Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualizar una CA (CLI)
Los siguientes procedimientos muestran cómo actualizar el estado y la configuración de revocación de una CA existente utilizando AWS CLI.
nota
Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.
Para actualizar el estado de la CA (AWS CLI)
Utilice el comando update-certificate-authority.
Esto resulta útil cuando tiene una CA existente con un estado DISABLED
que desea configurar ACTIVE
. Para empezar, confirme el estado inicial de la CA con el siguiente comando.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Esto devuelve un resultado similar a lo siguiente.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
El siguiente comando establece el estado de la CA privada en ACTIVE
. Esto solo es posible si hay un certificado válido instalado en la CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --status "ACTIVE"
Inspeccione el nuevo estado de la CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
El estado ahora aparece como ACTIVE
.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
En algunos casos, es posible que tenga una CA activa sin un mecanismo de revocación configurado. Si quiere empezar a utilizar una lista de revocación de certificados (CRL), utilice el siguiente procedimiento.
Para agregar una CRL a una CA existente (AWS CLI)
-
Puede utilizar el siguiente comando para encontrar el estado actual de la CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonEl resultado confirma que la CA tiene un estado
ACTIVE
, pero no está configurada para usar una CRL.{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Cree y guarde un archivo con un nombre
revoke_config.txt
para definir los parámetros de configuración de la CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" } }nota
Al actualizar una CA de atestación de dispositivos Matter para habilitar las CRL, debe configurarla para que omita la extensión CDP de los certificados emitidos a fin de cumplir con el estándar Matter actual. Para ello, defina los parámetros de configuración de la CRL tal y como se muestra a continuación:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Inspeccione nuevamente el estado de la CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonEl resultado confirma que la CA está ahora configurada para usar una CRL.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_numbner
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "DOC-EXAMPLE-BUCKET1
", }, "OcspConfiguration": { "Enabled": false } } } }En algunos casos, es posible que desee agregar soporte de revocación de OCSP en lugar de habilitar una CRL tal y como se hizo en el procedimiento anterior. En ese caso, siga los siguientes pasos.
Para añadir compatibilidad con OCSP a una CA existente (AWS CLI)
-
Cree y guarde un archivo con un nombre; por ejemplo,
revoke_config.txt
, para definir los parámetros de OCSP.{ "OcspConfiguration":{ "Enabled":true } }
-
Utilice el update-certificate-authoritycomando y el archivo de configuración de revocación para actualizar la CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Inspeccione nuevamente el estado de la CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arnarn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonEl resultado confirma que la CA está ahora configurada para usar un OCSP.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
nota
También puede configurar el soporte de CRL y OCSP en una CA.