本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 查看私有 CA 您可以使用 ACM 控制台或查看有关私有 CA 的详细元数据,并根据需要更改其中的几个值。 AWS CLI 有关更新的详细信息CAs,请参阅[在中更新私有 CA AWS 私有证书颁发机构](PCAUpdateCA.md)。 **在控制台中查看 CA 详细信息** 1. 登录您的 AWS 帐户并在[https://console.aws.amazon.com/acm-pca/家](https://console.aws.amazon.com/acm-pca/home)中打开主 AWS 私有 CA 机。 1. 查看**私有证书颁发机构**列表。您可以使用右上角的 CAs 页码浏览多页。 1. 要显示所列 CA 的详细元数据,请选择您要检查的 CA 旁边的单选按钮。这将打开一个包含以下选项卡式视图的详细信息窗格: + **使用者**选项卡 – 有关 CA 的可分辨名称的信息。有关更多信息,请参阅 [Subject distinguished name](create-CA.md#PcaCreateCaName)。显示的字段包括: + **使用者** – 提供的名称信息字段摘要 + **组织(O)**– 例如,公司名称 + **组织单位(OU)**– 例如,公司内部的部门 + **国家/地区名称(C)**– 两个字母的国家/地区代码 + **州或省名称** – 州或省的全名 + **所在地名称** – 城市的名称 + **公用名 (CN)** — 用于标识 CA 的人类可读字符串。 + **CA 证书**选项卡 – 有关 CA 证书有效性的信息 + **有效期至** – CA 证书在此之前有效的日期和时间 + **到期时间** – 证书到期前的天数 + **吊销配置**选项卡 – 您当前选择的证书吊销选项。选择**编辑**进行更新。 + **证书吊销列表(CRL)分配** – 状态为**已启用**或**已禁用** + **在线证书状态协议(OCSP)** – 状态为**已启用**或**已禁用** + **权限**选项卡 – 您当前通过 AWS Certificate Manager (ACM)为此 CA 选择的证书续订权限。选择**编辑**进行更新。 + **ACM 续订授权** – 状态为已授权或未授权 + **标签**选项卡 – 您当前为此 CA 分配的可自定义标签。选择**管理标签**以更新。 + “**资源共享**” 选项卡 — 您当前通过 AWS Resource Access Manager (RAM) 为此 CA 分配的资源共享。选择**管理资源共享**以更新。 + **名称** – 资源共享的名称 + **状态** – 资源共享的状态 1. 选择要检查的 CA 的 **ID** 字段以打开**常规**窗格。CA 的 32 字节十六进制唯一标识符将在顶部显示。该窗格提供以下附加信息: + **状态** – CA 状态。可能的值为**正在创建**、**待处理证书**、**活动**、**已删除**、**已禁用**、**已过期**和**失败**。 + **ARN** – CA 的 [Amazon 资源名称](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 + **所有者**-拥有 CA 的 AWS 账户。这可能是您的账户(**自己**),也可能是向您委派 CA 管理权限的账户。 + **CA 类型** – CA 的类型。可能的值为**根**和**从属**。 + **创建时间** – 创建 CA 的日期和时间。 + **过期日期** – CA 证书过期的日期和时间。 + **模式** – CA 的模式。可能的值为**通用**(可配置为任何到期日期的证书)和**短期证书**(最长有效期为七天的证书)。在某些情况下,较短的有效期可以取代吊销机制。默认值为**通用**。 + **密钥算法** – CA 支持的公有密钥算法。****可能的值是 **ML-DSA-44**、**ML-DSA-65**、**ML-DSA-87**、**RSA 2048、RSA** **3072、RSA 4096、ECDSA** **P256、ECDSA** **P384 和 ECDSA P** 521。**** + **签名算**法 — CA 用来签署自己的证书签名请求和 OCSP 响应的算法(不要与 IssueCertificate API 中使用的`SigningAlgorithm`参数混淆。) CRLs ****可能的值是 **ML-DSA-44**、**ML-DSA-65**、**ML-DSA-87**、RSA、RSA 和 **SHA256 RSA、ECDSA**、ECD **SHA384 SA**、ECDSA、ECD **SHA512 SA**、**SHA256 ECD** SA SHA384 SHA512 **** + **密钥存储安全标准**-符合联邦信息处理标准 (FIPS) 的级别。**你可以从以下值中进行选择:**FIPS 140-2 等级 2 或更高**、**FIPS 140-2 3 级或更高,以及 CCPC 等级 1 或更高**。**此参数因 AWS 地区而异。 **注意** 从 2023 年 1 月 26 日起, AWS 私有证书颁发机构使用符合 FIPS PUB 140-2 Level 3 的硬件安全模块 (HSMs) 保护非中国地区的所有 CA 私钥。 **要查看和修改 CA 详细信息,请使用 AWS CLI** 使用 AWS CLI 中的 [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html) 命令显示有关 CA 的详细信息,如以下命令所示: ``` $ aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID ``` 命令返回类似于下文的信息: ``` { "CertificateAuthority":{ "Arn":"arn:aws:acm:region:account:certificate-authority/CA_ID", "CreatedAt":"2022-05-02T11:59:02.022000-07:00", "LastStateChangeAt":"2022-05-02T11:59:18.498000-07:00", "Type":"ROOT", "Serial":"serial_number", "Status":"ACTIVE", "NotBefore":"2022-05-02T10:59:17-07:00", "NotAfter":"2031-05-02T11:59:17-07:00", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Organization":"testing_com" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false } } } } ``` 有关通过命令行更新私有 CA 的信息,请参阅 [更新 CA(CLI)](PCAUpdateCA.md#ca-update-cli)。