Memperbarui CA (konsol) - AWS Private Certificate Authority
Perbarui status CA (konsol) Memperbarui konfigurasi pencabutan CA (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui CA (konsol)

Prosedur berikut menunjukkan cara memperbarui konfigurasi CA yang ada menggunakan. AWS Management Console

Perbarui status CA (konsol)

Dalam contoh ini, status CA yang diaktifkan diubah menjadi dinonaktifkan.

Untuk memperbarui status CA

  1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah

  2. Pada halaman Private Certificate Authority, pilih CA pribadi yang saat ini aktif dari daftar.

  3. Pada menu Tindakan, pilih Nonaktifkan untuk menonaktifkan CA pribadi.

Memperbarui konfigurasi pencabutan CA (konsol)

Anda dapat memperbarui konfigurasi pencabutan untuk CA pribadi Anda, misalnya, dengan menambahkan atau menghapus salah satu atau CRL dukungan, OCSP atau dengan memodifikasi pengaturannya.

catatan

Perubahan pada konfigurasi pencabutan CA tidak memengaruhi sertifikat yang sudah diterbitkan. Agar pencabutan terkelola berfungsi, sertifikat yang lebih lama harus diterbitkan kembali.

UntukOCSP, Anda mengubah pengaturan berikut:

  • Aktifkan atau nonaktifkanOCSP.

  • Mengaktifkan atau menonaktifkan nama domain kustom yang OCSP sepenuhnya memenuhi syarat (FQDN).

  • UbahFQDN.

Untuk aCRL, Anda dapat mengubah salah satu pengaturan berikut:

  • Apakah CA pribadi menghasilkan daftar pencabutan sertifikat () CRL

  • Jumlah hari sebelum CRL kedaluwarsa. Perhatikan bahwa AWS Private CA mulai mencoba meregenerasi CRL pada ½ jumlah hari yang Anda tentukan.

  • Nama ember Amazon S3 tempat Anda CRL disimpan.

  • Alias untuk menyembunyikan nama bucket Amazon S3 Anda dari tampilan publik.

penting

Mengubah salah satu parameter sebelumnya dapat memiliki efek negatif. Contohnya termasuk menonaktifkan CRL pembuatan, mengubah masa berlaku, atau mengubah bucket S3 setelah Anda menempatkan CA pribadi Anda dalam produksi. Perubahan tersebut dapat merusak sertifikat yang ada yang bergantung pada CRL dan CRL konfigurasi saat ini. Mengubah alias dapat dilakukan dengan aman, selama alias lama tetap terhubung ke bucket yang benar.

Untuk memperbarui pengaturan pencabutan

  1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah.

  2. Pada halaman Private Certificate Authority, pilih CA pribadi dari daftar. Ini membuka panel detail untuk CA.

  3. Pilih tab konfigurasi Pencabutan, lalu pilih Edit.

  4. Di bawah opsi pencabutan Sertifikat, dua opsi ditampilkan:

    • Aktifkan CRL distribusi

    • Nyalakan OCSP

    Anda dapat mengonfigurasi salah satu, keduanya, atau kedua mekanisme pencabutan ini untuk CA Anda. Meskipun opsional, pencabutan terkelola direkomendasikan sebagai praktik terbaik. Sebelum menyelesaikan langkah ini, lihat Menyiapkan metode pencabutan sertifikat informasi tentang keunggulan masing-masing metode, pengaturan awal yang mungkin diperlukan, dan fitur pencabutan tambahan.

  1. Pilih Aktifkan CRL distribusi.

  2. Untuk membuat bucket Amazon S3 untuk CRL entri Anda, pilih Buat bucket S3 baru. Berikan nama ember yang unik. (Anda tidak perlu menyertakan jalur ke bucket.) Jika tidak, biarkan opsi ini tidak dipilih dan pilih bucket yang ada dari daftar nama bucket S3.

    Jika Anda membuat bucket baru, AWS Private CA buat dan lampirkan kebijakan akses yang diperlukan padanya. Jika Anda memutuskan untuk menggunakan bucket yang sudah ada, Anda harus melampirkan kebijakan akses itu sebelum Anda dapat mulai membuatCRLs. Gunakan salah satu pola kebijakan yang dijelaskan dalam Kebijakan akses untuk CRL di Amazon S3 . Untuk informasi tentang melampirkan kebijakan, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3.

    catatan

    Saat Anda menggunakan AWS Private CA konsol, upaya untuk membuat CA gagal jika kedua kondisi berikut berlaku:

    • Anda menerapkan pengaturan Blokir Akses Publik di bucket atau akun Amazon S3 Anda.

    • Anda diminta AWS Private CA untuk membuat bucket Amazon S3 secara otomatis.

    Dalam situasi ini, konsol mencoba, secara default, untuk membuat bucket yang dapat diakses publik, dan Amazon S3 menolak tindakan ini. Periksa pengaturan Amazon S3 Anda jika hal ini terjadi. Untuk informasi lebih lanjut, lihat Memblokir akses publik ke penyimpanan Amazon S3.

  3. Perluas Lanjutan untuk opsi konfigurasi tambahan.

    • Tambahkan CRLNama Kustom untuk membuat alias untuk bucket Amazon S3 Anda. Nama ini terkandung dalam sertifikat yang dikeluarkan oleh CA dalam ekstensi “Poin CRL Distribusi” yang ditentukan oleh RFC 5280.

    • Ketik jumlah hari Anda CRL akan tetap valid. Nilai default-nya adalah 7 hari. Untuk onlineCRLs, masa berlaku 2-7 hari adalah umum. AWS Private CA mencoba untuk meregenerasi CRL pada titik tengah periode yang ditentukan.

  4. Pilih Simpan perubahan setelah selesai.

  1. Pada halaman Pencabutan sertifikat, pilih Aktifkan. OCSP

  2. (Opsional) Di bidang OCSPtitik akhir Kustom, berikan nama domain yang memenuhi syarat (FQDN) untuk titik OCSP akhir Anda.

    Ketika Anda memberikan FQDN di bidang ini, AWS Private CA masukkan FQDN ke dalam ekstensi Akses Informasi Otoritas dari setiap sertifikat yang dikeluarkan sebagai pengganti default URL untuk AWS OCSP responden. Ketika titik akhir menerima sertifikat yang berisi kustomFQDN, ia menanyakan alamat tersebut untuk responsOCSP. Agar mekanisme ini berfungsi, Anda perlu mengambil dua tindakan tambahan:

    • Gunakan server proxy untuk meneruskan lalu lintas yang tiba di kustom Anda FQDN ke AWS OCSP responden.

    • Tambahkan CNAME catatan yang sesuai ke DNS database Anda.

    Tip

    Untuk informasi selengkapnya tentang penerapan OCSP solusi lengkap menggunakan kustomCNAME, lihatMengkonfigurasi URL Kustom untuk AWS Private CA OCSP.

    Misalnya, berikut adalah CNAME catatan untuk disesuaikan OCSP seperti yang akan muncul di Amazon Route 53.

    Nama catatan Tipe Kebijakan perutean Pembeda Nilai/Rutekan lalu lintas ke

    alternatif.example.com

    		 CNAME Sederhana - proxy.example.com
    catatan

    Nilai tidak CNAME boleh menyertakan awalan protokol seperti “http://” atau “https://”.

  3. Pilih Simpan perubahan setelah selesai.