Aggiornamento di una CA (console) - AWS Private Certificate Authority
Aggiornare lo stato della CA (console) Aggiornamento della configurazione di revoca di una CA (console)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento di una CA (console)

Le seguenti procedure mostrano come aggiornare le configurazioni CA esistenti utilizzando. AWS Management Console

Aggiornare lo stato della CA (console)

In questo esempio, lo stato di una CA abilitata viene modificato in disabilitato.

Per aggiornare lo stato di una CA

  1. Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzo https://console.aws.amazon.com/acm-pca/home

  2. Nella pagina Autorità di certificazione private, scegli una CA privata attualmente attiva dall'elenco.

  3. Nel menu Azioni, scegli Disabilita per disabilitare la CA privata.

Aggiornamento della configurazione di revoca di una CA (console)

È possibile aggiornare la configurazione di revoca per la CA privata, ad esempio aggiungendo o rimuovendo il supporto OCSP o CRL o modificandone le impostazioni.

Nota

Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.

Per OCSP, è possibile modificare le seguenti impostazioni:

  • Abilita o disabilita OCSP.

  • Abilita o disabilita un nome di dominio completo (FQDN) OCSP personalizzato.

  • Cambia il nome di dominio completo.

Per un CRL, puoi modificare una delle seguenti impostazioni:

  • Se la CA privata genera un elenco di revoche di certificati (CRL)

  • Il numero di giorni prima della scadenza di un CRL. Tieni presente che CA privata AWS inizia il tentativo di rigenerare il CRL alla metà del numero di giorni specificato.

  • Il nome del bucket Amazon S3 in cui è salvato il tuo CRL.

  • Un alias per nascondere il nome del tuo bucket Amazon S3 dalla visualizzazione pubblica.

Importante

La modifica di uno qualsiasi dei parametri precedenti può avere effetti negativi. Gli esempi includono la disabilitazione della generazione di CRL, la modifica del periodo di validità o la modifica del bucket S3 dopo aver messo in produzione la CA privata. Tali modifiche possono interrompere i certificati esistenti che dipendono dal CRL e dalla configurazione CRL corrente. La modifica dell'alias può essere effettuata in modo sicuro finché l'alias precedente rimane collegato al bucket corretto.

Per aggiornare le impostazioni di revoca

  1. Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzo https://console.aws.amazon.com/acm-pca/home.

  2. Nella pagina Autorità di certificazione private, scegli una CA privata dall'elenco. Si apre il pannello dei dettagli per la CA.

  3. Scegli la scheda Configurazione della revoca, quindi scegli Modifica.

  4. In Opzioni di revoca del certificato, vengono visualizzate due opzioni:

    • Attiva la distribuzione CRL

    • Attiva OCSP

    È possibile configurare uno, nessuno dei due o entrambi questi meccanismi di revoca per la CA. Sebbene facoltativa, la revoca gestita è consigliata come best practice. Prima di completare questo passaggio, consulta Impostazione di un metodo di revoca dei certificati le informazioni sui vantaggi di ciascun metodo, sulla configurazione preliminare che potrebbe essere richiesta e sulle funzionalità di revoca aggiuntive.

  1. Seleziona Attiva la distribuzione CRL.

  2. Per creare un bucket Amazon S3 per le voci del CRL, seleziona Crea un nuovo bucket S3. Fornisci un nome univoco per il bucket. (Non è necessario includere il percorso del bucket.) Altrimenti, lascia questa opzione deselezionata e scegli un bucket esistente dall'elenco dei nomi dei bucket S3.

    Se crei un nuovo bucket, CA privata AWS crea e allega la politica di accesso richiesta. Se decidi di utilizzare un bucket esistente, devi allegare una policy di accesso prima di poter iniziare a generare CRL. Utilizza uno dei modelli di policy descritti in. Politiche di accesso per i CRL in Amazon S3 Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy utilizzando la console Amazon S3.

    Nota

    Quando usi la CA privata AWS console, un tentativo di creare una CA fallisce se si verificano entrambe le seguenti condizioni:

    • Stai applicando le impostazioni Block Public Access sul tuo bucket o account Amazon S3.

    • Hai chiesto CA privata AWS di creare automaticamente un bucket Amazon S3.

    In questa situazione, la console tenta, per impostazione predefinita, di creare un bucket accessibile pubblicamente e Amazon S3 rifiuta questa azione. Controlla le impostazioni di Amazon S3 se ciò si verifica. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

  3. Espandere Avanzate per ulteriori opzioni di configurazione.

    • Aggiungi un nome CRL personalizzato per creare un alias per il tuo bucket Amazon S3. Questo nome è contenuto nei certificati emessi dalla CA nell'estensione «CRL Distribution Points» definita da RFC 5280.

    • Digitare il numero di giorni per i quali il CRL rimarrà valido. Il valore predefinito è 7 giorni. Per i CRL online, è comune un periodo di validità di 2-7 giorni. CA privata AWS tenta di rigenerare il CRL a metà del periodo specificato.

  4. Al termine, scegli Salva le modifiche.

  1. Nella pagina di revoca del certificato, scegli Attiva OCSP.

  2. (Facoltativo) Nel campo Endpoint OCSP personalizzato, fornisci un nome di dominio completo (FQDN) per l'endpoint OCSP.

    Quando fornisci un FQDN in questo campo, CA privata AWS inserisce il nome di dominio completo nell'estensione Authority Information Access di ciascun certificato emesso al posto dell'URL predefinito per il risponditore OCSP. AWS Quando un endpoint riceve un certificato contenente l'FQDN personalizzato, richiede a tale indirizzo una risposta OCSP. Affinché questo meccanismo funzioni, è necessario eseguire due azioni aggiuntive:

    • Utilizzate un server proxy per inoltrare il traffico che arriva al vostro FQDN personalizzato al risponditore AWS OCSP.

    • Aggiungi un record CNAME corrispondente al tuo database DNS.

    Suggerimento

    Per ulteriori informazioni sull'implementazione di una soluzione OCSP completa utilizzando un CNAME personalizzato, vedere. Configurazione di un URL personalizzato per OCSP CA privata AWS

    Ad esempio, ecco un record CNAME per OCSP personalizzato come apparirebbe in Amazon Route 53.

    Nome record Type Policy di routing Differenziatore Valore/instradamento traffico a

    alternative.example.com

    		 CNAME Semplice - proxy.example.com
    Nota

    Il valore del CNAME non deve includere un prefisso di protocollo come «http://» o «https://».

  3. Al termine, scegli Salva le modifiche.