本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中更新私有 CA AWS 私有证书颁发机构
创建私有 CA 后,您可以更新其状态或更改其[吊销配置](revocation-setup.md)。本主题提供有关 CA 状态和 CA 生命周期的详细信息,以及控制台和 CLI 更新的示例 CAs。
## 更新 CA(控制台)
以下过程说明如何使用 AWS 管理控制台更新现有 CA 配置。
### 更新 CA 状态(控制台)
在此示例中,已启用 CA 的状态更改为已禁用。
**更新 CA 的状态**
1. 登录您的 AWS 账户并在[https://console.aws.amazon.com/acm-pca/家](https://console.aws.amazon.com/acm-pca/home)中打开主 AWS 私有 CA 机
1. 在**私有证书颁发机构**页面上,从列表中选择当前处于活动状态的私有 CA。
1. 在**操作**菜单上,选择**禁用**以禁用私有 CA。
### 更新 CA 的吊销配置(控制台)
您可以更新私有 CA 的[吊销配置](revocation-setup.md),例如,通过添加或删除 OCSP 或 CRL 支持,或者通过修改其设置。
**注意**
对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。
对于 OCSP,您可以更改以下设置:
+ 启用或禁用 OCSP。
+ 启用或禁用自定义 OCSP 完全限定域名(FQDN)。
+ 更改 FQDN。
对于 CRL,您可以更改以下任何设置:
+ CRL 类型(完整或分区)
+ 私有 CA 是否生成证书吊销列表 (CRL)
+ CRL 过期前的天数。请注意, AWS 私有 CA 开始尝试在您指定的天数的 ½ 时重新生成 CRL。
+ 保存了您的 CRL 的 Amazon S3 桶的名称。
+ 用于在公共视图中隐藏 Amazon S3 桶名称的别名。
**重要**
更改上述任何参数可能具有负面影响。示例包括在将私有 CA 投入生产后禁用 CRL 生成、更改有效期或更改 S3 桶。此类更改可能会破坏依赖于 CRL 和当前 CRL 配置的现有证书。更改别名可以安全地完成,只要旧别名保持链接到正确的存储桶。
**更新吊销设置**
1. 登录您的 AWS 帐户并在[https://console.aws.amazon.com/acm-pca/家](https://console.aws.amazon.com/acm-pca/home)中打开主 AWS 私有 CA 机。
1. 在**私有证书颁发机构**页面上,从列表中选择一个私有 CA。这将打开 CA 的详细信息面板。
1. 选择**吊销配置**选项卡,然后选择**编辑**。
1. 在**证书吊销选项**下,显示两个选项:
+ **激活 CRL 分配**
+ **打开 OCSP**
您可以为 CA 配置这两个吊销机制中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为[最佳实践](ca-best-practices.md)。在完成此步骤之前,请参阅 [规划您的 AWS 私有 CA 证书吊销方法](revocation-setup.md),了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。
#### 配置 CRL
1. 选择**激活 CRL 分配**。
1. 要为您的 CRL 条目创建 Amazon S3 桶,请选择**创建新的 S3 桶**。提供唯一的桶名称。(不需要包括存储桶的路径。) 否则,请取消选中此选项,然后从 **S3 存储桶名称**列表中选择现有桶。
如果您创建了新的存储桶,则 AWS 私有 CA 会创建[所需的访问策略](crl-planning.md#s3-policies)并将其附加到该存储桶。如果您决定使用现有存储桶,则必须先为其附加访问策略,然后才能开始生成 CRLs。使用 [亚马逊 S3 CRLs 中的访问策略](crl-planning.md#s3-policies) 中所述的策略模式之一。有关附加策略的信息,请参阅[使用 Amazon S3 控制台添加桶策略](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。
**注意**
使用 AWS 私有 CA 控制台时,如果以下两个条件都适用,则尝试创建 CA 将失败:
您正在对您的 Amazon S3 桶或账户强制执行阻止公共访问设置。
您要求 AWS 私有 CA 自动创建 Amazon S3 存储桶。
在这种情况下,控制台默认会尝试创建可公共访问的桶,而 Amazon S3 会拒绝此操作。如果发生这种情况,请检查您的 Amazon S3 设置。有关更多信息,请参阅[阻止对您的 Amazon S3 存储的公共访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。
1. 展开**高级**以获取其他配置选项。
+ 选择 “**启用分区**” 以启用分区。 CRLs[如果您不启用分区,则您的 CA 将遵守配额上显示的已吊销证书的最大数量。AWS 私有证书颁发机构](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)有关分区的更多信息 CRLs,请参阅 [CRL 类型](crl-planning.md#crl-type)。
+ 添加**自定义 CRL 名称**可为 Amazon S3 桶创建别名。此名称包含在由 CA 颁发的证书的“CRL 分配点”扩展中(由 RFC 5280 定义)。[要重新使用 IPv6,请按照 Using ov CRLs er 中所述将其设置为存储桶的 dualstack S3 终端节点。 CRLs IPv6](crl-planning.md#crl-ipv6)
+ 添加**自定义路径**,为您的 Amazon S3 存储桶中的文件路径创建 DNS 别名。
+ 键入**有效期(以天为单位**),您的 CRL 将保持有效。默认值为 7 天。对于在线 CRLs版,有效期通常为 2-7 天。 AWS 私有 CA 尝试在指定周期的中点重新生成 CRL。
1. 完成后,选择**保存更改**。
#### 配置 OCSP
1. 在**证书吊销**页面上,选择**打开 OCSP**。
1. (可选)在**自定义 OCSP 端点**字段中,为您的 OCSP 端点提供完全限定的域名(FQDN)。要使用 OCSP IPv6,请将此字段设置为双栈端点,如[使用](ocsp-customize.md#ocsp-ipv6) OCSP over 中所述。 IPv6
在此字段中提供 FQDN 时,将 FQDN AWS 私有 CA 插入到每个已颁发证书的*授权信息访问*扩展插件中,以代替 AWS OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:
+ 使用代理服务器将到达您的自定义 FQDN 的流量转发给 AWS OCSP 响应器。
+ 将相应的 CNAME 记录添加到您的 DNS 数据库。
**提示**
有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 [自定义 OCSP 网址 AWS 私有 CA](ocsp-customize.md)。
例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/PCAUpdateCA.html)
**注意**
CNAME 的值不得包含协议前缀,例如“http://”或“https://”。
1. 完成后,选择**保存更改**。
## 更新 CA(CLI)
以下过程说明如何使用 AWS CLI更新现有 CA 的状态和[吊销配置](revocation-setup.md)。
**注意**
对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。
**更新私有 CA 的状态(AWS CLI)**
使用 [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 命令。
当您的现有 CA 状态为 `DISABLED` 且您希望将其设置为 `ACTIVE` 时,这非常有用。首先,使用以下命令确认 CA 的初始状态。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
这会产生类似于以下内容的输出。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
以下命令将私有 CA 的状态设置为 `ACTIVE`。仅当在 CA 上安装了有效证书时,才可能实现此目的。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
检查 CA 的新状态。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
状态现在显示为 `ACTIVE`。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
在某些情况下,您的活动 CA 可能没有配置吊销机制。如果要开始使用证书吊销列表(CRL),请按以下过程操作。
**向现有 CA 添加 CRL(AWS CLI)**
1. 使用以下命令检查 CA 的当前状态。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
输出确认 CA 的状态为 `ACTIVE` 但未配置为使用 CRL。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. 创建并保存一个名为 `revoke_config.txt` 的文件来定义 CRL 配置参数。
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**注意**
更新 Matter 设备认证 CA 以启用时 CRLs,必须将其配置为在已颁发的证书中省略 CDP 扩展,以帮助符合当前 Matter 标准。为此,请定义您的 CRL 配置参数,如下所示:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. 使用[update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)命令和吊销配置文件更新 CA。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. 再次检查 CA 的状态。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
输出确认 CA 现已配置为使用 CRL。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
在某些情况下,您可能希望添加 OCSP 吊销支持,而不是像前面的过程那样启用 CRL。在这种情况下,请使用以下步骤。
**为现有 CA 添加 OCSP 支持(AWS CLI)**
1. 创建并保存一个名为 `revoke_config.txt` 的文件来定义 OCSP 参数。
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. 使用[update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html)命令和吊销配置文件更新 CA。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. 再次检查 CA 的状态。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
输出确认 CA 现已配置为使用 OCSP。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**注意**
您也可以在 CA 上同时配置 CRL 和 OCSP 支持。