Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez mettre à jour le statut d'une autorité de certification privée ou modifier sa configuration de révocation après l'avoir créée. Cette rubrique fournit des détails sur le statut de l'autorité de certification et le cycle de vie de l'autorité de certification, ainsi que des exemples de mises à jour de la console et de la CLI pour CAs.
Mettre à jour une autorité de certification (console)
Les procédures suivantes montrent comment mettre à jour les configurations CA existantes à l'aide du AWS Management Console.
Mettre à jour le statut de l'autorité de certification (console)
Dans cet exemple, le statut d'une autorité de certification activée devient désactivé.
Pour mettre à jour le statut d'une autorité de certification
-
Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
-
Sur la page Autorités de certification privées, choisissez une autorité de certification privée actuellement active dans la liste.
-
Dans le menu Actions, choisissez Désactiver pour désactiver l'autorité de certification privée.
Mettre à jour la configuration de révocation d'une autorité de certification (console)
Vous pouvez mettre à jour la configuration de révocation de votre autorité de certification privée, par exemple en ajoutant ou en supprimant le support OCSP ou CRL, ou en modifiant leurs paramètres.
Note
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
Pour OCSP, vous modifiez les paramètres suivants :
-
Activez ou désactivez OCSP.
-
Activez ou désactivez un nom de domaine complet OCSP personnalisé (FQDN).
-
Modifiez le FQDN.
Pour une CRL, vous pouvez modifier l'un des paramètres suivants :
-
Le type de CRL (complet ou partitionné)
-
Si l'autorité de certification privée génère ou non une liste de révocation de certificats
-
Le nombre de jours avant qu'une liste de révocation de certificats expire. Notez que la tentative de régénération de la CRL Autorité de certification privée AWS commence à la moitié du nombre de jours que vous spécifiez.
-
Le nom du compartiment Amazon S3 dans lequel votre CRL est enregistrée.
-
Un alias pour masquer le nom de votre compartiment Amazon S3 à la vue du public.
Important
La modification de l'un des paramètres précédents peut avoir des effets négatifs. Les exemples incluent la désactivation de la génération de CRL, la modification de la période de validité ou la modification du compartiment S3 une fois que vous avez placé votre autorité de certification privée en production. De telles modifications peuvent endommager les certificats existants qui dépendent de la CRL et de la configuration actuelle de la CRL. Il est possible de modifier l'alias en toute sécurité, à condition que l'ancien alias reste lié au compartiment correct.
Pour mettre à jour les paramètres de révocation
-
Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la https://console.aws.amazon.com/acm-pca/maison
. -
Sur la page Autorités de certification privées, choisissez une autorité de certification privée dans la liste. Cela ouvre le panneau de détails de l'autorité de certification.
-
Choisissez l'onglet Configuration de la révocation, puis sélectionnez Modifier.
-
Sous Options de révocation du certificat, deux options sont affichées :
-
Activer la distribution CRL
-
Activez OCSP
Vous pouvez configurer l'un ou l'autre de ces mécanismes de révocation, ou les deux, pour votre autorité de certification. Bien que facultative, la gestion des révocations est recommandée en tant que bonne pratique. Avant de terminer cette étape, consultez Planifiez la méthode de révocation de votre AWS Private CA certificat les informations sur les avantages de chaque méthode, la configuration préliminaire qui peut être requise et les fonctionnalités de révocation supplémentaires.
-
-
Sélectionnez Activer la distribution CRL.
-
Pour créer un compartiment Amazon S3 pour vos entrées CRL, sélectionnez Créer un nouveau compartiment S3. Indiquez un nom de compartiment unique. (Vous n'avez pas besoin d'inclure le chemin d'accès au compartiment.) Sinon, laissez cette option désactivée et choisissez un bucket existant dans la liste des noms de bucket S3.
Si vous créez un nouveau bucket, il Autorité de certification privée AWS crée et associe la politique d'accès requise à celui-ci. Si vous décidez d'utiliser un bucket existant, vous devez lui associer une politique d'accès avant de commencer à le générer CRLs. Utilisez l'un des modèles de politique décrits dansPolitiques d'accès pour CRLs Amazon S3 . Pour plus d'informations sur l'attachement d'une politique, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3.
Note
Lorsque vous utilisez la Autorité de certification privée AWS console, toute tentative de création d'une autorité de certification échoue si les deux conditions suivantes s'appliquent :
-
Vous appliquez les paramètres de blocage de l'accès public sur votre compartiment ou compte Amazon S3.
-
Vous avez demandé Autorité de certification privée AWS de créer automatiquement un compartiment Amazon S3.
Dans ce cas, la console tente, par défaut, de créer un compartiment accessible au public, et Amazon S3 rejette cette action. Vérifiez les paramètres de votre Amazon S3 dans ce cas. Pour plus d'informations, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.
-
-
Développez Avancé pour obtenir des options de configuration supplémentaires.
-
Choisissez Activer le partitionnement pour activer le partitionnement de. CRLs Si vous n'activez pas le partitionnement, votre autorité de certification est soumise au nombre maximum de certificats révoqués, indiqué sur les AWS Private Certificate Authority quotas. Pour plus d'informations sur le partitionnement CRLs, consultez la section Types de CRL.
-
Ajoutez un nom CRL personnalisé pour créer un alias pour votre compartiment Amazon S3. Ce nom est contenu dans les certificats émis par l'autorité de certification dans l'extension « CRL Distribution Points » définie par la RFC 5280.
-
Ajoutez un chemin personnalisé pour créer un alias DNS pour le chemin du fichier dans votre compartiment Amazon S3.
-
Entrez la durée de validité en jours pendant laquelle votre CRL restera valide. La valeur par défaut est 7 jours. En ligne CRLs, une période de validité de 2 à 7 jours est courante. Autorité de certification privée AWS essaie de régénérer la CRL au milieu de la période spécifiée.
-
-
Choisissez Enregistrer les modifications lorsque vous avez terminé.
-
Sur la page de révocation du certificat, choisissez Activer l'OCSP.
-
(Facultatif) Dans le champ Point de terminaison OCSP personnalisé, fournissez un nom de domaine complet (FQDN) pour votre point de terminaison OCSP.
Lorsque vous fournissez un FQDN dans ce champ, Autorité de certification privée AWS insère le FQDN dans l'extension Authority Information Access de chaque certificat émis à la place de l'URL par défaut du répondeur AWS OCSP. Lorsqu'un point de terminaison reçoit un certificat contenant le nom de domaine complet personnalisé, il demande à cette adresse une réponse OCSP. Pour que ce mécanisme fonctionne, vous devez effectuer deux actions supplémentaires :
-
Utilisez un serveur proxy pour transférer le trafic qui arrive à votre nom de domaine complet personnalisé vers le répondeur AWS OCSP.
-
Ajoutez un enregistrement CNAME correspondant à votre base de données DNS.
Astuce
Pour plus d'informations sur la mise en œuvre d'une solution OCSP complète à l'aide d'un CNAME personnalisé, consultez. Personnaliser l'URL OCSP pour AWS Private CA
Par exemple, voici un enregistrement CNAME pour un OCSP personnalisé tel qu'il apparaîtrait dans Amazon Route 53.
Nom de l'enregistrement Type Stratégie de routage Différenciateur Valeur/acheminer le trafic vers alternative.exemple.com
CNAME Simplicité - proxy.exemple.com Note
La valeur du CNAME ne doit pas inclure de préfixe de protocole tel que « http ://» ou « https ://».
-
-
Choisissez Enregistrer les modifications lorsque vous avez terminé.
Mettre à jour une autorité de certification (CLI)
Les procédures suivantes montrent comment mettre à jour le statut et la configuration de révocation d'une autorité de certification existante à l'aide du AWS CLI.
Note
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
Pour mettre à jour le statut de votre autorité de certification privée (AWS CLI)
Utilisez la commande update-certificate-authority.
Cela est utile lorsque vous avez une autorité de certification existante DISABLED dont vous souhaitez définir le statutACTIVE. Pour commencer, confirmez le statut initial de l'autorité de certification à l'aide de la commande suivante.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Il en résulte un résultat similaire à ce qui suit.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}La commande suivante définit le statut de l'autorité de certification privée surACTIVE. Cela n'est possible que si un certificat valide est installé sur l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Vérifiez le nouveau statut de l'autorité de certification.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Le statut apparaît désormais sous la formeACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Dans certains cas, il se peut que vous disposiez d'une autorité de certification active sans mécanisme de révocation configuré. Si vous souhaitez commencer à utiliser une liste de révocation de certificats (CRL), suivez la procédure ci-dessous.
Pour ajouter une CRL à une autorité de certification existante ()AWS CLI
-
Utilisez la commande suivante pour vérifier l'état actuel de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLa sortie confirme que l'autorité de certification a un statut
ACTIVEmais qu'elle n'est pas configurée pour utiliser une CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos paramètres de configuration CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }Note
Lorsque vous mettez à jour une autorité de certification d'appareil Matter pour l'activer CRLs, vous devez la configurer pour omettre l'extension CDP des certificats émis afin de vous conformer à la norme Matter actuelle. Pour ce faire, définissez vos paramètres de configuration CRL comme illustré ci-dessous :
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilisez la update-certificate-authoritycommande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour utiliser une CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }Dans certains cas, vous souhaiterez peut-être ajouter le support de révocation OCSP au lieu d'activer une CRL comme dans la procédure précédente. Dans ce cas, suivez les étapes ci-dessous.
Pour ajouter le support OCSP à une autorité de certification existante ()AWS CLI
-
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos paramètres OCSP.{ "OcspConfiguration":{ "Enabled":true } } -
Utilisez la update-certificate-authoritycommande et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour utiliser OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Note
Vous pouvez également configurer le support CRL et OCSP sur une autorité de certification.
