本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 的 CRL AWS 私有 CA
在您將憑證撤銷清單 (CRL) 設定為 [CA 建立程序](create-CA.md)的一部分之前,可能需要一些先前的設定。本節說明在建立已連接 CRL 的 CA 之前,您應該了解的先決條件和選項。
如需使用線上憑證狀態通訊協定 (OCSP) 做為 CRL 的替代方案或補充,請參閱 [](create-CA.md#PcaCreateRevocation)和 [自訂 的 OCSP URL AWS 私有 CA](ocsp-customize.md)。
**Topics**
+ [CRL 類型](#crl-type)
+ [CRL 結構](#crl-structure)
+ [Amazon S3 中 CRLs存取政策](#s3-policies)
+ [使用 CloudFront 啟用 S3 封鎖公開存取 (BPA)](#s3-bpa)
+ [判斷 CRL 分佈點 (CDP) URI](#crl-url)
+ [](#crl-ipv6)
## CRL 類型
+ **完成** - 預設設定。 會為 CA 發行且已撤銷的所有未過期憑證 AWS 私有 CA 維護單一、未分割的 CRL 檔案。 AWS 私有 CA 問題的每個憑證都會透過其 CRL 分佈點 (CDP) 延伸繫結至特定 CRL,如 [ RFC 5280 ](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9)中所定義。對於每個已啟用完整 CRL 的 CA,您最多可以擁有 100 萬個私有憑證。如需詳細資訊,請參閱[AWS 私有 CA 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。
+ **分割** - 與完成 CRLs相比,分割的 CRLs可大幅增加私有 CA 可以發行的憑證數量,並讓您免於頻繁輪換 CAs。
**重要**
使用分割CRLs 時,您必須驗證 CRL 相關聯的發行分佈點 (IDP) URI 符合憑證的 CDP URI,以確保已擷取正確的 CRL。 會將 IDP 延伸 AWS 私有 CA 項目標記為關鍵,您的用戶端必須能夠處理。
## CRL 結構
每個 CRL 皆為 DER 編碼檔案。若要下載檔案並使用 [OpenSSL](https://www.openssl.org/) 進行檢視,請使用類似以下的命令:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRL 具有下列格式:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**注意**
只有在發出參考 CRL 的憑證之後,CRL 才會存放在 Amazon S3 中。在此之前,Amazon S3 儲存貯體中只會顯示 `acm-pca-permission-test-key` 檔案。
## Amazon S3 中 CRLs存取政策
如果您打算建立 CRL,則需要準備 Amazon S3 儲存貯體以將其存放在 中。 AWS 私有 CA 會自動將 CRL 存放在您指定的 Amazon S3 儲存貯體中,並定期更新。如需詳細資訊,請參閱[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)。
您的 S3 儲存貯體必須受到連接的 IAM 許可政策保護。授權使用者和服務主體需要`Put`允許 AWS 私有 CA 將物件放入儲存貯體的許可,以及擷取物件的`Get`許可。
**注意**
IAM 政策組態取決於所 AWS 區域 涉及的 。區域分為兩個類別:
**預設啟用區域** – 預設為所有*啟用*的區域 AWS 帳戶。
**預設停用區域** – 預設*停用*但可由客戶手動啟用的區域。
如需詳細資訊和預設停用區域的清單,請參閱[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。如需 IAM 內容中服務主體的討論,請參閱[AWS 選擇加入區域中的服務主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions)。
當您將 CRLs設定為憑證撤銷方法時, AWS 私有 CA 會建立 CRL 並將其發佈至 S3 儲存貯體。S3 儲存貯體需要 IAM 政策,允許 AWS 私有 CA 服務主體寫入儲存貯體。服務主體的名稱會根據所使用的區域而有所不同,但並非所有可能性都受到支援。
****
| PCA | S3 | 服務主體 |
| --- | --- | --- |
| 位於相同 區域中的兩者 | `acm-pca.amazonaws.com` |
| 已啟用 | 已啟用 | `acm-pca.amazonaws.com` |
| Disabled | 已啟用 | `acm-pca.Region.amazonaws.com` |
| 已啟用 | Disabled | 不支援 |
預設政策不會對 CA 套用`SourceArn`限制。我們建議您套用較不寬鬆的政策,例如下列政策,這會限制對特定 AWS 帳戶和特定私有 CA 的存取。或者,您可以使用 [aws:SourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) 條件金鑰來限制對 中特定組織的存取 AWS Organizations。如需儲存貯體政策的詳細資訊,請參閱 [Amazon Simple Storage Service 的儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。
如果您選擇允許預設政策,您稍後可以隨時[修改](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)它。
## 使用 CloudFront 啟用 S3 封鎖公開存取 (BPA)
新的 Amazon S3 儲存貯體預設為啟用封鎖公開存取 (BPA) 功能。BPA 包含在 Amazon S3 [安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)中,是一組存取控制,客戶可用來微調對 S3 儲存貯體中物件和整個儲存貯體的存取。當 BPA 處於作用中且設定正確時,只有經過授權和驗證 AWS 的使用者才能存取儲存貯體及其內容。
AWS 建議在所有 S3 儲存貯體上使用 BPA,以避免將敏感資訊暴露給潛在的對手。不過,如果您的 PKI 用戶端透過公有網際網路 (即未登入 AWS 帳戶時) 擷取 CRLs,則需要額外的規劃。本節說明如何使用內容交付網路 (CDN) Amazon CloudFront 設定私有 PKI 解決方案,以提供 CRLs而不需要對 S3 儲存貯體進行身分驗證的用戶端存取。
**注意**
使用 CloudFront 會在 AWS 您的帳戶產生額外費用。如需詳細資訊,請參閱 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)。
如果您選擇將 CRL 存放在已啟用 BPA 的 S3 儲存貯體中,而且不使用 CloudFront,則必須建置另一個 CDN 解決方案,以確保 PKI 用戶端可以存取 CRL。
### 設定 BPA 的 CloudFront
建立可存取私有 S3 儲存貯體的 CloudFront 分佈,並可為未驗證的用戶端提供 CRLs。
**設定 CRL 的 CloudFront 分佈**
1. 使用《Amazon CloudFront *開發人員指南》中 Amazon CloudFront*[建立分佈中的程序建立新的 CloudFront 分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html)。
完成程序時,請套用下列設定:
+ 在**原始伺服器網域名稱**中,選擇您的 S3 儲存貯體。
+ 針對**限制儲存貯體存取**選擇**是**。
+ 選擇**為原始存取身分建立新****身分**。
+ 選擇**是,在授予儲存貯體的讀取許可下更新儲存貯體政策**。 ****
**注意**
在此程序中,CloudFront 會修改儲存貯體政策,以允許其存取儲存貯體物件。請考慮[編輯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)此政策,僅允許存取 `crl` 資料夾下的物件。
1. 在分發初始化後,在 CloudFront 主控台中尋找其網域名稱,並將其儲存以進行下一個程序。
**注意**
如果您的 S3 儲存貯體是在 us-east-1 以外的區域中新建立的,當您透過 CloudFront 存取已發佈的應用程式時,可能會收到 HTTP 307 暫時重新導向錯誤。儲存貯體的地址可能需要數小時才能傳播。
### 設定 BPA 的 CA
設定新的 CA 時,請將別名納入 CloudFront 分佈。
**使用 CloudFront 的 CNAME 設定 CA**
+ 使用 建立您的 CA[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
當您執行程序時,撤銷檔案`revoke_config.txt`應包含下列幾行,以指定非公有 CRL 物件,並為 CloudFront 中的分發端點提供 URL:
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
之後,當您使用此 CA 發行憑證時,它們將包含如下所示的區塊:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**注意**
如果您有此 CA 發行的舊憑證,他們將無法存取 CRL。
## 判斷 CRL 分佈點 (CDP) URI
如果您需要在工作流程中使用 CRL 分佈點 (CDP) URI,您可以使用該憑證上的 CRL URI 發行憑證,或使用下列方法。這僅適用於完整的 CRLs。分割CRLs 會附加隨機的 GUID。
如果您使用 S3 儲存貯體做為 CA 的 CRL 分佈點 (CDP),CDP URI 可以是下列其中一種格式。
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
如果您已使用自訂 CNAME 設定 CA,CDP URI 將包含 CNAME,例如, `http://alternative.example.com/crl/CA-ID.crl`
##
根據預設, 會使用IPv4-only`amazonaws.com`端點 AWS 私有 CA 寫入 CDP 擴充功能。若要透過 IPv6 使用 CRLs,請執行下列其中一個步驟,以便使用指向 [S3 雙堆疊端點的](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html) URLs 寫入 CDPs:
+ 將您的 [CRL 自訂名稱](create-CA.md#PcaCreateRevocation)設定為 S3 dualstack 端點網域。例如 `bucketname.s3.dualstack.region-code.amazonaws.com`
+ 在相關的 S3 雙堆疊端點設定您自己的 CNAME DNS 記錄,然後將其用作 CRL 自訂名稱