Actualización de una CA (consola) - AWS Private Certificate Authority
Actualizar el estado de CA (consola) Actualizar la configuración de revocación de una CA (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de una CA (consola)

Los siguientes procedimientos muestran cómo actualizar configuraciones de CA existentes utilizando AWS Management Console.

Actualizar el estado de CA (consola)

En este ejemplo, el estado de una CA habilitada cambia a inhabilitado.

Para actualizar el estado de una CA

  1. Inicie sesión en su AWS cuenta y abra la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/home

  2. En la página Autoridad de certificación privada, elija una CA privada que esté actualmente activa de la lista.

  3. En el menú Acciones, seleccione Desactivar para deshabilitar la CA privada.

Actualizar la configuración de revocación de una CA (consola)

Puede actualizar la configuración de revocación de su CA privada, por ejemplo, añadiendo o quitando la compatibilidad con OCSP o CRL, o modificando su configuración.

nota

Los cambios en la configuración de revocación de una CA no afectan a los certificados que ya se emitieron. Para que la revocación gestionada funcione, los certificados antiguos deben volver a emitirse.

Para OCSP, puede cambiar las opciones siguientes:

  • Habilitación y desactivación de OCSP.

  • Habilite o deshabilite un nombre de dominio completo OCSP personalizado (FQDN).

  • Cambie el FQDN.

Para una CRL, puede elegir una de las siguientes configuraciones:

  • Si la entidad de certificación privada genera una lista de revocación de certificados (CRL)

  • El número de días para que caduque una CRL. Tenga en cuenta que Autoridad de certificación privada de AWS empieza a intentar regenerar la CRL a la mitad del número de días que especifique.

  • El nombre del bucket de Amazon S3 donde se guarda la CRL.

  • Una alias para que el nombre del bucket de Amazon S3 no esté visible públicamente.

importante

Cambiar cualquiera de estos parámetros pueden tener consecuencias negativas. Algunos ejemplos incluyen deshabilitar la generación de CRL, cambiar el período de validez o cambiar el bucket de S3 después de poner su CA privada en producción. Estos cambios pueden infringir los certificados existentes que dependen de la CRL y de la configuración de la CRL actual. El alias se puede cambiar sin problema siempre que el alias anterior siga asociado al bucket correcto.

Para actualizar la configuración de revocación

  1. Inicie sesión en su AWS cuenta y abra la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/home.

  2. En la página Autoridad de certificación privada, elija una CA privada de la lista. Esto abre el panel de detalles de la CA.

  3. Seleccione la pestaña Configuración de revocación y, a continuación, elija Editar.

  4. En las Opciones de revocación de certificados, se muestran dos opciones:

    • Activar la distribución de CRL

    • Encender OCSP

    Puede configurar uno de estos mecanismos de revocación, ninguno o ambos para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Configuración de un método de revocación de certificados para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las características de revocación adicionales.

  1. Selección Activar la distribución de CRL.

  2. Si desea crear un bucket de Amazon S3 para las entradas de CRL, seleccione Crear un nuevo bucket de S3. Proporcione un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, deje esta opción sin seleccionar y elija un bucket existente de la lista de nombres de buckets de S3.

    Si crea un depósito nuevo, Autoridad de certificación privada de AWS crea y adjunta la política de acceso requerida. Si decide utilizar un bucket existente, debe adjuntarle una política de acceso para poder empezar a generar las CRL. Utilice uno de los patrones de políticas descritos en Políticas de acceso para las CRL en Amazon S3 . Para obtener más información sobre cómo adjuntar un política, consulte Agregar una política de bucket mediante la consola de Amazon S3.

    nota

    Al utilizar la Autoridad de certificación privada de AWS consola, se produce un error al intentar crear una CA si se cumplen las dos condiciones siguientes:

    • Está aplicando la configuración de bloqueo de acceso público en su cuenta o bucket de Amazon S3.

    • Ha solicitado Autoridad de certificación privada de AWS crear un bucket de Amazon S3 automáticamente.

    En esta situación, la consola intenta, de forma predeterminada, crear un bucket de acceso público y Amazon S3 rechaza esta acción. Compruebe su configuración de Amazon S3 si esto ocurre. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.

  3. Expanda Avanzado para obtener opciones de configuración adicionales.

    • Agregue un Nombre de CRL personalizado para crear un alias para el bucket de Amazon S3. Este nombre se incluye en los certificados emitidos por la entidad de certificación (CA) en la extensión “Puntos de distribución de CRL” definida por RFC 5280.

    • Escriba el número de días que la CRL estará en vigor. El valor predeterminado es 7 días. En el caso de las CRL en línea, es habitual que el período de validez sea de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerar la CRL en el punto medio del período especificado.

  4. Cuando haya terminado, elija Guardar cambios.

  1. En la página Revocación de certificados, elija Activar OCSP.

  2. En el campo Punto de conexión de OCSP personalizado (opcional), puede proporcionar un nombre de dominio completo (FQDN) para un punto de conexión de OCSP.

    Al proporcionar un FQDN en este campo, Autoridad de certificación privada de AWS inserta el FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar de en la URL predeterminada del respondedor OCSP. AWS Cuando un punto de conexión recibe un certificado que contiene el FQDN personalizado, consulte esa dirección para obtener una respuesta del OCSP. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

    • Utilice un servidor proxy para reenviar el tráfico que llegue a su FQDN personalizado al respondedor de OCSP. AWS

    • Agregue el registro CNAME correspondiente a su base de datos DNS.

    sugerencia

    Para obtener más información sobre la implementación de una solución OCSP completa mediante un CNAME personalizado, consulte Configuración de una URL personalizada para OCSP de Autoridad de certificación privada de AWS.

    Por ejemplo, este es un registro CNAME para un OCSP personalizado tal como aparecería en Amazon Route 53.

    Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico

    alternative.example.com

    		 CNAME Sencillez - proxy.example.com
    nota

    El valor de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.

  3. Cuando haya terminado, elija Guardar cambios.