本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中更新私有 CA AWS Private Certificate Authority
创建私有 CA 后,您可以更新其状态或更改其吊销配置。本主题提供有关 CA 状态和 CA 生命周期的详细信息,以及控制台和CLI更新的示例CAs。
更新 CA(控制台)
以下过程说明如何使用 AWS Management Console更新现有 CA 配置。
更新 CA 状态(控制台)
在此示例中,已启用 CA 的状态更改为已禁用。
更新 CA 的状态
-
登录您的 AWS 账户并在https://console.aws.amazon.com/acm-pca/家
中打开主 AWS 私有 CA 机 -
在私有证书颁发机构页面上,从列表中选择当前处于活动状态的私有 CA。
-
在操作菜单上,选择禁用以禁用私有 CA。
更新 CA 的吊销配置(控制台)
您可以更新私有 CA 的撤销配置,例如,添加或删除其中一个OCSP或CRL支持,或者修改其设置。
注意
对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。
对于OCSP,您可以更改以下设置:
-
启用或禁用OCSP。
-
启用或禁用自定义的OCSP完全限定域名 (FQDN)。
-
改变FQDN.
对于 aCRL,您可以更改以下任何设置:
-
私有 CA 是否生成证书吊销列表 () CRL
-
CRL过期前的天数。请注意, AWS 私有 CA 开始尝试CRL在您指定的天数的 ½ 处重新生成。
-
用于保存您的的 Amazon S3 存储桶CRL的名称。
-
用于在公共视图中隐藏 Amazon S3 桶名称的别名。
重要
更改上述任何参数可能具有负面影响。示例包括禁用CRL生成、更改有效期或在将私有 CA 投入生产后更改 S3 存储桶。此类更改可能会破坏依赖于CRL和当前CRL配置的现有证书。更改别名可以安全地完成,只要旧别名保持链接到正确的存储桶。
更新吊销设置
-
登录您的 AWS 帐户并在https://console.aws.amazon.com/acm-pca/家
中打开主 AWS 私有 CA 机。 -
在私有证书颁发机构页面上,从列表中选择一个私有 CA。这将打开 CA 的详细信息面板。
-
选择吊销配置选项卡,然后选择编辑。
-
在证书吊销选项下,显示两个选项:
-
激活CRL分发
-
开启 OCSP
您可以为 CA 配置这两个吊销机制中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为最佳实践。在完成此步骤之前,请参阅 规划您的 AWS Private CA 证书吊销方法,了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。
-
-
选择 “激活CRL分发”。
-
要为您的CRL条目创建 Amazon S3 存储桶,请选择创建新的 S3 存储桶。提供唯一的桶名称。(不需要包括存储桶的路径。) 否则,请取消选中此选项,然后从 S3 存储桶名称列表中选择现有桶。
如果您创建了新的存储桶,则 AWS 私有 CA 会创建所需的访问策略并将其附加到该存储桶。如果您决定使用现有存储桶,则必须先为其附加访问策略,然后才能开始生成CRLs。使用 亚马逊 S3 CRLs 中的访问策略 中所述的策略模式之一。有关附加策略的信息,请参阅使用 Amazon S3 控制台添加桶策略。
注意
使用 AWS 私有 CA 控制台时,如果以下两个条件都适用,则尝试创建 CA 将失败:
-
您正在对您的 Amazon S3 桶或账户强制执行阻止公共访问设置。
-
您要求 AWS 私有 CA 自动创建 Amazon S3 存储桶。
在这种情况下,控制台默认会尝试创建可公共访问的桶,而 Amazon S3 会拒绝此操作。如果发生这种情况,请检查您的 Amazon S3 设置。有关更多信息,请参阅阻止对您的 Amazon S3 存储的公共访问。
-
-
展开高级以获取其他配置选项。
-
添加自定义CRL名称以为您的 Amazon S3 存储桶创建别名。此名称包含在 CA 颁发的 “CRL分发点” 扩展名中颁发的证书中,该扩展名由 RFC 5280 定义。
-
键入您的CRL有效期天数。默认值为 7 天。对于在线CRLs版,有效期通常为 2-7 天。 AWS 私有 CA 尝试在指定周期的中CRL点重新生成。
-
-
完成后,选择保存更改。
-
在 “证书吊销” 页面上,选择 “开启 OCSP”。
-
(可选)在自定义OCSP终端节点字段中,为您的终OCSP端节点提供完全限定的域名 (FQDN)。
如果您在此字段中提供,则FQDN在每个已颁发的证书的 “权限信息访问权限” 扩展 AWS 私有 CA 插件中插FQDN入,以取代 AWS OCSP响应URL者的默认值。当终端节点收到包含自定义证书的证书时FQDN,它会查询该地址以获取OCSP响应。要使此机制发挥作用,您需要采取另外两个操作:
-
使用代理服务器将到达您自定义的流量转发FQDN给 AWS OCSP响应者。
-
向DNS数据库中添加相应的CNAME记录。
提示
有关使用自定义实现完整OCSP解决方案的更多信息CNAME,请参阅为之OCSPURL定制 AWS Private CA。
例如,以下是在 Amazon Rou OCSP te 53 中显示的自定义CNAME记录。
记录名称 类型 路由策略 优势 值/流量路由至 alternative.example.com
CNAME 简便 - proxy.example.com 注意
的值CNAME不得包含协议前缀,例如 “http://” 或 “https://”。
-
-
完成后,选择保存更改。
更新 CA (CLI)
以下过程说明如何使用 AWS CLI更新现有 CA 的状态和吊销配置。
注意
对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。
更新私有 CA 的状态(AWS CLI)
使用update-certificate-authority命令。
当您的现有 CA 状态为 DISABLED 且您希望将其设置为 ACTIVE 时,这非常有用。首先,使用以下命令确认 CA 的初始状态。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
这会产生类似于以下内容的输出。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}以下命令将私有 CA 的状态设置为 ACTIVE。仅当在 CA 上安装了有效证书时,才可能实现此目的。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
检查 CA 的新状态。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
状态现在显示为 ACTIVE。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}在某些情况下,您的活动 CA 可能没有配置吊销机制。如果要开始使用证书吊销列表 (CRL),请按以下步骤操作。
向现有 CA 中添加 (AWS CLI) CRL
-
使用以下命令检查 CA 的当前状态。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json输出确认 CA 处于状态
ACTIVE,但未配置为使用CRL。{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
创建并保存一个名为(例如)的文件
revoke_config.txt,用于定义您的CRL配置参数。{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }注意
将 Matter 设备认证 CA 更新为启用时CRLs,必须将其配置为在已颁发的证书中省略该CDP扩展,以帮助符合当前 Matter 标准。为此,请定义您的CRL配置参数,如下所示:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
使用update-certificate-authority命令和吊销配置文件更新 CA。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
再次检查 CA 的状态。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json输出确认 CA 现在已配置为使用CRL。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }在某些情况下,您可能需要添加OCSP撤销支持,而不是CRL像前面的步骤那样启用。在这种情况下,请使用以下步骤。
为现有 CA 添加OCSP支持 (AWS CLI)
-
创建并保存一个名为(例如)的文件
revoke_config.txt,用于定义您的OCSP参数。{ "OcspConfiguration":{ "Enabled":true } } -
使用update-certificate-authority命令和吊销配置文件更新 CA。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
再次检查 CA 的状态。
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json输出确认 CA 现在已配置为使用OCSP。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
注意
您也可以在 CA 上同时配置CRL和OCSP支持。
