本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中更新私有 CA AWS 私有憑證授權單位
您可以更新私有 CA 的狀態,或在建立後變更其[撤銷組態](revocation-setup.md)。本主題提供 CA 狀態和 CA 生命週期的詳細資訊,以及 CAs的主控台和 CLI 更新範例。
## 更新 CA (主控台)
下列程序說明如何使用 更新現有的 CA 組態 AWS 管理主控台。
### 更新 CA 狀態 (主控台)
在此範例中,已啟用 CA 的狀態變更為已停用。
**更新 CA 的狀態**
1. 登入 AWS 您的帳戶,並在 https://[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) 開啟 AWS 私有 CA 主控台
1. 在**私有憑證授權單位**頁面上,從清單中選擇目前作用中的私有 CA。
1. 在**動作**功能表上,選擇**停用**以停用私有 CA。
### 更新 CA 的撤銷組態 (主控台)
您可以更新私有 CA 的[撤銷組態](revocation-setup.md),例如新增或移除 OCSP 或 CRL 支援,或修改其設定。
**注意**
CA 撤銷組態的變更不會影響已發行的憑證。若要讓受管撤銷正常運作,必須重新發行較舊的憑證。
對於 OCSP,您可以變更下列設定:
+ 啟用或停用 OCSP。
+ 啟用或停用自訂 OCSP 完整網域名稱 (FQDN)。
+ 變更 FQDN。
對於 CRL,您可以變更下列任何設定:
+ CRL 類型 (完整或分割)
+ 私有 CA 是否會產生憑證撤銷清單 (CRL)
+ CRL 到期的天數。請注意, 會在您指定的天數的一半時 AWS 私有 CA 開始嘗試重新產生 CRL。
+ 儲存 CRL 的 Amazon S3 儲存貯體名稱。
+ 從公有檢視中隱藏 Amazon S3 儲存貯體名稱的別名。
**重要**
變更任何上述參數可能會產生負面影響。範例包括停用 CRL 產生、變更有效期間,或在您將私有 CA 置於生產環境之後變更 S3 儲存貯體。這類變更可能會破壞取決於 CRL 和目前 CRL 組態的現有憑證。您可以安全地變更別名,只要舊別名仍連結到正確的儲存貯體。
**更新撤銷設定**
1. 登入 AWS 您的帳戶,並在 https://[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) 開啟 AWS 私有 CA 主控台。
1. 在**私有憑證授權單位**頁面上,從清單中選擇私有 CA。這會開啟 CA 的詳細資訊面板。
1. 選擇**撤銷組態**索引標籤,然後選擇**編輯**。
1. 在**憑證撤銷選項**下,會顯示兩個選項:
+ **啟用 CRL 分佈**
+ **開啟 OCSP**
您可以為 CA 設定這些撤銷機制,或兩者都無法設定。雖然是選用的,但建議使用 受管撤銷做為[最佳實務](ca-best-practices.md)。在完成此步驟之前,請參閱 [規劃您的 AWS 私有 CA 憑證撤銷方法](revocation-setup.md) 以取得每個方法的優點、可能需要的初步設定,以及其他撤銷功能的相關資訊。
#### 設定 CRL
1. 選取**啟用 CRL 分佈**。
1. 若要為您的 CRL 項目建立 Amazon S3 儲存貯體,請選取**建立新的 S3 儲存貯**體。提供唯一的儲存貯體名稱。(您不需要包含指向儲存貯體的路徑。) 否則,請保持未選取此選項,然後從 **S3 儲存貯體名稱清單中選擇現有的儲存貯體**。
如果您建立新的儲存貯體, 會 AWS 私有 CA 建立[所需的存取政策](crl-planning.md#s3-policies)並將其連接至該儲存貯體。如果您決定使用現有的儲存貯體,您必須先連接存取政策,才能開始產生 CRLs。使用中所述的其中一個政策模式[Amazon S3 中 CRLs存取政策](crl-planning.md#s3-policies)。如需連接政策的資訊,請參閱[使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。
**注意**
當您使用 AWS 私有 CA 主控台時,如果下列兩個條件都適用,則嘗試建立 CA 會失敗:
您正在對 Amazon S3 儲存貯體或帳戶強制執行封鎖公開存取設定。
您要求 自動建立 Amazon S3 儲存貯 AWS 私有 CA 體。
在這種情況下,主控台預設會嘗試建立可公開存取的儲存貯體,Amazon S3 會拒絕此動作。如果發生這種情況,請檢查您的 Amazon S3 設定。如需詳細資訊,請參閱[封鎖對 Amazon S3 儲存體的公開存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。
1. 展開 **Advanced (進階)** 以取得其他組態選項。
+ 選擇**啟用分割**以啟用 CRLs的分割。如果您未啟用分割,您的 CA 會受限於[AWS 私有憑證授權單位 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)上顯示的撤銷憑證數量上限。如需分割 CRLs的詳細資訊,請參閱 [CRL 類型](crl-planning.md#crl-type)。
+ 新增**自訂 CRL 名稱**,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在由 RFC 5280 定義的「CRL 分佈點」延伸中 CA 發行的憑證中。若要透過 IPv6 使用 CRLs,請將其設定為儲存貯體的雙堆疊 S3 端點,如[透過 IPv6 使用 CRLs](crl-planning.md#crl-ipv6)中所述。
+ 新增**自訂路徑**,為 Amazon S3 儲存貯體中的檔案路徑建立 DNS 別名。
+ 輸入 CRL 將保持**有效的有效天數**。預設值為 7 天。對於線上 CRLs,有效期間為 2-7 天很常見。 AWS 私有 CA 會嘗試在指定期間的中點重新產生 CRL。
1. 完成後選擇**儲存變更**。
#### 設定 OCSP
1. 在**憑證撤銷**頁面上,選擇**開啟 OCSP**。
1. (選用) 在**自訂 OCSP 端點**欄位中,為您的 OCSP 端點提供完整網域名稱 (FQDN)。若要透過 IPv6 使用 OCSP,請將此欄位設定為雙堆疊端點,如[透過 IPv6 使用 OCSP](ocsp-customize.md#ocsp-ipv6) 中所述。
當您在此欄位中提供 FQDN 時, 會將 FQDN AWS 私有 CA 插入每個發行憑證的 *Authority Information Access* 延伸,以取代 OCSP AWS 回應程式的預設 URL。當端點收到包含自訂 FQDN 的憑證時,它會查詢 OCSP 回應的定址。若要讓此機制正常運作,您需要採取兩個額外動作:
+ 使用代理伺服器將到達自訂 FQDN 的流量轉送至 OCSP AWS 回應程式。
+ 將對應的 CNAME 記錄新增至您的 DNS 資料庫。
**提示**
如需使用自訂 CNAME 實作完整 OCSP 解決方案的詳細資訊,請參閱 [自訂 的 OCSP URL AWS 私有 CA](ocsp-customize.md)。
例如,以下是自訂 OCSP 的 CNAME 記錄,如 Amazon Route 53 所示。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/PCAUpdateCA.html)
**注意**
CNAME 的值不得包含通訊協定字首,例如 "http://" 或 "https://"。
1. 完成後選擇**儲存變更**。
## 更新 CA (CLI)
下列程序說明如何使用 更新現有 CA 的狀態和[撤銷組態](revocation-setup.md) AWS CLI。
**注意**
CA 撤銷組態的變更不會影響已發行的憑證。若要讓受管撤銷正常運作,必須重新發行較舊的憑證。
**更新私有 CA 的狀態 (AWS CLI)**
請使用 [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 命令。
當您現有的 CA 具有您要設定為 的狀態時`DISABLED`,此功能非常有用`ACTIVE`。若要開始,請使用下列命令確認 CA 的初始狀態。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
這會產生類似以下的輸出。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
下列命令會將私有 CA 的狀態設定為 `ACTIVE`。只有在 CA 上安裝有效的憑證時,才能這麼做。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
檢查 CA 的新狀態。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
狀態現在會顯示為 `ACTIVE`。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
在某些情況下,您的作用中 CA 可能未設定撤銷機制。如果您想要開始使用憑證撤銷清單 (CRL),請使用下列程序。
**將 CRL 新增至現有的 CA (AWS CLI)**
1. 使用下列命令來檢查 CA 的目前狀態。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
輸出會確認 CA 具有狀態,`ACTIVE`但未設定為使用 CRL。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. 建立並儲存名稱為 的檔案,例如 `revoke_config.txt`以定義 CRL 組態參數。
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**注意**
更新事項裝置認證 CA 以啟用 CRLs時,您必須將其設定為省略發行憑證中的 CDP 延伸模組,以協助符合目前的事項標準。若要這樣做,請定義 CRL 組態參數,如下所示:
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. 使用 [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 命令和撤銷組態檔案來更新 CA。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. 再次檢查 CA 的狀態。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
輸出會確認 CA 現在已設定為使用 CRL。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
在某些情況下,您可能想要新增 OCSP 撤銷支援,而不是如先前程序中啟用 CRL。在這種情況下,請使用下列步驟。
**將 OCSP 支援新增至現有的 CA (AWS CLI)**
1. 建立並儲存具有 等名稱的檔案,`revoke_config.txt`以定義您的 OCSP 參數。
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. 使用 [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 命令和撤銷組態檔案來更新 CA。
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. 再次檢查 CA 的狀態。
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
輸出會確認 CA 現在已設定為使用 OCSP。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**注意**
您也可以在 CA 上同時設定 CRL 和 OCSP 支援。