文档 AWS SDK 示例 GitHub 存储库中还有更多 [S AWS DK 示例](https://github.com/awsdocs/aws-doc-sdk-examples)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 私有 CA 使用示例 AWS CLI
<a name="cli_2_acm-pca_code_examples"></a>

以下代码示例向您展示了如何使用with来执行操作和实现常见场景 AWS 私有 CA。 AWS Command Line Interface 

*操作*是大型程序的代码摘录，必须在上下文中运行。您可以通过操作了解如何调用单个服务函数，还可以通过函数相关场景的上下文查看操作。

每个示例都包含一个指向完整源代码的链接，您可以从中找到有关如何在上下文中设置和运行代码的说明。

**Topics**
+ [操作](#actions)

## 操作
<a name="actions"></a>

### `create-certificate-authority-audit-report`
<a name="acm-pca_CreateCertificateAuthorityAuditReport_cli_2_topic"></a>

以下代码示例演示了如何使用 `create-certificate-authority-audit-report`。

**AWS CLI**  
**创建证书颁发机构审计报告**  
以下 `create-certificate-authority-audit-report` 命令为由 ARN 标识的私有 CA 创建审计报告。  

```
aws acm-pca create-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-east-1:accountid:certificate-authority/12345678-1234-1234-1234-123456789012 --s3-bucket-name your-bucket-name --audit-report-response-format JSON
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[CreateCertificateAuthorityAuditReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/create-certificate-authority-audit-report.html)*中的。

### `create-certificate-authority`
<a name="acm-pca_CreateCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `create-certificate-authority`。

**AWS CLI**  
**创建私有证书颁发机构**  
以下`create-certificate-authority`命令在您的 AWS 账户中创建私有证书颁发机构。  

```
aws acm-pca create-certificate-authority --certificate-authority-configuration file://C:\ca_config.txt --revocation-configuration file://C:\revoke_config.txt --certificate-authority-type "SUBORDINATE" --idempotency-token 98256344
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[CreateCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/create-certificate-authority.html)*中的。

### `delete-certificate-authority`
<a name="acm-pca_DeleteCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `delete-certificate-authority`。

**AWS CLI**  
**删除私有证书颁发机构**  
以下 `delete-certificate-authority` 命令删除由 ARN 标识的证书颁发机构。  

```
aws acm-pca delete-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[DeleteCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/delete-certificate-authority.html)*中的。

### `describe-certificate-authority-audit-report`
<a name="acm-pca_DescribeCertificateAuthorityAuditReport_cli_2_topic"></a>

以下代码示例演示了如何使用 `describe-certificate-authority-audit-report`。

**AWS CLI**  
**描述证书颁发机构的审计报告**  
以下 `describe-certificate-authority-audit-report` 命令列出有关由 ARN 标识的 CA 的指定审计报告的信息。  

```
aws acm-pca describe-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/99999999-8888-7777-6666-555555555555 --audit-report-id 11111111-2222-3333-4444-555555555555
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[DescribeCertificateAuthorityAuditReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/describe-certificate-authority-audit-report.html)*中的。

### `describe-certificate-authority`
<a name="acm-pca_DescribeCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `describe-certificate-authority`。

**AWS CLI**  
**描述私有证书颁发机构**  
以下 `describe-certificate-authority` 命令列出有关由 ARN 标识的私有 CA 的信息。  

```
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[DescribeCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/describe-certificate-authority.html)*中的。

### `get-certificate-authority-certificate`
<a name="acm-pca_GetCertificateAuthorityCertificate_cli_2_topic"></a>

以下代码示例演示了如何使用 `get-certificate-authority-certificate`。

**AWS CLI**  
**检索证书颁发机构（CA）证书**  
以下 `get-certificate-authority-certificate` 命令检索由 ARN 指定的私有 CA 的证书和证书链。  

```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[GetCertificateAuthorityCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate-authority-certificate.html)*中的。

### `get-certificate-authority-csr`
<a name="acm-pca_GetCertificateAuthorityCsr_cli_2_topic"></a>

以下代码示例演示了如何使用 `get-certificate-authority-csr`。

**AWS CLI**  
**检索证书颁发机构的证书签名请求**  
以下 `get-certificate-authority-csr` 命令检索由 ARN 指定的私有 CA 的 CSR。  

```
aws acm-pca get-certificate-authority-csr --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[GetCertificateAuthorityCsr](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate-authority-csr.html)*中的。

### `get-certificate`
<a name="acm-pca_GetCertificate_cli_2_topic"></a>

以下代码示例演示了如何使用 `get-certificate`。

**AWS CLI**  
**检索已签发的证书**  
以下 `get-certificate` 示例检索指定私有 CA 的证书。  

```
aws acm-pca get-certificate \
    --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text
```
输出：  

```
-----BEGIN CERTIFICATE-----
MIIEDzCCAvegAwIBAgIRAJuJ8f6ZVYL7gG/rS3qvrZMwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ....certificate body truncated for brevity....
tKCSglgZZrd4FdLw1EkGm+UVXnodwMtJEQyy3oTfZjURPIyyaqskTu/KSS7YDjK0
KQNy73D6LtmdOEbAyq10XiDxqY41lvKHJ1eZrPaBmYNABxU=
-----END CERTIFICATE---- -----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIRAOskdzLvcj1eShkoyEE693AwDQYJKoZIhvcNAQELBQAw
cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl
    ...certificate body truncated for brevity....
kdRGB6P2hpxstDOUIwAoCbhoaWwfA4ybJznf+jOQhAziNlRdKQRR8nODWpKt7H9w
dJ5nxsTk/fniJz86Ddtp6n8s82wYdkN3cVffeK72A9aTCOU=
-----END CERTIFICATE-----
```
输出的第一部分是证书本身。第二部分是链接到根 CA 证书的证书链。请注意，使用 `--output text` 选项时，会在两个证书片段之间插入一个 `TAB` 字符（由于文本缩进）。如果您打算使用此输出并使用其他工具解析证书，则可能需要移除 `TAB` 字符，以便正确处理。  
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[GetCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate.html)*中的。

### `import-certificate-authority-certificate`
<a name="acm-pca_ImportCertificateAuthorityCertificate_cli_2_topic"></a>

以下代码示例演示了如何使用 `import-certificate-authority-certificate`。

**AWS CLI**  
**将您的证书颁发机构证书导入 ACM PCA**  
以下 `import-certificate-authority-certificate` 命令将由 ARN 指定的 CA 的已签名私有 CA 证书导入 ACM PCA。  

```
aws acm-pca import-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate file://C:\ca_cert.pem --certificate-chain file://C:\ca_cert_chain.pem
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[ImportCertificateAuthorityCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/import-certificate-authority-certificate.html)*中的。

### `issue-certificate`
<a name="acm-pca_IssueCertificate_cli_2_topic"></a>

以下代码示例演示了如何使用 `issue-certificate`。

**AWS CLI**  
**签发私有证书**  
以下 `issue-certificate` 命令使用由 ARN 指定的私有 CA 来签发私有证书。  

```
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[IssueCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/issue-certificate.html)*中的。

### `list-certificate-authorities`
<a name="acm-pca_ListCertificateAuthorities_cli_2_topic"></a>

以下代码示例演示了如何使用 `list-certificate-authorities`。

**AWS CLI**  
**列出您的私有证书颁发机构**  
以下`list-certificate-authorities`命令列出了有关您账户 CAs 中所有私有账户的信息。  

```
aws acm-pca list-certificate-authorities --max-results 10
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[ListCertificateAuthorities](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/list-certificate-authorities.html)*中的。

### `list-tags`
<a name="acm-pca_ListTags_cli_2_topic"></a>

以下代码示例演示了如何使用 `list-tags`。

**AWS CLI**  
**列出您证书颁发机构的标签**  
以下 `list-tags` 命令列出与由 ARN 指定的私人 CA 关联的标签。  

```
aws acm-pca list-tags --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/123455678-1234-1234-1234-123456789012 --max-results 10
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[ListTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/list-tags.html)*中的。

### `revoke-certificate`
<a name="acm-pca_RevokeCertificate_cli_2_topic"></a>

以下代码示例演示了如何使用 `revoke-certificate`。

**AWS CLI**  
**撤消私有证书**  
以下 `revoke-certificate` 命令撤销由 ARN 标识的 CA 的私有证书。  

```
aws acm-pca revoke-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:1234567890:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-serial 67:07:44:76:83:a9:b7:f4:05:56:27:ff:d5:5c:eb:cc --revocation-reason "KEY_COMPROMISE"
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[RevokeCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/revoke-certificate.html)*中的。

### `tag-certificate-authority`
<a name="acm-pca_TagCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `tag-certificate-authority`。

**AWS CLI**  
**向私有证书颁发机构添加标签**  
以下 `tag-certificate-authority` 命令将一个或多个标签附加到您的私有 CA。  

```
aws acm-pca tag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[TagCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/tag-certificate-authority.html)*中的。

### `untag-certificate-authority`
<a name="acm-pca_UntagCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `untag-certificate-authority`。

**AWS CLI**  
**移除您私有证书颁发机构中的一个或多个标签**  
以下 `untag-certificate-authority` 命令移除由 ARN 标识的私有 CA 中的标签。  

```
aws acm-pca untag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Purpose,Value=Website
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[UntagCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/untag-certificate-authority.html)*中的。

### `update-certificate-authority`
<a name="acm-pca_UpdateCertificateAuthority_cli_2_topic"></a>

以下代码示例演示了如何使用 `update-certificate-authority`。

**AWS CLI**  
**更新您私有证书颁发机构的配置**  
以下 `update-certificate-authority` 命令更新由 ARN 标识的私有 CA 的状态和配置。  

```
aws acm-pca update-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-1232456789012 --revocation-configuration file://C:\revoke_config.txt --status "DISABLED"
```
+  有关 API 的详细信息，请参阅*AWS CLI 命令参考[UpdateCertificateAuthority](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/update-certificate-authority.html)*中的。