigo alias permaneça vinculado ao bucket correto.

Para atualizar as configurações de revogação

  1. Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa.

  2. Na página Autoridades de certificação privadas, escolha sua CA privada na lista. Isso abre o painel de detalhes referente à CA.

  3. Escolha a guia Configuração de revogação e escolha Editar.

  4. Em Opções de revogação de certificado, duas opções são exibidas:

    • Ativar CRL distribuição

    • Ativar OCSP

    É possível configurar uma, nenhuma ou ambas as opções de revogação para sua CA. Embora opcional, a revogação gerenciada é recomendada como melhor prática. Antes de concluir essa etapa, consulte Planeje seu método AWS Private CA de revogação de certificado para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.

  1. Selecione Ativar CRL distribuição.

  2. Para criar um bucket do Amazon S3 para suas CRL entradas, selecione Create a new S3 bucket. Dê um nome exclusivo para o bucket. (Você não precisa incluir o caminho para o bucket.) Caso contrário, deixe essa opção desmarcada e escolha um bucket existente na lista Nomes de buckets do S3.

    Se você criar um novo bucket, CA privada da AWS criará e anexará a política de acesso necessária a ele. Se você decidir usar um bucket existente, deverá anexar uma política de acesso a ele antes de começar a gerarCRLs. Use um dos padrões de política descritos em Políticas de acesso para CRLs o Amazon S3 . Para obter informações sobre como anexar uma política, consulte Adicionar uma política de bucket usando o console do Amazon S3.

    nota

    Quando você estiver usando o CA privada da AWS console, uma tentativa de criar uma CA falhará se as duas condições a seguir se aplicarem:

    • Você está aplicando configurações de Bloqueeio do acesso público ao seu bucket ou conta do Amazon S3.

    • Você solicitou CA privada da AWS a criação automática de um bucket do Amazon S3.

    Nessa situação, o console tenta por padrão criar um bucket acessível ao público, e o Amazon S3 rejeita essa ação. Verifique as configurações do Amazon S3 se isso ocorrer. Para obter mais informações, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3.

  3. Expanda Avançado para obter opções de configuração adicionais.

    • Adicione um CRLnome personalizado para criar um alias para seu bucket do Amazon S3. Esse nome está contido nos certificados emitidos pela CA na extensão “Pontos de CRL Distribuição” definida por RFC 5280.

    • Digite o número de dias em CRL que você permanecerá válido. O valor padrão é de 7 dias. Para on-lineCRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar o CRL no ponto médio do período especificado.

  4. Quando terminar, escolha Salvar alterações.

  1. Na página de revogação do certificado, escolha Ativar. OCSP

  2. (Opcional) No campo OCSPEndpoint personalizado, forneça um nome de domínio totalmente qualificado (FQDN) para seu OCSP endpoint.

    Quando você fornece um FQDN neste campo, CA privada da AWS insere o FQDN na extensão de Acesso às Informações da Autoridade de cada certificado emitido no lugar do padrão URL para o AWS OCSP respondente. Quando um endpoint recebe um certificado contendo o personalizadoFQDN, ele consulta esse endereço para obter uma OCSP resposta. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:

    • Use um servidor proxy para encaminhar o tráfego que chega ao seu destino FQDN para o AWS OCSP respondente.

    • Adicione um CNAME registro correspondente ao seu DNS banco de dados.

    dica

    Para obter mais informações sobre a implementação de uma OCSP solução completa usando uma solução personalizadaCNAME, consultePersonalize OCSP URL para AWS Private CA.

    Por exemplo, aqui está um CNAME registro personalizado, OCSP como ele apareceria no Amazon Route 53.

    Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para

    alternative.example.com

    		 CNAME Simples - proxy.example.com
    nota

    O valor do não CNAME deve incluir um prefixo de protocolo como “http://” ou “https://”.

  3. Quando terminar, escolha Salvar alterações.

Atualizando uma CA (CLI)

Os procedimentos a seguir mostram como atualizar o status e a configuração de revogação de uma CA existente usando a AWS CLI.

nota

As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.

Para atualizar o status da sua CA privada (AWS CLI)

Use o update-certificate-authoritycomando.

Isso é útil quando há uma CA existente com o status DISABLED que você deseja definir como ACTIVE. Para começar, confirme o status inicial da CA com o seguinte comando.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Isso resulta em uma saída semelhante à seguinte:

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "DISABLED",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
			},
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

O seguinte comando define o status da CA privada como ACTIVE. Isso apenas é possível quando um certificado válido está instalado na CA.

$ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --status "ACTIVE"

Inspecione o novo status da CA.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

O status agora aparece como ACTIVE.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

Em alguns casos, você pode ter uma CA ativa sem um mecanismo de revogação configurado. Se você quiser começar a usar uma lista de revogação de certificados (CRL), use o procedimento a seguir.

Para adicionar um CRL a uma CA existente (AWS CLI)

  1. Use o comando a seguir para inspecionar o status atual da CA.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    A saída confirma que a CA tem statusACTIVE, mas não está configurada para usar a. CRL

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": false
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

  2. Crie e salve um arquivo com um nome como revoke_config.txt para definir seus parâmetros CRL de configuração.

    {
   "CrlConfiguration":{
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   }
}
    nota

    Ao atualizar uma CA de atestado de dispositivo Matter para ativá-laCRLs, você deve configurá-la para omitir a CDP extensão dos certificados emitidos para ajudar a se adequar ao padrão Matter atual. Para fazer isso, defina seus parâmetros CRL de configuração conforme ilustrado abaixo: 

    {
   "CrlConfiguration":{
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
      "CrlDistributionPointExtensionConfiguration":{
         "OmitExtension": true
      }
   }
}

  3. Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA. 

    $ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --revocation-configuration file://revoke_config.txt

  4. Inspecione novamente o status da CA.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    A saída confirma que o CA agora está configurado para usar umCRL.

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "S3BucketName": "amzn-s3-demo-bucket",
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

    Em alguns casos, talvez você queira adicionar suporte à OCSP revogação em vez de ativar um, CRL como no procedimento anterior. Nesse caso, siga as seguintes etapas.

Para adicionar OCSP suporte a uma CA existente (AWS CLI)

  1. Crie e salve um arquivo com um nome revoke_config.txt para definir seus OCSP parâmetros.

    {
   "OcspConfiguration":{
      "Enabled":true
   }
}

  2. Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA. 

    $ aws acm-pca update-certificate-authority \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --revocation-configuration file://revoke_config.txt

  3. Inspecione novamente o status da CA.

    $ aws acm-pca describe-certificate-authority 
	--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
	--output json

    A saída confirma que o CA agora está configurado para usoOCSP.

    {
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-08T14:36:26.449000-08:00",
        "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T13:46:50-08:00",
        "NotAfter": "2022-03-08T14:46:50-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": false
            },
            "OcspConfiguration": {
                "Enabled": true
            }
        }
    }
}
nota

Você também pode configurar ambos CRL e OCSP oferecer suporte em uma CA.