本文档 AWS CLI 仅适用于版本 1。有关版本 2 的文档 AWS CLI,请参阅版本 2 用户指南。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Private CA 使用示例 AWS CLI
以下代码示例向您展示了如何使用with来执行操作和实现常见场景 AWS Private CA。 AWS Command Line Interface
操作是大型程序的代码摘录,必须在上下文中运行。您可以通过操作了解如何调用单个服务函数,还可以通过函数相关场景的上下文查看操作。
每个示例都包含一个指向完整源代码的链接,您可以在其中找到有关如何在上下文中设置和运行代码的说明。
主题
操作
以下代码示例显示了如何使用create-certificate-authority-audit-report。
- AWS CLI
-
创建证书颁发机构审计报告
以下
create-certificate-authority-audit-report命令为由标识的私有 CA 创建审计报告ARN。aws acm-pca create-certificate-authority-audit-report --certificate-authority-arnarn:aws:acm-pca:us-east-1:accountid:certificate-authority/12345678-1234-1234-1234-123456789012--s3-bucket-nameyour-bucket-name--audit-report-response-formatJSON-
有关API详细信息,请参阅AWS CLI 命令参考CreateCertificateAuthorityAuditReport
中的。
-
以下代码示例显示了如何使用create-certificate-authority。
- AWS CLI
-
创建私有证书颁发机构
以下
create-certificate-authority命令在您的 AWS 账户中创建私有证书颁发机构。aws acm-pca create-certificate-authority --certificate-authority-configuration file://C:\ca_config.txt --revocation-configuration file://C:\revoke_config.txt --certificate-authority-type"SUBORDINATE"--idempotency-token98256344-
有关API详细信息,请参阅AWS CLI 命令参考CreateCertificateAuthority
中的。
-
以下代码示例显示了如何使用delete-certificate-authority。
- AWS CLI
-
删除私有证书颁发机构
以下
delete-certificate-authority命令删除由标识的证书颁发机构ARN。aws acm-pca delete-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012-
有关API详细信息,请参阅AWS CLI 命令参考DeleteCertificateAuthority
中的。
-
以下代码示例显示了如何使用describe-certificate-authority-audit-report。
- AWS CLI
-
描述证书颁发机构的审计报告
以下
describe-certificate-authority-audit-report命令列出了有关由标识的 CA 的指定审计报告的信息ARN。aws acm-pca describe-certificate-authority-audit-report --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/99999999-8888-7777-6666-555555555555--audit-report-id11111111-2222-3333-4444-555555555555-
有关API详细信息,请参阅AWS CLI 命令参考DescribeCertificateAuthorityAuditReport
中的。
-
以下代码示例显示了如何使用describe-certificate-authority。
- AWS CLI
-
描述私有证书颁发机构
以下
describe-certificate-authority命令列出了由标识的私有 CA 的相关信息ARN。aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012-
有关API详细信息,请参阅AWS CLI 命令参考DescribeCertificateAuthority
中的。
-
以下代码示例显示了如何使用get-certificate-authority-certificate。
- AWS CLI
-
检索证书颁发机构 (CA) 证书
以下
get-certificate-authority-certificate命令检索由指定的私有 CA 的证书和证书链。ARNaws acm-pca get-certificate-authority-certificate --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--outputtext-
有关API详细信息,请参阅AWS CLI 命令参考GetCertificateAuthorityCertificate
中的。
-
以下代码示例显示了如何使用get-certificate-authority-csr。
- AWS CLI
-
检索证书颁发机构的证书签名请求
以下
get-certificate-authority-csr命令检索由指定的私有 CA 的。CSR ARNaws acm-pca get-certificate-authority-csr --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--outputtext-
有关API详细信息,请参阅AWS CLI 命令参考GetCertificateAuthorityCsr
中的。
-
以下代码示例显示了如何使用get-certificate。
- AWS CLI
-
检索已颁发的证书
以下
get-certificate示例从指定的私有 CA 检索证书。aws acm-pca get-certificate \ --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012\ --certificate-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/6707447683a9b7f4055627ffd55cebcc\ --outputtext输出:
-----BEGIN CERTIFICATE----- MIIEDzCCAvegAwIBAgIRAJuJ8f6ZVYL7gG/rS3qvrZMwDQYJKoZIhvcNAQELBQAw cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl ....certificate body truncated for brevity.... tKCSglgZZrd4FdLw1EkGm+UVXnodwMtJEQyy3oTfZjURPIyyaqskTu/KSS7YDjK0 KQNy73D6LtmdOEbAyq10XiDxqY41lvKHJ1eZrPaBmYNABxU= -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- MIIDrzCCApegAwIBAgIRAOskdzLvcj1eShkoyEE693AwDQYJKoZIhvcNAQELBQAw cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl ...certificate body truncated for brevity.... kdRGB6P2hpxstDOUIwAoCbhoaWwfA4ybJznf+jOQhAziNlRdKQRR8nODWpKt7H9w dJ5nxsTk/fniJz86Ddtp6n8s82wYdkN3cVffeK72A9aTCOU= -----END CERTIFICATE-----输出的第一部分是证书本身。第二部分是链接到根 CA 证书的证书链。请注意,使用该
--output text选项时,会在两个证书片段之间插入一个TAB字符(这是缩进文本的原因)。如果您打算使用此输出并使用其他工具解析证书,则可能需要删除该TAB字符,以便正确处理该字符。-
有关API详细信息,请参阅AWS CLI 命令参考GetCertificate
中的。
-
以下代码示例显示了如何使用import-certificate-authority-certificate。
- AWS CLI
-
将您的证书颁发机构证书导入 ACM PCA
以下
import-certificate-authority-certificate命令将指定的 CA 的已签名私有 CA 证书导ARN入到ACMPCA。aws acm-pca import-certificate-authority-certificate --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--certificate file://C:\ca_cert.pem --certificate-chain file://C:\ca_cert_chain.pem-
有关API详细信息,请参阅AWS CLI 命令参考ImportCertificateAuthorityCertificate
中的。
-
以下代码示例显示了如何使用issue-certificate。
- AWS CLI
-
颁发私有证书
以下
issue-certificate命令使用指定的私有 CA ARN 来颁发私有证书。aws acm-pca issue-certificate --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--csr file://C:\cert_1.csr --signing-algorithm"SHA256WITHRSA"--validity Value=365,Type="DAYS" --idempotency-token1234-
有关API详细信息,请参阅AWS CLI 命令参考IssueCertificate
中的。
-
以下代码示例显示了如何使用list-certificate-authorities。
- AWS CLI
-
列出您的私有证书颁发机构
以下
list-certificate-authorities命令列出了有关您账户CAs中所有私有账户的信息。aws acm-pca list-certificate-authorities --max-results10-
有关API详细信息,请参阅AWS CLI 命令参考ListCertificateAuthorities
中的。
-
以下代码示例显示了如何使用list-tags。
- AWS CLI
-
列出您的证书颁发机构的标签
以下
list-tags命令列出了与指定的私有 CA 关联的标签ARN。aws acm-pca list-tags --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/123455678-1234-1234-1234-123456789012--max-results10-
有关API详细信息,请参阅AWS CLI 命令参考ListTags
中的。
-
以下代码示例显示了如何使用revoke-certificate。
- AWS CLI
-
吊销私有证书
以下
revoke-certificate命令吊销由标识的 CA 的私有证书。ARNaws acm-pca revoke-certificate --certificate-authority-arnarn:aws:acm-pca:us-west-2:1234567890:certificate-authority/12345678-1234-1234-1234-123456789012--certificate-serial67:07:44:76:83:a9:b7:f4:05:56:27:ff:d5:5c:eb:cc--revocation-reason"KEY_COMPROMISE"-
有关API详细信息,请参阅AWS CLI 命令参考RevokeCertificate
中的。
-
以下代码示例显示了如何使用tag-certificate-authority。
- AWS CLI
-
将标签附加到私有证书颁发机构
以下
tag-certificate-authority命令将一个或多个标签附加到您的私有 CA。aws acm-pca tag-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--tagsKey=Admin,Value=Alice-
有关API详细信息,请参阅AWS CLI 命令参考TagCertificateAuthority
中的。
-
以下代码示例显示了如何使用untag-certificate-authority。
- AWS CLI
-
从您的私有证书颁发机构删除一个或多个标签
以下
untag-certificate-authority命令从由标识的私有 CA 中删除标签ARN。aws acm-pca untag-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012--tagsKey=Purpose,Value=Website-
有关API详细信息,请参阅AWS CLI 命令参考UntagCertificateAuthority
中的。
-
以下代码示例显示了如何使用update-certificate-authority。
- AWS CLI
-
更新您的私有证书颁发机构的配置
以下
update-certificate-authority命令更新由标识的私有 CA 的状态和配置ARN。aws acm-pca update-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-1232456789012--revocation-configuration file://C:\revoke_config.txt --status"DISABLED"-
有关API详细信息,请参阅AWS CLI 命令参考UpdateCertificateAuthority
中的。
-
