本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在中创建私有 CA AWS Private CA

您可以使用本节中的过程来创建根CAs或从属关系CAs，从而生成符合您组织需求的可审计信任关系层次结构。您可以使用或的 AWS Management Console、PCA部分创建 CA AWS CloudFormation。 AWS CLI

有关更新已创建 CA 配置的信息，请参阅 在中更新私有 CA AWS Private Certificate Authority。

有关使用 CA 为用户、设备和应用程序签署终端实体证书的信息，请参阅 颁发私有终端实体证书。

Console

使用 控制台创建私有 CA

1. 完成以下步骤以使用 AWS Management Console创建私有 CA。

   开始使用控制台

   登录您的 AWS 账户并打开 AWS 私有 CA 控制台，网址为https://console.aws.amazon.com/acm-pca/home。

   • 如果您在没有私有控制台的地区打开控制台CAs，则会显示介绍页面。选择创建私有 CA。

   • 如果您在已创建 CA 的区域中打开控制台，则会打开私有证书颁发机构页面，其中会列出您的证书CAs。选择创建 CA。

2. 在 “模式选项” 下，选择您的 CA 颁发的证书的到期模式。

   • 通用 – 颁发可配置为任何到期日期的证书。这是默认模式。

   • 短期证书 – 颁发最长有效期为七天的证书。在某些情况下，较短的有效期可以取代吊销机制。

3. 在控制台的类型选项部分，选择您要创建的私有证书颁发机构的类型。

   • 选择根可建立新的 CA 层次结构。此 CA 由自签名证书提供支持。它是层次结构中其他证书CAs和最终实体证书的最终签名机构。

   • 选择从属将创建一个 CA，该 CA 必须由层次结构中在其上方的父 CA 签名。从属机构CAs通常用于创建其他下属机构CAs或向用户、计算机和应用程序颁发终端实体证书。

     注意

     AWS 私有 CA 当您的下属 CA 的父 CA 也由托管时，会提供自动签名流程 AWS 私有 CA。您只需选择要使用的父 CA。

     您的从属 CA 可能需要由外部信任服务提供商签名。如果是，则会 AWS 私有 CA 为您提供证书签名请求 (CSR)，您必须下载该请求并使用该请求才能获得签名的 CA 证书。有关更多信息，请参阅 安装由外部父 CA 签名的从属 CA 证书。

4. 在使用者可分辨名称选项下，配置您的私有 CA 的使用者名称。您必须至少输入以下选项之一的值：

   • 组织（O）– 例如，公司名称

   • 组织单位（OU）– 例如，公司内部的部门

   • 国家/地区名称（C）– 两个字母的国家/地区代码

   • 州或省名称 – 州或省的全名

   • 所在地名称 – 城市的名称

   • 公用名 (CN) — 用于标识 CA 的人类可读字符串。

   注意

   通过在颁发证书时应用APIPassthrough模板，您可以进一步自定义证书的主题名称。有关更多信息和详细示例，请参阅 使用APIPassthrough模板颁发带有自定义主题名称的证书。

   由于支持证书是自签名的，因此您为私有 CA 提供的使用者信息可能比公有 CA 包含的使用者信息更少。有关构成主题可分辨名的每个值的更多信息，请参阅 RFC5280。

5. 在密钥算法选项下，选择密钥算法和密钥的位大小。默认值是密钥长度为 2048 位的RSA算法。可从以下算法中进行选择：

   • RSA2048

   • RSA4096

   • ECDSAP256

   • ECDSAP384

6. 在证书吊销选项下，您可以从两种与使用您的证书的客户端共享吊销状态的方法中进行选择：

   • 激活CRL分发

   • 开启 OCSP

   您可以为 CA 配置这两个吊销选项中的任一个、两个都不配置或两个都配置。尽管是可选的，但建议将托管吊销作为最佳实践。在完成此步骤之前，请参阅 规划您的 AWS Private CA 证书吊销方法，了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。

   注意

   如果您在未配置吊销的情况下创建 CA，以后可以随时对其进行配置。有关更多信息，请参阅 在中更新私有 CA AWS Private Certificate Authority。

   要配置证书吊销选项，请执行以下步骤。

   1. 在 “证书吊销选项” 下，选择 “激活CRL分发”。

   2. 要为您的CRL条目创建 Amazon S3 存储桶，请选择创建新的 S3 存储桶，然后键入一个唯一的存储桶名称。（不需要包括存储桶的路径。） 否则，在 S3 存储桶下URI，从列表中选择一个现有存储桶。

      当您通过控制台创建新存储桶时，会 AWS 私有 CA 尝试将所需的访问策略附加到该存储桶，并对其禁用 S3 默认的 “阻止公共访问” (BPA) 设置。如果您改为指定现有存储桶，则必须确保该BPA账户和存储桶均已禁用该存储桶。否则，创建 CA 的操作将失败。如果 CA 已成功创建，您仍必须手动将策略附加到它，然后才能开始生成CRLs。使用 亚马逊 S3 CRLs 中的访问策略 中所述的策略模式之一。有关更多信息，请参阅使用 Amazon S3 控制台添加桶策略。

      重要

      如果满足以下所有条件，则尝试使用 AWS 私有 CA 控制台创建 CA 将失败：

      • 您正在设置CRL.

      • 您 AWS 私有 CA 要求自动创建 S3 存储桶。

      • 您正在强制执行 S3 中的BPA设置。

      在这种情况下，控制台会创建一个桶，尝试使其可公共访问但未能成功。如果出现这种情况，请检查您的 Amazon S3 设置，根据需要将其禁用BPA，然后重复创建 CA 的过程。有关更多信息，请参阅阻止对您的 Amazon S3 存储的公共访问。

   3. 展开CRL设置以获取其他配置选项。

      • 添加自定义CRL名称以为您的 Amazon S3 存储桶创建别名。此名称包含在 CA 颁发的 “CRL分发点” 扩展名中颁发的证书中，该扩展名由 RFC 5280 定义。

      • 键入有效期（以天为单位），您的有效期CRL将保持不变。默认值为 7 天。对于在线CRLs版，有效期通常为 2-7 天。 AWS 私有 CA 尝试在指定周期的中CRL点重新生成。

   4. 展开 S3 设置以获取存储桶版本控制和存储桶访问日志记录的可选配置。

7. 对于证书吊销选项，请选择开启。OCSP

   1. 在自定义OCSP终端节点 -可选字段中，您可以为非亚马逊OCSP终端节点提供完全限定的域名 (FQDN)。

      如果您在此字段中提供，则FQDN在每个已颁发的证书的 “权限信息访问权限” 扩展 AWS 私有 CA 插件中插FQDN入，以取代 AWS OCSP响应URL者的默认值。当终端节点收到包含自定义证书的证书时FQDN，它会查询该地址以获取OCSP响应。要使此机制发挥作用，您需要采取另外两个操作：

      • 使用代理服务器将到达您自定义的流量转发FQDN给 AWS OCSP响应者。

      • 向DNS数据库中添加相应的CNAME记录。

      提示

      有关使用自定义实现完整OCSP解决方案的更多信息CNAME，请参阅为之OCSPURL定制 AWS Private CA。

      例如，以下是在 Amazon Rou OCSP te 53 中显示的自定义CNAME记录。

      记录名称	类型	路由策略	优势	值/流量路由至
      alternative.example.com	CNAME	简便	-	proxy.example.com

      注意

      的值CNAME不得包含协议前缀，例如 “http://” 或 “https://”。

8. 在添加标签下，您可以选择标记您的 CA。标签是键值对，用作标识和组织 AWS 资源的元数据。有关 AWS 私有 CA 标签参数的列表以及如何在创建CAs后向其添加标签的说明，请参阅为您的私有 CA 添加标签。

   注意

   要在创建过程中将标签附加到私有 CA，CA 管理员必须先将内联IAM策略与CreateCertificateAuthority操作关联并明确允许标记。有关更多信息，请参阅 Tag-on-create：在创建 CA 时将标签附加到 CA。

9. 在 CA 权限选项下，您可以选择将自动续订权限委托给 AWS Certificate Manager 服务委托人。ACM只有在授予此权限后，才能自动续订由此 CA 生成的私有终端实体证书。您可以随时使用 AWS 私有 CA CreatePermissionAPI或 create-permission 命令分配续订权限CLI。

   这些权限默认启用。

   注意

   AWS Certificate Manager 不支持自动续订短期证书。

10. 在定价下，确认您了解私有 CA 的定价。

    注意

    有关最新的定 AWS 私有 CA 价信息，请参阅AWS Private Certificate Authority 定价。您也可以使用定 AWS 价计算器来估算成本。

11. 检查所有输入信息的准确性后，选择创建 CA。CA 的详细信息页面将打开，其状态显示为待处理证书。

    注意

    在详细信息页面上，您可以通过选择操作、安装 CA 证书来完成 CA 的配置，也可以稍后返回私有证书颁发机构列表并完成适用于您的情况的安装过程：

    • 安装根 CA 证书

    • 安装由托管的从属 CA 证书 AWS 私有 CA

    • 安装由外部父 CA 签名的从属 CA 证书

CLI

使用create-certificate-authority命令创建私有 CA。必须指定 CA 配置（包含算法和主题名称信息）、撤销配置（如果您计划使用和 OCSP /或 aCRL）和 CA 类型（根或从属）。配置和吊销配置详细信息包含在您作为命令参数提供的两个文件中。或者，您还可以配置 CA 使用模式（用于颁发标准或短期证书）、附加标签和提供幂等性令牌。

如果您正在配置CRL，则在发出create-certificate-authority命令之前，您必须有一个安全的 Amazon S3 存储桶。有关更多信息，请参阅 亚马逊 S3 CRLs 中的访问策略 。

CA 配置文件可指定以下信息：

• 算法的名称

• 要用于创建 CA 私钥的密钥大小

• CA 用来签名的签名算法的类型

• X.500 主题信息

的撤销配置OCSP定义了一个包含以下信息的OcspConfiguration对象：

• Enabled 标签设置为“true”。

• （可选）CNAME声明为值的自定义OcspCustomCname。

的撤销配置CRL定义了一个包含以下信息的CrlConfiguration对象：

• Enabled 标签设置为“true”。

• 以天为单位的CRL到期时间（的有效期CRL）。

• 将包含的 Amazon S3 存储桶CRL。

• （可选）一个 S3 ObjectAcl 值，用于确定是否可公开访问。CRL在此处提供的示例中，阻止公共访问。有关更多信息，请参阅 使用启用 S3 阻止公共访问 (BPA) CloudFront。

• （可选）CA 颁发的证书中包含的 S3 存储桶的CNAME别名。如果无法公开访问，CRL则将指向诸如 Amazon 之类的分销机制 CloudFront。

• （可选）包含以下信息的CrlDistributionPointExtensionConfiguration对象：

  • 该OmitExtension标志设置为 “真” 或 “假”。这控制是否将CDP扩展的默认值写入 CA 颁发的证书。有关CDP扩展的更多信息，请参阅确定分CRL发点 (CDP) URI 。如果为 “true” OmitExtension ，则 CustomCname 无法设置 A。

注意

通过定义 OcspConfiguration 对象和 CrlConfiguration 对象，可以在同一 CA 上启用两种吊销机制。如果不提供任何 --revocation-configuration 参数，则默认情况下两种机制均处于禁用状态。如果您以后需要吊销验证支持，请参阅 更新 CA (CLI)。

有关CLI示例，请参阅以下部分。

CLI创建私有 CA 的示例

以下示例假设您已使用有效的默认区域、端点和凭证设置了 .aws 配置目录。有关配置 AWS CLI 环境的信息，请参阅配置和凭证文件设置。为了便于阅读，我们在示例命令中以JSON文件形式提供 CA 配置和撤销输入。根据需要修改示例文件以供您使用。

除非另有说明，否则所有示例都使用以下 ca_config.txt 配置文件。

文件：ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

示例 1：在OCSP启用状态下创建 CA

在此示例中，吊销文件启用默认OCSP支持，即使用 AWS 私有 CA 响应器检查证书状态。

文件：revoke_config.txt for OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

命令

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

如果成功，此命令将输出新 CA 的 Amazon 资源名称 (ARN)。

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

命令

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

示例 2：创建启用OCSP并CNAME启用自定义的 CA

在此示例中，撤销文件启用了自定义OCSP支持。该OcspCustomCname参数采用完全限定域名 (FQDN) 作为其值。

如果您在此字段中提供，则FQDN在每个已颁发的证书的 “权限信息访问权限” 扩展 AWS 私有 CA 插件中插FQDN入，以取代 AWS OCSP响应URL者的默认值。当终端节点收到包含自定义证书的证书时FQDN，它会查询该地址以获取OCSP响应。要使此机制发挥作用，您需要采取另外两个操作：

例如，以下是在 Amazon Rou OCSP te 53 中显示的自定义CNAME记录。

文件：revoke_config.txt for OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

命令

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

示例 3：创建附有证书的 CA CRL

在此示例中，撤销配置定义了CRL参数。

文件：revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

命令

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

示例 4：创建已连接CRL且CNAME已启用自定义的 CA

在此示例中，撤销配置定义了包含自定义CNAME的CRL参数。

文件：revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

命令

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

示例 5：创建 CA 并指定使用模式

在此示例中，CA 使用模式是在创建 CA 时指定的。如果未指定，则使用模式参数默认为 GENERAL _ PURPOSE。在此示例中，参数设置为 SHORT LIVED _CERTIFICATE，这意味着 CA 将颁发最长有效期为七天的证书。在配置吊销不方便的情况下，已被泄露的短期证书很快就会过期，这是正常操作的一部分。因此，此示例 CA 缺少吊销机制。

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

使用中的describe-certificate-authority命令显示 AWS CLI 有关生成的 CA 的详细信息，如以下命令所示：

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID

{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

示例 6：创建用于 Active Directory 登录的 CA

你可以创建适合在 Microsoft Active Directory (AD) 的企业NTAuth商店中使用的私有 CA，它可以在那里颁发卡登录证书或域控制器证书。有关将 CA 证书导入 AD 的信息，请参阅如何将第三方证书颁发机构 (CA) 证书导入企业NTAuth存储。

通过调用 -dspublish 选项，可以使用 Microsoft certutil 工具在 AD 中发布 CA 证书。使用 certutil 发布到 AD 的证书在整个林中都受信任。使用组策略，您还可以将信任限制为整个林的子集，例如单个域或域中的一组计算机。为了使登录生效，还必须在NTAuth商店中发布签发的 CA。有关更多信息，请参阅使用组策略将证书分发到客户端计算机。

此示例使用以下 ca_config_AD.txt 配置文件。

文件：ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

命令

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

示例 7：创建一个 Matter CA，附带一个附件，CRL且已颁发的证书中省略了CDP扩展名

您可以创建适合颁发 Matter 智能家居标准证书的私有 CA。在此示例中，中的 CA 配置ca_config_PAA.txt定义了 Matter Product 认证机构 (PAA)，供应商 ID (VID) 设置为。FFF1

文件：ca_c PAA onfig_ .txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

撤销配置启用CRLs并将 CA 配置为省略所有已颁发的证书CDPURL中的默认值。

文件：revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

命令

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

如果成功，此命令将输出 CA 的 Amazon 资源名称 (ARN)。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

使用以下命令检查 CA 的配置。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

此描述应包含以下部分。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...