Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettre à jour une autorité de certification (CLI)
Les procédures suivantes montrent comment mettre à jour le statut et la configuration de révocation d'une autorité de certification existante à l'aide du AWS CLI.
Note
Les modifications apportées à la configuration de révocation d'une autorité de certification n'affectent pas les certificats déjà émis. Pour que la révocation gérée fonctionne, les anciens certificats doivent être réémis.
Pour mettre à jour le statut de votre autorité de certification privée (AWS CLI)
Utilisez la commande update-certificate-authority.
Cela est utile lorsque vous avez une autorité de certification existante DISABLED dont vous souhaitez définir le statutACTIVE. Pour commencer, confirmez le statut initial de l'autorité de certification à l'aide de la commande suivante.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Il en résulte un résultat similaire à ce qui suit.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}La commande suivante définit le statut de l'autorité de certification privée surACTIVE. Cela n'est possible que si un certificat valide est installé sur l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Vérifiez le nouveau statut de l'autorité de certification.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Le statut apparaît désormais sous la formeACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Dans certains cas, vous pouvez avoir une autorité de certification active sans mécanisme de révocation configuré. Si vous souhaitez commencer à utiliser une liste de révocation de certificats (CRL), suivez la procédure ci-dessous.
Pour ajouter une CRL à une autorité de certification existante ()AWS CLI
-
Utilisez la commande suivante pour vérifier l'état actuel de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLa sortie confirme que l'autorité de certification a un statut
ACTIVEmais qu'elle n'est pas configurée pour utiliser une CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos paramètres de configuration CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "bucket-name" } }Note
Lorsque vous mettez à jour une autorité de certification d'appareil Matter pour activer les CRL, vous devez la configurer pour omettre l'extension CDP des certificats émis afin de vous conformer à la norme Matter actuelle. Pour ce faire, définissez vos paramètres de configuration CRL comme illustré ci-dessous :
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "bucket-name" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilisez la commande update-certificate-authority et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour utiliser une CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_numbner", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "DOC-EXAMPLE-BUCKET1", }, "OcspConfiguration": { "Enabled": false } } } }Dans certains cas, vous souhaiterez peut-être ajouter le support de révocation OCSP au lieu d'activer une CRL comme dans la procédure précédente. Dans ce cas, suivez les étapes ci-dessous.
Pour ajouter le support OCSP à une autorité de certification existante ()AWS CLI
-
Créez et enregistrez un fichier avec un nom tel que
revoke_config.txtpour définir vos paramètres OCSP.{ "OcspConfiguration":{ "Enabled":true } } -
Utilisez la commande update-certificate-authority et le fichier de configuration de révocation pour mettre à jour l'autorité de certification.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Vérifiez à nouveau l'état de l'autorité de certification.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonLe résultat confirme que CA est désormais configuré pour utiliser OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Note
Vous pouvez également configurer le support CRL et OCSP sur une autorité de certification.
