Gerenciar o ciclo de vida da CA privada - AWS Private Certificate Authority
Escolher períodos de validadeGerenciar a sucessão da CARevogar uma CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o ciclo de vida da CA privada

Os certificados CA têm uma vida útil ou período de validade fixo. Quando um certificado CA expira, todos os certificados emitidos direta ou indiretamente por CAs subordinadas abaixo dele na hierarquia de CA tornam-se inválidos. Você pode evitar a expiração do certificado CA planejando com antecedência.

Escolher períodos de validade

O período de validade de um certificado X.509 é um campo de certificado básico obrigatório. Ele determina o intervalo de tempo durante o qual a CA emissora certifica que o certificado pode ser confiável, sem a revogação. (Um certificado raiz, sendo autoassinado, certifica seu próprio período de validade.)

CA privada da AWS e AWS Certificate Manager auxiliar na configuração dos períodos de validade do certificado, sujeitos às seguintes restrições:

  • Um certificado gerenciado por CA privada da AWS deve ter um período de validade menor ou igual ao período de validade da CA que o emitiu. Ou seja, as CAs filhas e os certificados de entidade final não podem sobreviver aos seus certificados pai. A tentativa de usar a API IssueCertificate para emitir um certificado CA com um período de validade maior ou igual à CA pai falha.

  • Os certificados emitidos e gerenciados por AWS Certificate Manager (aqueles para os quais o ACM gera a chave privada) têm um período de validade de 13 meses (395 dias). O ACM gerencia o processo de renovação desses certificados. Se você costuma CA privada da AWS emitir certificados diretamente, pode escolher qualquer período de validade.

O diagrama a seguir mostra uma configuração típica de períodos de validade aninhados. O certificado raiz é o mais duradouro; os certificados de entidade final são relativamente curtos; e as autoridades de CAs variam entre esses extremos.

Períodos subordinados e de validade devem estar dentro dos períodos de validade dos pais.

Ao planejar sua hierarquia de CA, determine a vida útil ideal para seus certificados CA. Faça o reverso da vida útil desejada dos certificados de entidade final que você deseja emitir.

Certificados de entidade final

Os certificados de entidade final devem ter um período de validade adequado ao caso de uso. Uma vida útil curta minimiza a exposição de um certificado no caso de sua chave privada ser perdida ou roubada. No entanto, períodos de vida útil curtos significam renovações frequentes. A falha na renovação de um certificado expirado pode resultar em tempo de inatividade.

O uso distribuído de certificados de entidade final também pode apresentar problemas logísticos se houver uma violação de segurança. Seu planejamento deve levar em conta os certificados de renovação e distribuição, a revogação de certificados comprometidos e a rapidez com que as revogações se propagam para clientes que dependem dos certificados.

O período de validade padrão para um certificado de entidade final emitido por meio do ACM é de 13 meses (395 dias). Em CA privada da AWS, você pode usar a IssueCertificate API para aplicar qualquer período de validade, desde que seja menor que o da CA emissora.

Certificados CA subordinados

Os certificados CA subordinados devem ter períodos de validade significativamente mais longos do que os dos certificados que eles emitem. Um bom intervalo para a validade de um certificado CA é duas a cinco vezes o período de qualquer certificado CA filho ou certificado de entidade final que ele emite. Por exemplo, suponha que você tenha uma hierarquia de CA de dois níveis (CA raiz e uma CA subordinada). Se você quiser emitir certificados de entidade final com um tempo de vida útil de um ano, poderá configurar a vida útil da CA emissora subordinada para que seja de três anos. Esse é o período de validade padrão para um certificado CA subordinado em CA privada da AWS. Certificados CA subordinados podem ser alterados sem substituir o certificado CA raiz.

Certificados CA raiz

As alterações em um certificado CA raiz afetam toda a PKI (infraestrutura de chave pública) e exigem que você atualize todos os armazenamentos de confiança dependentes do sistema operacional cliente e do navegador. Para minimizar o impacto operacional, você deve escolher um período de validade longo para o certificado raiz. O CA privada da AWS padrão para certificados raiz é de dez anos.

Gerenciar a sucessão da CA

Você tem duas maneiras de gerenciar a sucessão da CA: substituir a CA antiga ou reemitir a CA com um novo período de validade.

Substituir uma CA antiga

Para substituir uma CA antiga, crie uma nova CA e encadeie-a à mesma CA pai. Depois disso, você emite certificados na nova CA.

Os certificados emitidos na nova CA têm uma nova cadeia de CA. Depois que a nova CA está estabelecida, é possível desabilitar a CA antiga para impedir a emissão de novos certificados. Enquanto desabilitada, a CA antiga oferece suporte para a revogação de certificados antigos emitidos pela CA e, se configurada para isso, continua a validar certificados por meio de OCSP e/ou listas de certificados revogados (CRLs). Quando o último certificado emitido da CA antiga expirar, você poderá excluir a CA antiga. É possível gerar um relatório de auditoria para todos os certificados emitidos pela CA para confirmar que todos os certificados emitidos expiraram. Se a CA antiga tiver CAs subordinadas, você também deve substituí-las, porque as CAs subordinadas expiram ao mesmo tempo ou antes da CA pai. Comece substituindo a CA superior na hierarquia que precisa ser substituída. Depois, crie novas CAs subordinadas de substituição em cada nível inferior subsequente.

AWS recomenda que você inclua um identificador de geração de CA nos nomes das CAs, conforme necessário. Por exemplo, suponha que você nomeie a CA de primeira geração como “CA raiz corporativa”. Quando você cria a CA de segunda geração, nomeie-a como “CA raiz corporativa G2”. Essa convenção de nomenclatura simples pode ajudar a evitar confusão quando as duas CAs não expiram.

Esse método de sucessão de CA é preferido porque ele alterna a chave privada da CA. Alternar a chave privada é uma prática recomendada para chaves de CA. A frequência de alternância deve ser proporcional à frequência de utilização da chave: as CAs que emitem mais certificados devem ser alternadas com maior frequência.

nota

Certificados privados emitidos por meio do ACM não podem ser renovados se você substituir a CA. Se utilizar o ACM para emissão e renovação, você precisará emitir novamente o certificado CA para prolongar a vida útil da CA.

Reemitir uma CA antiga

Quando uma CA está se aproximando do vencimento, um método alternativo de prolongar sua vida útil é reemitir o certificado de CA com uma nova data de expiração. A reemissão mantém todos os metadados da CA em vigor e preserva as chaves públicas e privadas existentes. Nesse cenário, a cadeia de certificados existente e os certificados de entidade final não expirados emitidos pela CA permanecem válidos até expirarem. A emissão de novos certificados também pode continuar sem interrupção. Para atualizar uma CA com um certificado reemitido, siga os procedimentos de instalação comuns descritos em Criar e instalar o certificado de CA.

nota

Recomendamos substituir uma CA expirada em vez de reemitir seu certificado devido às vantagens de segurança obtidas com a alternância para um novo par de chaves.

Revogar uma CA

É possível revogar uma CA revogando seu certificado subjacente. Isso também revoga efetivamente todos os certificados emitidos por essa CA. As informações de revogação são distribuídas aos clientes via OCSP ou CRL. Revogue um certificado de CA somente se quiser revogar efetivamente todos os seus certificados de CA subordinada ou de entidade final emitidos.