As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Atualizar uma CA privada em Autoridade de Certificação Privada da AWS
Você pode atualizar o status de uma CA privada ou alterar sua [configuração de revogação](revocation-setup.md) depois de criá-la. Este tópico fornece detalhes sobre o status da CA e o ciclo de vida da CA, junto com exemplos de atualizações do console e da CLI para. CAs
## Atualizar uma CA (console)
Os procedimentos a seguir mostram como atualizar configurações de CA existentes usando o Console de gerenciamento da AWS.
### Atualizar o status de uma CA (console)
Neste exemplo, o status de uma CA habilitada é alterado para Desabilitada.
**Para atualizar o status de uma CA**
1. Faça login na sua AWS conta e abra o CA privada da AWS console em [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home)
1. Na página **Autoridades de certificação privadas**, escolha na lista uma CA privada que esteja ativa.
1. No menu **Ações**, escolha **Desabilitar** para desabilitar a CA privada.
### Atualizar a configuração de revogação de uma CA (console)
É possível atualizar a [configuração de revogação](revocation-setup.md) de uma CA privada, por exemplo, adicionando ou removendo o suporte para OCSP ou CRL ou modificando suas configurações.
**nota**
As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.
Para OCSP, é possível alterar as seguintes configurações:
+ Habilite ou desabilite o OCSP.
+ Habilite ou desabilite um nome de domínio totalmente qualificado (FQDN) personalizado.
+ Altere o FQDN.
Para uma CRL, é possível alterar uma das seguintes configurações:
+ O tipo de CRL (completo ou particionado)
+ Se a CA privada gerar uma lista de revogação de certificados (CRL)
+ O número de dias antes de uma CRL expirar. Observe que CA privada da AWS começa a tentar regenerar a CRL na metade do número de dias que você especificar.
+ O nome do bucket do Amazon S3 no qual sua CRL é salva.
+ Um alias para ocultar o nome do bucket do Amazon S3 da visualização pública.
**Importante**
Alterar qualquer um dos parâmetros anteriores pode gerar efeitos negativos. Alguns exemplos incluem desabilitar a geração de CRLs, alterar o período de validade ou alterar o bucket do S3 depois de colocar a CA privada em produção. Essas alterações podem violar certificados existentes dependentes da CRL e da configuração atual dessa CRL. A alteração do alias pode ser feita com segurança, desde que o antigo alias permaneça vinculado ao bucket correto.
**Para atualizar as configurações de revogação**
1. Faça login na sua AWS conta e abra o CA privada da AWS console em [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home).
1. Na página **Autoridades de certificação privadas**, escolha sua CA privada na lista. Isso abre o painel de detalhes referente à CA.
1. Escolha a guia **Configuração de revogação** e escolha **Editar**.
1. Em **Opções de revogação de certificado**, duas opções são exibidas:
+ **Ativar distribuição de CRL**
+ **Ativar OCSP**
É possível configurar uma, nenhuma ou ambas as opções de revogação para sua CA. Embora opcional, a revogação gerenciada é recomendada como [melhor prática](ca-best-practices.md). Antes de concluir essa etapa, consulte [Planeje seu método CA Privada da AWS de revogação de certificado](revocation-setup.md) para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.
#### Para configurar uma CRL
1. Selecione **Ativar distribuição de CRL**.
1. Para criar um bucket do Amazon S3 para as entradas da sua CRL, selecione **Criar um novo bucket do S3**. Dê um nome exclusivo para o bucket. (Você não precisa incluir o caminho para o bucket.) Caso contrário, deixe essa opção desmarcada e escolha um bucket existente na lista **Nomes de buckets do S3**.
Se você criar um novo bucket, CA privada da AWS cria e anexa a [política de acesso necessária](crl-planning.md#s3-policies) a ele. Se você decidir usar um bucket existente, deverá anexar uma política de acesso a ele antes de começar a gerar CRLs. Use um dos padrões de política descritos em [Políticas de acesso para CRLs o Amazon S3](crl-planning.md#s3-policies). Para obter informações sobre como anexar uma política, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html).
**nota**
Quando você estiver usando o CA privada da AWS console, uma tentativa de criar uma CA falhará se as duas condições a seguir se aplicarem:
Você está aplicando configurações de Bloqueeio do acesso público ao seu bucket ou conta do Amazon S3.
Você solicitou CA privada da AWS a criação automática de um bucket do Amazon S3.
Nessa situação, o console tenta por padrão criar um bucket acessível ao público, e o Amazon S3 rejeita essa ação. Verifique as configurações do Amazon S3 se isso ocorrer. Para obter mais informações, consulte [Bloquear o acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).
1. Expanda **Avançado** para obter opções de configuração adicionais.
+ Escolha **Ativar particionamento** para habilitar o particionamento de. CRLs [Se você não habilitar o particionamento, sua CA estará sujeita ao número máximo de certificados revogados, mostrado nas cotas.Autoridade de Certificação Privada da AWS](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) Para obter mais informações sobre particionado CRLs, consulte Tipos de [CRL.](crl-planning.md#crl-type)
+ Adicione um **Nome de CRL personalizado** para criar um alias para o bucket do Amazon S3. Esse nome está contido em certificados emitidos pela CA na extensão “Pontos de distribuição de CRL” definida pela RFC 5280. [Para usar CRLs over IPv6, defina isso para o endpoint S3 de pilha dupla do seu bucket, conforme descrito em Usando over. CRLs IPv6](crl-planning.md#crl-ipv6)
+ Adicione um **caminho personalizado** para criar um alias de DNS para o caminho do arquivo em seu bucket do Amazon S3.
+ Digite a **validade em dias em** que sua CRL permanecerá válida. O valor padrão é de 7 dias. Para on-line CRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar a CRL no ponto médio do período especificado.
1. Quando terminar, escolha **Salvar alterações**.
#### Para configurar o OCSP
1. Na página **Revogação do certificado**, escolha **Ativar OCSP.**
1. (Opcional) No campo **Endpoint do OCSP personalizado**, forneça um nome de domínio totalmente qualificado (FQDN) para o endpoint do OCSP. [Para usar OCSP over IPv6, defina esse campo como um endpoint de pilha dupla, conforme descrito em Usando OCSP over. IPv6](ocsp-customize.md#ocsp-ipv6)
Quando você fornece um FQDN nesse campo, CA privada da AWS insere o FQDN na extensão *Authority Information Access* de cada certificado emitido no lugar do URL padrão do respondente OCSP. AWS Quando um endpoint recebe um certificado contendo o FQDN personalizado, ele consulta esse endereço para obter uma resposta do OCSP. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:
+ Use um servidor proxy para encaminhar o tráfego que chega ao seu FQDN personalizado para o respondente AWS OCSP.
+ Adicionar um registro CNAME correspondente ao seu banco de dados DNS.
**dica**
Para obter mais informações sobre a implementação de uma solução OCSP completa usando um CNAME personalizado, consulte [Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md).
Por exemplo, aqui está um registro CNAME para OCSP personalizado exibido no Amazon Route 53.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/PCAUpdateCA.html)
**nota**
O valor do CNAME não deve incluir um prefixo de protocolo como “http://” ou “https://”.
1. Quando terminar, escolha **Salvar alterações**.
## Atualizar uma CA (CLI)
Os procedimentos a seguir mostram como atualizar o status e a [configuração de revogação](revocation-setup.md) de uma CA existente usando a AWS CLI.
**nota**
As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.
**Para atualizar o status da sua CA privada (AWS CLI)**
Use o comando [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html).
Isso é útil quando há uma CA existente com o status `DISABLED` que você deseja definir como `ACTIVE`. Para começar, confirme o status inicial da CA com o seguinte comando.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
Isso resulta em uma saída semelhante à seguinte:
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
O seguinte comando define o status da CA privada como `ACTIVE`. Isso apenas é possível quando um certificado válido está instalado na CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
Inspecione o novo status da CA.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
O status agora aparece como `ACTIVE`.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Em alguns casos, você pode ter uma CA ativa sem um mecanismo de revogação configurado. Se quiser começar a usar uma lista de revogação de certificados (CRL), use o procedimento a seguir.
**Para adicionar uma CRL a uma CA existente (AWS CLI)**
1. Use o comando a seguir para inspecionar o status atual da CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
A saída confirma que a CA tem o status `ACTIVE`, mas não está configurada para usar uma CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. Crie e salve um arquivo com um nome, como `revoke_config.txt`, para definir seus parâmetros de configuração de CRL.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**nota**
Ao atualizar uma CA de atestado de dispositivo Matter para ativá-la CRLs, você deve configurá-la para omitir a extensão CDP dos certificados emitidos para ajudar a se adequar ao padrão Matter atual. Para fazer isso, defina seus parâmetros de configuração de CRL conforme ilustrado abaixo:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. Use o [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando e o arquivo de configuração de revogação para atualizar a CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Inspecione novamente o status da CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
A saída confirma que a CA está configurada para usar uma CRL.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
Em alguns casos, talvez você queira adicionar suporte à revogação do OCSP em vez de habilitar uma CRL, como no procedimento anterior. Nesse caso, siga as seguintes etapas.
**Para adicionar suporte ao OCSP a uma CA existente (AWS CLI)**
1. Crie e salve um arquivo com um nome, como `revoke_config.txt`, para definir os parâmetros do OCSP.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. Use o [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)comando e o arquivo de configuração de revogação para atualizar a CA.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. Inspecione novamente o status da CA.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
A saída confirma que a CA está configurada para usar o OCSP.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**nota**
Você também pode configurar o suporte simultâneo para CRL e OCSP em uma CA.