Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualice una CA privada en AWS Private Certificate Authority
Después de crear una entidad de certificación privada, puede actualizar su estado o la configuración de revocación. En este tema se proporcionan detalles sobre el estado y el ciclo de vida de la CA, junto con ejemplos de consolas y CLI actualizaciones de la mismaCAs.
Actualizar una CA (consola)
Los siguientes procedimientos muestran cómo actualizar configuraciones de CA existentes utilizando AWS Management Console.
Actualizar el estado de CA (consola)
En este ejemplo, el estado de una CA habilitada cambia a inhabilitado.
Para actualizar el estado de una CA
-
Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa
-
En la página Autoridad de certificación privada, elija una CA privada que esté actualmente activa de la lista.
-
En el menú Acciones, seleccione Desactivar para deshabilitar la CA privada.
Actualizar la configuración de revocación de una CA (consola)
Puede actualizar la configuración de revocación de su entidad de certificación privada, por ejemplo, añadiendo o quitando una de ellas OCSP o la CRL compatibilidad, o modificando su configuración.
nota
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para OCSP ello, puede cambiar la siguiente configuración:
-
Activar o desactivarOCSP.
-
Habilita o deshabilita un nombre de dominio OCSP totalmente cualificado personalizado (FQDN).
-
Cambie elFQDN.
En el caso de unCRL, puede cambiar cualquiera de los siguientes ajustes:
-
Si la CA privada genera una lista de revocaciones de certificados () CRL
-
El número de días que faltan para que CRL caduque un. Tenga en cuenta que Autoridad de certificación privada de AWS comienza a intentar regenerarse CRL a la mitad del número de días que especifique.
-
El nombre del bucket de Amazon S3 en el que CRL está guardado el tuyo.
-
Una alias para que el nombre del bucket de Amazon S3 no esté visible públicamente.
importante
Cambiar cualquiera de estos parámetros pueden tener consecuencias negativas. Algunos ejemplos incluyen deshabilitar la CRL generación, cambiar el período de validez o cambiar el bucket de S3 una vez que haya puesto su CA privada en producción. Estos cambios pueden infringir los certificados existentes que dependen de la configuración actual CRL y de la CRL configuración actual. El alias se puede cambiar sin problema siempre que el alias anterior siga asociado al bucket correcto.
Para actualizar la configuración de revocación
-
Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa
. -
En la página Autoridad de certificación privada, elija una CA privada de la lista. Esto abre el panel de detalles de la CA.
-
Seleccione la pestaña Configuración de revocación y, a continuación, elija Editar.
-
En las Opciones de revocación de certificados, se muestran dos opciones:
-
Activa CRL la distribución
-
Encienda OCSP
Puede configurar uno de estos mecanismos de revocación, ninguno o ambos para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Planifique el método de revocación AWS Private CA de su certificado para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las características de revocación adicionales.
-
-
Seleccione Activar CRL distribución.
-
Para crear un bucket de Amazon S3 para sus CRL entradas, seleccione Create a new S3 bucket. Proporcione un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, deje esta opción sin seleccionar y elija un bucket existente de la lista de nombres de buckets de S3.
Si crea un depósito nuevo, Autoridad de certificación privada de AWS crea y adjunta la política de acceso requerida. Si decide utilizar un depósito existente, debe adjuntarle una política de acceso antes de empezar a CRLs generarlo. Utilice uno de los patrones de políticas descritos en Políticas de acceso para CRLs Amazon S3 . Para obtener más información sobre cómo adjuntar un política, consulte Agregar una política de bucket mediante la consola de Amazon S3.
nota
Al utilizar la Autoridad de certificación privada de AWS consola, se produce un error al intentar crear una CA si se cumplen las dos condiciones siguientes:
-
Está aplicando la configuración de bloqueo de acceso público en su cuenta o bucket de Amazon S3.
-
Ha solicitado Autoridad de certificación privada de AWS crear un bucket de Amazon S3 automáticamente.
En esta situación, la consola intenta, de forma predeterminada, crear un bucket de acceso público y Amazon S3 rechaza esta acción. Compruebe su configuración de Amazon S3 si esto ocurre. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.
-
-
Expanda Avanzado para obtener opciones de configuración adicionales.
-
Añada un CRLnombre personalizado para crear un alias para su bucket de Amazon S3. Este nombre figura en los certificados emitidos por la CA en la extensión «Puntos de CRL distribución», definida en el número RFC 5280.
-
Escriba el número de días que CRL seguirá siendo válido. El valor predeterminado es 7 días. En el caso de InternetCRLs, es habitual que el período de validez sea de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerarlo CRL en el punto medio del período especificado.
-
-
Cuando haya terminado, elija Guardar cambios.
-
En la página de revocación de certificados, selecciona OCSPActivar.
-
(Opcional) En el campo OCSPPunto de conexión personalizado, proporciona un nombre de dominio completo (FQDN) para tu OCSP punto de conexión.
Si introduce un valor FQDN en este campo, lo Autoridad de certificación privada de AWS inserta FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar del valor predeterminado URL para el AWS OCSP respondedor. Cuando un terminal recibe un certificado que contiene el certificado personalizadoFQDN, consulta esa dirección para obtener una OCSP respuesta. Para que este mecanismo funcione, debe realizar dos acciones adicionales:
-
Usa un servidor proxy para reenviar el tráfico que llegue a tu cliente personalizado FQDN al AWS OCSP respondedor.
-
Agregue el CNAME registro correspondiente a su DNS base de datos.
sugerencia
Para obtener más información sobre la implementación de una OCSP solución completa mediante una solución personalizadaCNAME, consultePersonalice OCSP URL para AWS Private CA.
Por ejemplo, este es un CNAME registro personalizado OCSP tal y como aparecería en Amazon Route 53.
Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico alternative.example.com
CNAME Sencillez - proxy.example.com nota
El valor de no CNAME debe incluir un prefijo de protocolo como «http://» o «https://».
-
-
Cuando haya terminado, elija Guardar cambios.
Actualización de una CA () CLI
Los siguientes procedimientos muestran cómo actualizar el estado y la configuración de revocación de una CA existente utilizando AWS CLI.
nota
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para actualizar el estado de la CA (AWS CLI)
Utilice el update-certificate-authoritycomando.
Esto resulta útil cuando tiene una CA existente con un estado DISABLED que desea configurar ACTIVE. Para empezar, confirme el estado inicial de la CA con el siguiente comando.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Esto devuelve un resultado similar a lo siguiente.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}El siguiente comando establece el estado de la CA privada en ACTIVE. Esto solo es posible si hay un certificado válido instalado en la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Inspeccione el nuevo estado de la CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
El estado ahora aparece como ACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}En algunos casos, es posible que tenga una CA activa sin un mecanismo de revocación configurado. Si desea empezar a utilizar una lista de revocación de certificados (CRL), utilice el siguiente procedimiento.
Para agregar un CRL a una CA existente ()AWS CLI
-
Puede utilizar el siguiente comando para encontrar el estado actual de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA tiene un estado
ACTIVEpero no está configurada para usar unCRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Cree y guarde un archivo con un nombre
revoke_config.txtpara definir los parámetros CRL de configuración.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }nota
Al actualizar una CA de atestación de dispositivos Matter para habilitarlaCRLs, debe configurarla para que omita la CDP extensión de los certificados emitidos a fin de cumplir con el estándar Matter actual. Para ello, defina los parámetros de CRL configuración como se muestra a continuación:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspeccione nuevamente el estado de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA ahora está configurada para usar unCRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }En algunos casos, es posible que desee añadir el soporte de OCSP revocación en lugar de habilitar uno CRL como en el procedimiento anterior. En ese caso, siga los siguientes pasos.
Para añadir OCSP soporte a una CA existente ()AWS CLI
-
Cree y guarde un archivo con un nombre
revoke_config.txtpara definir sus OCSP parámetros.{ "OcspConfiguration":{ "Enabled":true } } -
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Inspeccione nuevamente el estado de la CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonEl resultado confirma que la CA ahora está configurada para usarseOCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
nota
También puede configurar ambas opciones CRL y el OCSP soporte en una CA.
