本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 中更新私有 CA AWS Private Certificate Authority
您可以在建立私有 CA 之後更新私有 CA 狀態或變更其撤銷組態。本主題提供有關 CA 狀態和 CA 生命週期的詳細資訊,以及主控台和 CLI 更新的範例CAs。
更新 CA (主控台)
下列程序說明如何使用 更新現有的 CA 組態 AWS Management Console。
更新 CA 狀態 (主控台)
在此範例中,已啟用 CA 的狀態已變更為已停用。
更新 CA 的狀態
-
登入 AWS 您的帳戶並在 https://console.aws.amazon.com/acm-pca/ 首頁
開啟 AWS 私有 CA 主控台 -
在私有憑證授權單位頁面上,從清單中選擇目前作用中的私有 CA。
-
在動作功能表中,選擇停用以停用私有 CA。
更新 CA 的撤銷組態 (主控台)
您可以更新私有 CA 的撤銷組態,例如新增或移除 OCSP 或 CRL 支援,或修改其設定。
注意
CA 的撤銷組態變更不會影響已發行的憑證。若要讓受管撤銷正常運作,必須重新發行較舊的憑證。
對於 OCSP,您可以變更下列設定:
-
啟用或停用 OCSP。
-
啟用或停用自訂 OCSP 完整網域名稱 (FQDN)。
-
變更 FQDN。
對於 CRL,您可以變更下列任何設定:
-
私有 CA 是否產生憑證撤銷清單 (CRL)
-
CRL 過期之前的天數。請注意, AWS 私有 CA 會在您指定的天數的一半時開始嘗試重新產生 CRL。
-
儲存 CRL 的 Amazon S3 儲存貯體名稱。
-
從公有檢視中隱藏 Amazon S3 儲存貯體名稱的別名。
重要
變更任何上述參數可能會產生負面影響。範例包括停用 CRL 產生、變更有效期,或在您將私有 CA 置於生產環境之後變更 S3 儲存貯體。此類變更可能會破壞取決於 CRL 和目前 CRL 組態的現有憑證。您可以安全地變更別名,只要舊別名仍連結到正確的儲存貯體。
更新撤銷設定
-
登入 AWS 您的帳戶並在 https://console.aws.amazon.com/acm-pca/ 首頁
開啟 AWS 私有 CA 主控台。 -
在私有憑證授權單位頁面上,從清單中選擇私有 CA。這會開啟 CA 的詳細資訊面板。
-
選擇撤銷組態索引標籤,然後選擇編輯。
-
在憑證撤銷選項下,會顯示兩個選項:
-
啟用 CRL 分佈
-
開啟 OCSP
您可以為 CA 設定這些撤銷機制,兩者或兩者都無法設定。雖然為選用,但建議使用 受管撤銷作為最佳實務。在完成此步驟之前,請參閱 規劃您的 AWS Private CA 憑證撤銷方法 以取得每個方法的優點、可能需要的初步設定,以及其他撤銷功能的相關資訊。
-
-
選取啟用 CRL 分佈。
-
若要為您的 CRL 項目建立 Amazon S3 儲存貯體,請選取建立新的 S3 儲存貯體。提供唯一的儲存貯體名稱。(您不需要包含指向儲存貯體的路徑。) 否則,請保留未選取此選項,並從 S3 儲存貯體名稱清單中選擇現有的儲存貯體。
如果您建立新的儲存貯體, 會 AWS 私有 CA 建立必要的存取政策並將其附接。如果您決定使用現有的儲存貯體,您必須先連接存取政策,才能開始產生 CRLs。使用 中所述的其中一個政策模式Amazon S3 CRLs中的 存取政策 。如需連接政策的相關資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策。
注意
使用 AWS 私有 CA 主控台時,如果同時符合下列兩個條件,則嘗試建立 CA 會失敗:
-
您正在 Amazon S3 儲存貯體或帳戶上執行封鎖公開存取設定。
-
您要求自動 AWS 私有 CA 建立 Amazon S3 儲存貯體。
在這種情況下,主控台會嘗試建立可公開存取的儲存貯體,而 Amazon S3 會拒絕此動作。如果發生這種情況,請檢查您的 Amazon S3 設定。如需詳細資訊,請參閱封鎖對 Amazon S3 儲存體的公開存取。
-
-
展開 Advanced (進階) 以取得其他組態選項。
-
新增自訂 CRL 名稱,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在 CA 在 Word RFC5280 定義的「CRL Distribution Points」延伸中發行的憑證中。
-
輸入您的 CRL 將保持有效的天數。預設值為 7 天。對於線上 CRLs,2-7 天的有效期為常見。 AWS 私有 CA 會嘗試在指定期間中點重新產生 CRL。
-
-
完成後,選擇儲存變更。
-
在憑證撤銷頁面上,選擇開啟 OCSP。
-
(選用) 在自訂 OCSP 端點欄位中,提供 OCSP 端點的完整網域名稱 (FQDN)。
當您在此欄位中提供 FQDN 時, 會將 FQDN AWS 私有 CA 插入每個發行憑證的 Authority Information Access 延伸模組中,以取代 URL 回應程式的預設 AWS OCSP。當端點收到包含自訂 FQDN 的憑證時,它會查詢 OCSP 回應的定址。若要讓此機制正常運作,您需要採取兩個額外動作:
-
使用代理伺服器將到達自訂 FQDN 的流量轉送至 AWS OCSP 回應程式。
-
將對應的 CNAME 記錄新增至您的 DNS 資料庫。
提示
如需使用自訂 OCSP 實作完整 CNAME 解決方案的詳細資訊,請參閱 自訂 OCSP URL 的 AWS Private CA。
例如,這是自訂 CNAME 的 OCSP 記錄,如 Amazon Route 53 所示。
記錄名稱 Type 路由政策 差異化器 值/將流量路由到 alternative.example.com
CNAME 簡便 - proxy.example.com 注意
CNAME 的值不得包含通訊協定字首,例如 "http://" 或 "https://".
-
-
完成後,選擇儲存變更。
更新 CA (CLI)
下列程序說明如何使用 更新現有 CA 的狀態和撤銷組態 AWS CLI。
注意
CA 撤銷組態的變更不會影響已發行的憑證。若要讓受管撤銷正常運作,必須重新發行較舊的憑證。
更新私有 CA 的狀態 (AWS CLI)
使用 update-certificate-authority 命令。
當您具有要設定為 的現有 CA 狀態時DISABLED,這很有用ACTIVE。若要開始,請使用下列命令確認 CA 的初始狀態。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
這會產生類似下列的輸出。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}下列命令會將私有 CA 的狀態設定為 ACTIVE。只有在 CA 上安裝有效的憑證時,才能這麼做。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
檢查 CA 的新狀態。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
狀態現在顯示為 ACTIVE。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}在某些情況下,您可能有作用中的 CA,未設定撤銷機制。如果您想要開始使用憑證撤銷清單 (CRL),請使用下列程序。
將 CRL 新增至現有的 CA (AWS CLI)
-
使用下列命令來檢查 CA 的目前狀態。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json輸出確認 CA 具有狀態,
ACTIVE但未設定為使用 CRL。{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
建立並儲存名稱為 的檔案,例如
revoke_config.txt定義 CRL 組態參數。{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }注意
更新 Matter 裝置證明 CA 以啟用 CRLs 時,您必須將其設定為從發行的憑證中省略 CDP 延伸,以協助符合目前的 Matter 標準。若要這麼做,請定義您的 CRL 組態參數,如下所示:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
使用 update-certificate-authority 命令和撤銷組態檔案來更新 CA。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
再次檢查 CA 的狀態。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json輸出會確認 CA 現在已設定為使用 CRL。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }在某些情況下,您可能想要新增 OCSP 撤銷支援,而不是如上一個程序一樣啟用 CRL。在這種情況下,請使用下列步驟。
將 OCSP 支援新增至現有 CA (AWS CLI)
-
建立並儲存名稱為 的檔案,例如
revoke_config.txt來定義 OCSP 參數。{ "OcspConfiguration":{ "Enabled":true } } -
使用 update-certificate-authority 命令和撤銷組態檔案來更新 CA。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
再次檢查 CA 的狀態。
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json輸出會確認 CA 現在設定為使用 OCSP。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
注意
您也可以在 CA 上同時設定 CRL 和 OCSP 支援。
