Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memperbarui CA (CLI)
Prosedur berikut menunjukkan cara memperbarui status dan konfigurasi pencabutan CA yang ada menggunakan. AWS CLI
catatan
Perubahan pada konfigurasi pencabutan CA tidak memengaruhi sertifikat yang sudah diterbitkan. Agar pencabutan terkelola berfungsi, sertifikat lama harus diterbitkan kembali.
Untuk memperbarui status CA (AWS CLI) pribadi Anda
Gunakan perintah update-certificate-authority.
Ini berguna ketika Anda memiliki CA yang sudah ada dengan status DISABLED yang ingin Anda aturACTIVE. Untuk memulai, konfirmasikan status awal CA dengan perintah berikut.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Ini menghasilkan output yang mirip dengan yang berikut ini.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Perintah berikut menetapkan status CA pribadi keACTIVE. Ini hanya mungkin jika sertifikat yang valid diinstal pada CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
Periksa status baru CA.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
Status sekarang muncul sebagaiACTIVE.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}Dalam beberapa kasus, Anda mungkin memiliki CA aktif tanpa mekanisme pencabutan yang dikonfigurasi. Jika Anda ingin mulai menggunakan daftar pencabutan sertifikat (CRL), gunakan prosedur berikut.
Untuk menambahkan CRL ke CA ()AWS CLI yang ada
-
Gunakan perintah berikut untuk memeriksa status CA saat ini.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonOutput mengkonfirmasi bahwa CA memiliki status
ACTIVEtetapi tidak dikonfigurasi untuk menggunakan CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Buat dan simpan file dengan nama seperti
revoke_config.txtuntuk menentukan parameter konfigurasi CRL Anda.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "bucket-name" } }catatan
Saat memperbarui CA pengesahan perangkat Matter untuk mengaktifkan CRL, Anda harus mengonfigurasinya untuk menghilangkan ekstensi CDP dari sertifikat yang dikeluarkan untuk membantu menyesuaikan dengan standar Matter saat ini. Untuk melakukan ini, tentukan parameter konfigurasi CRL Anda seperti yang diilustrasikan di bawah ini:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "bucket-name" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Gunakan update-certificate-authorityperintah dan file konfigurasi pencabutan untuk memperbarui CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Sekali lagi periksa status CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonOutput mengkonfirmasi bahwa CA sekarang dikonfigurasi untuk menggunakan CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_numbner", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "DOC-EXAMPLE-BUCKET1", }, "OcspConfiguration": { "Enabled": false } } } }Dalam beberapa kasus, Anda mungkin ingin menambahkan dukungan pencabutan OCSP alih-alih mengaktifkan CRL seperti pada prosedur sebelumnya. Dalam hal ini, gunakan langkah-langkah berikut.
Untuk menambahkan dukungan OCSP ke CA ()AWS CLI yang ada
-
Buat dan simpan file dengan nama seperti
revoke_config.txtuntuk menentukan parameter OCSP Anda.{ "OcspConfiguration":{ "Enabled":true } } -
Gunakan update-certificate-authorityperintah dan file konfigurasi pencabutan untuk memperbarui CA.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
Sekali lagi periksa status CA.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output jsonOutput menegaskan bahwa CA sekarang dikonfigurasi untuk menggunakan OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
catatan
Anda juga dapat mengonfigurasi dukungan CRL dan OCSP pada CA.
