在 中建立私有 CA AWS Private CA - AWS Private Certificate Authority

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中建立私有 CA AWS Private CA

您可以使用本節中的程序來建立根 CAs 或下級 CAs,進而產生符合您組織需求的可稽核信任關係階層。您可以使用 AWS Management Console、 AWS CLI或 的 PCA 部分來建立 CA AWS CloudFormation。

如需更新已建立 CA 組態的相關資訊,請參閱 在 中更新私有 CA AWS Private Certificate Authority

如需使用 CA 為您的使用者、裝置和應用程式簽署最終實體憑證的相關資訊,請參閱 發出私有終端實體憑證

注意

從您帳戶的建立時間開始,會針對每個私有 CA 每月向您收取費用。

如需最新的 AWS 私有 CA 定價資訊,請參閱AWS Private Certificate Authority 定價。您也可以使用AWS 定價計算器來估算成本。

Console
使用 主控台建立私有 CA
  1. 完成下列步驟,使用 建立私有 CA AWS Management Console。

    開始使用主控台

    登入 AWS 您的帳戶,並在 開啟 AWS 私有 CA 主控台https://console.aws.amazon.com/acm-pca/home

    • 如果您在沒有私有 CAs 的區域中開啟主控台,則會顯示簡介頁面。選擇建立私有 CA

    • 如果您要在已建立 CA 的區域中開啟主控台,則私有憑證授權單位頁面會開啟並顯示您的 CAs 清單。選擇建立 CA

  2. 模式選項下,選擇 CA 發行之憑證的過期模式。

    • 一般用途 – 發出可設定任何過期日期的憑證。此為預設值。

    • 短期憑證 – 發出最長有效期為七天的憑證。在某些情況下,較短的有效期可以取代撤銷機制。

  3. 在主控台的類型選項區段中,選擇要建立的私有憑證授權機構類型。

    • 選擇會建立新的 CA 階層。這個 CA 是以自我簽署的憑證為基礎的。它可作為階層中其他 CAs 和端點實體憑證的最終簽署授權。

    • 選擇下屬會建立 CA,該 CA 必須由階層中其上方的父 CA 簽署。下行 CAs 通常用於建立其他下行 CAs 或向使用者、電腦和應用程式發出最終實體憑證。

      注意

      AWS 私有 CA 當您下屬 CA 的父 CA 也由 託管時, 會提供自動簽署程序 AWS 私有 CA。您只需選擇要使用的父 CA。

      您的下級 CA 可能需要由外部信任服務提供者簽署。如果是這樣, AWS 私有 CA 會為您提供憑證簽署請求 (CSR),您必須下載並使用該請求來取得已簽章的 CA 憑證。如需詳細資訊,請參閱安裝由外部父 CA 簽署的下級 CA 憑證

  4. 主題區分名稱選項下,設定私有 CA 的主題名稱。您必須至少為下列其中一個選項輸入值:

    • Organization (O) – 例如,公司名稱

    • Organization Unit (OU) – 例如,公司內的一個部門

    • 國家名稱 (C) – 兩個字母的國家代碼

    • 州或省名稱 – 州或省的全名

    • 地區名稱 – 城市的名稱

    • 一般名稱 (CN) – 識別 CA 的人類可讀取字串。

    注意

    您可以在發出時套用 APIPassthrough 範本,以進一步自訂憑證的主題名稱。如需詳細資訊和詳細範例,請參閱 使用 APIPassthrough 範本發行具有自訂主題名稱的憑證

    由於備份憑證是自我簽署的,因此您為私有 CA 提供的主題資訊可能比公有 CA 包含的內容更為稀疏。如需構成受試者識別名稱的每個值的詳細資訊,請參閱 RFC 5280

  5. 金鑰演算法選項下,選擇金鑰演算法和金鑰的位元大小。預設值是 RSA 演算法,金鑰長度為 2048 位元。您可以從下列演算法中選擇:

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. 憑證撤銷選項下,您可以選擇兩種與使用憑證的用戶端共用撤銷狀態的方法:

    • 啟用 CRL 分佈

    • 開啟 OCSP

    您可以為 CA 設定這些撤銷選項,兩者或兩者都無法設定。雖然為選用,但建議使用 受管撤銷作為最佳實務。在完成此步驟之前,請參閱 規劃您的 AWS Private CA 憑證撤銷方法 以取得每個方法的優點、可能需要的初步設定,以及其他撤銷功能的相關資訊。

    注意

    如果您在未設定撤銷的情況下建立 CA,您可以隨時稍後進行設定。如需詳細資訊,請參閱在 中更新私有 CA AWS Private Certificate Authority

    若要設定憑證撤銷選項,請執行下列步驟。

    1. 憑證撤銷選項下,選擇啟用 CRL 分發

    2. 若要為您的 CRL 項目建立 Amazon S3 儲存貯體,請選擇建立新的 S3 儲存貯體,然後輸入唯一的儲存貯體名稱。(您不需要包含指向儲存貯體的路徑。) 否則,在 S3 儲存貯體 URI 下,從清單中選擇現有的儲存貯體。

      當您透過主控台建立新儲存貯體時, AWS 私有 CA 會嘗試將所需的存取政策連接至儲存貯體,並停用其上的 S3 預設封鎖公開存取 (BPA) 設定。如果您改為指定現有的儲存貯體,則必須確保 BPA 已針對帳戶和儲存貯體停用。否則,建立 CA 的操作會失敗。如果成功建立 CA,您仍然必須手動連接政策,才能開始產生 CRLs。使用 中所述的其中一個政策模式Amazon S3 CRLs中的 存取政策 。如需詳細資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策。

      重要

      如果符合下列所有條件,則嘗試使用 AWS 私有 CA 主控台建立 CA 失敗:

      • 您正在設定 CRL。

      • 您 AWS 私有 CA 要求 自動建立 S3 儲存貯體。

      • 您正在 S3 中強制執行 BPA 設定。

      在這種情況下,主控台會建立儲存貯體,但會嘗試 ,且 無法公開存取。如果發生這種情況,請檢查您的 Amazon S3 設定,視需要停用 BPA,然後重複建立 CA 的程序。如需詳細資訊,請參閱封鎖對 Amazon S3 儲存體的公開存取

    3. 展開其他組態選項的 CRL 設定

      • 新增自訂 CRL 名稱,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在 CA 在 RFC 5280 定義的「CRL Distribution Points」延伸中發行的憑證中。

      • 輸入 CRL 將保持有效的有效天數。預設值為 7 天。對於線上 CRLs,2-7 天的有效期很常見。 AWS 私有 CA 會嘗試在指定期間的中點重新產生 CRL。

    4. 展開儲存貯體版本控制儲存貯體存取記錄的選用組態的 S3 設定

  7. 針對憑證撤銷選項,選擇開啟 OCSP

    1. 自訂 OCSP 端點 - 選用欄位中,您可以為非 Amazon OCSP 端點提供完整網域名稱 (FQDN)。

      當您在此欄位中提供 FQDN 時, 會將 FQDN AWS 私有 CA 插入每個發行憑證的 Authority Information Access 延伸模組中,以取代 URL 回應程式的預設 AWS OCSP。當端點收到包含自訂 FQDN 的憑證時,它會查詢 OCSP 回應的定址。若要讓此機制正常運作,您需要採取兩個額外動作:

      • 使用代理伺服器將到達自訂 FQDN 的流量轉送至 AWS OCSP 回應程式。

      • 將對應的 CNAME 記錄新增至您的 DNS 資料庫。

      提示

      如需使用自訂 OCSP 實作完整 CNAME 解決方案的詳細資訊,請參閱 自訂 OCSP URL 的 AWS Private CA

      例如,這是自訂 CNAME 的 OCSP 記錄,如 Amazon Route 53 所示。

      記錄名稱 Type 路由政策 差異化器 值/將流量路由到

      alternative.example.com

      CNAME 簡便 - proxy.example.com
      注意

      CNAME 的值不得包含通訊協定字首,例如 "http://" 或 "https://".

  8. 新增標籤下,您可以選擇標記您的 CA。標籤是做為中繼資料的鍵/值對,可用來識別和整理 AWS 資源。如需 AWS 私有 CA 標籤參數的清單,以及如何在建立後將標籤新增至 CAs 的指示,請參閱 為您的私有 CA 新增標籤

    注意

    若要在建立程序期間將標籤連接至私有 CA,CA 管理員必須先將內嵌 IAM 政策與 CreateCertificateAuthority動作建立關聯,並明確允許標記。如需詳細資訊,請參閱Tag-on-create:建立時將標籤連接至 CA

  9. CA 許可選項下,您可以選擇將自動續約許可委派給 AWS Certificate Manager 服務主體。只有在授予此許可時,ACM 才能自動續約此 CA 產生的私有終端實體憑證。您可以隨時使用 AWS 私有 CA CreatePermission API或 create-permission CLI 命令指派續約許可。

    預設是啟用這些許可。

    注意

    AWS Certificate Manager 不支援自動續約短期憑證。

  10. 定價下,確認您了解私有 CA 的定價。

    注意

    如需最新的 AWS 私有 CA 定價資訊,請參閱AWS Private Certificate Authority 定價。您也可以使用AWS 定價計算器來估算成本。

  11. 檢查所有輸入資訊的準確性後,請選擇建立 CA。CA 的詳細資訊頁面會開啟,並將其狀態顯示為待定憑證

    注意

    在詳細資訊頁面上,您可以選擇動作安裝 CA 憑證,或稍後返回私有憑證授權機構清單,並完成適用於您案例的安裝程序,以完成設定 CA:

CLI

使用 create-certificate-authority 命令建立私有 CA。您必須指定 CA 組態 (包含演算法和主體名稱資訊)、撤銷組態 (如果您打算使用 OCSP 和/或 CRL),以及 CA 類型 (根或下級)。組態和撤銷組態詳細資訊包含在兩個檔案中,您提供這些檔案作為 命令的引數。您也可以選擇性地設定 CA 用量模式 (用於發出標準或短期憑證)、連接標籤,並提供不透明度權杖。

如果您要設定 CRL,則必須先有安全的 Amazon S3 儲存貯體,才能發出create-certificate-authority命令。如需詳細資訊,請參閱Amazon S3 CRLs中的 存取政策

CA 組態檔案會指定下列資訊:

  • 演算法的名稱

  • 用於建立 CA 私密金鑰的金鑰大小

  • CA 用於簽署的簽署演算法類型

  • X.500 主旨資訊

OCSP 的撤銷組態定義具有下列資訊的OcspConfiguration物件:

  • Enabled 旗標設定為「true」。

  • (選用) 宣告為 值的自訂 CNAMEOcspCustomCname

CRL 的撤銷組態定義具有下列資訊的CrlConfiguration物件:

  • Enabled 旗標設定為「true」。

  • CRL 過期期間,以天為單位 (CRL 的有效期)。

  • 將包含 CRL 的 Amazon S3 儲存貯體。

  • (選用) S3ObjectAcl 值,用於判斷 CRL 是否可公開存取。在此範例中,公開存取遭到封鎖。如需詳細資訊,請參閱使用 啟用 S3 Block Public Access (BPA) CloudFront

  • (選用) S3 儲存貯體的 CNAME 別名,包含在 CA 發行的憑證中。如果無法公開存取 CRL,這將指向分佈機制,例如 Amazon CloudFront。

  • (選用) 具有下列資訊的CrlDistributionPointExtensionConfiguration物件:

    • OmitExtension 旗標設定為「true」或「false」。這會控制 CDP 延伸項目的預設值是否寫入 CA 發行的憑證。如需 CDP 延伸模組的詳細資訊,請參閱 判斷CRL分佈點 (CDP) URI 。如果 CustomCname 為「true」,則無法設定 A OmitExtension 。

注意

您可以透過定義OcspConfiguration物件和CrlConfiguration物件,在相同的 CA 上啟用這兩個撤銷機制。如果您未提供--revocation-configuration參數,則預設會停用這兩個機制。如果您稍後需要撤銷驗證支援,請參閱 更新 CA (CLI)

如需 CLI 範例,請參閱下一節。

建立私有 CA 的 CLI 範例

下列範例假設您已使用有效的預設區域、端點和憑證設定.aws組態目錄。如需設定 AWS CLI 環境的相關資訊,請參閱組態和憑證檔案設定。為了便於讀取,我們在範例命令中提供 CA 組態和撤銷輸入作為 JSON 檔案。視需要修改範例檔案以供您使用。

除非另有說明,否則所有範例都使用下列ca_config.txt組態檔案。

檔案:ca_config.txt

{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"www.example.com" } }

範例 1:建立已啟用 OCSP 的 CA

在此範例中,撤銷檔案會啟用預設 OCSP 支援,此支援會使用 AWS 私有 CA 回應程式來檢查憑證狀態。

檔案: revoke_config.txt for OCSP

{ "OcspConfiguration":{ "Enabled":true } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA

如果成功,此命令會輸出新 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:region:account: certificate-authority/CA_ID" }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-2

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

"RevocationConfiguration": { ... "OcspConfiguration": { "Enabled": true } ... }

範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA

在此範例中,撤銷檔案會啟用自訂的 OCSP 支援。OcspCustomCname 參數以完整網域名稱 (FQDN) 作為其值。

當您在此欄位中提供 FQDN 時, 會將 FQDN AWS 私有 CA 插入每個發行憑證的 Authority Information Access 延伸模組中,以取代 URL 回應程式的預設 AWS OCSP。當端點收到包含自訂 FQDN 的憑證時,它會查詢 OCSP 回應的定址。若要讓此機制正常運作,您需要採取兩個額外動作:

  • 使用代理伺服器將到達自訂 FQDN 的流量轉送至 AWS OCSP 回應程式。

  • 將對應的 CNAME 記錄新增至您的 DNS 資料庫。

提示

如需使用自訂 OCSP 實作完整 CNAME 解決方案的詳細資訊,請參閱 自訂 OCSP URL 的 AWS Private CA

例如,這是自訂 CNAME 的 OCSP 記錄,如 Amazon Route 53 所示。

記錄名稱 Type 路由政策 差異化器 值/將流量路由到

alternative.example.com

CNAME 簡便 - proxy.example.com
注意

CNAME 的值不得包含通訊協定字首,例如 "http://" 或 "https://".

檔案: revoke_config.txt for OCSP

{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"alternative.example.com" } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-3

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

"RevocationConfiguration": { ... "OcspConfiguration": { "Enabled": true, "OcspCustomCname": "alternative.example.com" } ... }

範例 3:使用連接的 CRL 建立 CA

在此範例中,撤銷組態會定義 CRL 參數。

檔案: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "S3BucketName":"amzn-s3-demo-bucket" } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket" }, ... }

範例 4:建立已啟用連接 CRL 和自訂 CNAME 的 CA

在此範例中,撤銷組態會定義包含自訂 CRL 的 CNAME 參數。

檔案: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "CustomCname": "alternative.example.com", "S3BucketName":"amzn-s3-demo-bucket" } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "CustomCname": "alternative.example.com", "S3BucketName": "amzn-s3-demo-bucket", ... } }

範例 5:建立 CA 並指定使用模式

在此範例中,在建立 CA 時指定 CA 用量模式。如果未指定,則使用模式參數預設為 GENERAL_PURPOSE。在此範例中, 參數設定為 SHORT_LIVED_CERTIFICATE,這表示 CA 將發行最長為七天的憑證。在設定撤銷不方便的情況下,快速遭到入侵的短期憑證會過期,這是正常操作的一部分。因此,此範例 CA 缺少撤銷機制。

注意

AWS 私有 CA 不會對根 CA 憑證執行有效性檢查。

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

使用 中的 describe-certificate-authority命令 AWS CLI 來顯示所產生 CA 的詳細資訊,如下列命令所示:

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"www.example.com" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...

範例 6:為 Active Directory 登入建立 CA

您可以建立適合在 Microsoft Active Directory (AD) 的 Enterprise NTAuth 存放區中使用的私有 CA,在該處可以發行卡片登入或網域控制程式憑證。如需將 CA 憑證匯入 AD 的資訊,請參閱如何將第三方憑證授權機構 (CA) 憑證匯入 Enterprise NTAuth 存放區

Microsoft certutil 工具可透過叫用 -dspublish選項,在 AD 中發佈 CA 憑證。在整個樹系中信任使用 certutil 發佈至 AD 的憑證。您也可以使用群組政策,將信任限制為整個樹系的子集,例如網域中的單一網域或一組電腦。若要讓登入正常運作,發行 CA 也必須在 NTAuth 存放區中發佈。如需詳細資訊,請參閱使用群組政策將憑證分發至用戶端電腦

此範例使用下列ca_config_AD.txt組態檔案。

檔案:ca_config_AD.txt

{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config_AD.txt \ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...

範例 7:使用連接的 CRL 和從發行的憑證中省略的 CDP 延伸來建立 Matter CA

您可以建立適合為 Matter 智慧家庭標準發出憑證的私有 CA。在此範例中, 中的 CA 組態ca_config_PAA.txt定義了 Matter Product Attestation Authority (PAA),其中供應商 ID (VID) 設定為 FFF1。

檔案:ca_config_PAA.txt

{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"SmartHome", "State":"WA", "Locality":"Seattle", "CommonName":"Example Corp Matter PAA", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1" } ] } }

撤銷組態會啟用 CRLs,並設定 CA 從URL任何發行的憑證中省略預設的 CDP。

檔案: revoke_config.txt

{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":7, "S3BucketName":"amzn-s3-demo-bucket", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }

命令

$ aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config_PAA.txt \ --revocation-configuration file://revoke_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 \ --tags Key=Name,Value=MyPCA-1

如果成功,此命令會輸出 CA 的 Amazon Resource Name (ARN)。

{ "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }

使用下列命令來檢查 CA 的組態。

$ aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json

此描述應包含下列區段。

"RevocationConfiguration": { ... "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } }, ... } ...