Gerencie o ciclo de vida privado da CA - AWS Private Certificate Authority
Escolha períodos de validadeGerenciar a sucessão da CARevogar uma CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie o ciclo de vida privado da CA

Os certificados CA têm uma vida útil ou período de validade fixo. Quando um certificado de CA expira, todos os certificados emitidos direta ou indiretamente pelo subordinado CAs abaixo dele na hierarquia de CA se tornam inválidos. Você pode evitar a expiração do certificado CA planejando com antecedência.

Escolha períodos de validade

O período de validade de um certificado X.509 é um campo de certificado básico obrigatório. Ele determina o intervalo de tempo durante o qual a CA emissora certifica que o certificado pode ser confiável, sem a revogação. (Um certificado raiz, sendo autoassinado, certifica seu próprio período de validade.)

CA privada da AWS e AWS Certificate Manager auxiliar na configuração dos períodos de validade do certificado, sujeitos às seguintes restrições:

  • Um certificado gerenciado por CA privada da AWS deve ter um período de validade menor ou igual ao período de validade da CA que o emitiu. Em outras palavras, os certificados CAs secundários e de entidade final não podem sobreviver aos certificados principais. A tentativa de usar o IssueCertificate API para emitir um certificado de CA com um período de validade maior ou igual ao da CA do pai falha.

  • Os certificados emitidos e gerenciados por AWS Certificate Manager (aqueles para os quais ACM gera a chave privada) têm um período de validade de 13 meses (395 dias). ACMgerencia o processo de renovação desses certificados. Se você costuma CA privada da AWS emitir certificados diretamente, pode escolher qualquer período de validade.

O diagrama a seguir mostra uma configuração típica de períodos de validade aninhados. O certificado raiz é o mais duradouro; os certificados da entidade final têm vida relativamente curta; e a faixa subordinada CAs entre esses extremos.

Períodos subordinados e de validade devem estar dentro dos períodos de validade dos pais.

Ao planejar sua hierarquia de CA, determine a vida útil ideal para seus certificados CA. Faça o reverso da vida útil desejada dos certificados de entidade final que você deseja emitir.

Certificados de entidade final

Os certificados de entidade final devem ter um período de validade adequado ao caso de uso. Uma vida útil curta minimiza a exposição de um certificado no caso de sua chave privada ser perdida ou roubada. No entanto, períodos de vida útil curtos significam renovações frequentes. A falha na renovação de um certificado expirado pode resultar em tempo de inatividade.

O uso distribuído de certificados de entidade final também pode apresentar problemas logísticos se houver uma violação de segurança. Seu planejamento deve levar em conta os certificados de renovação e distribuição, a revogação de certificados comprometidos e a rapidez com que as revogações se propagam para clientes que dependem dos certificados.

O período de validade padrão para um certificado de entidade final emitido ACM é de 13 meses (395 dias). Em CA privada da AWS, você pode usar o IssueCertificate API para aplicar qualquer período de validade, desde que seja menor que o da CA emissora.

Certificados CA subordinados

Os certificados CA subordinados devem ter períodos de validade significativamente mais longos do que os dos certificados que eles emitem. Um bom intervalo para a validade de um certificado CA é duas a cinco vezes o período de qualquer certificado CA filho ou certificado de entidade final que ele emite. Por exemplo, suponha que você tenha uma hierarquia de CA de dois níveis (CA raiz e uma CA subordinada). Se você quiser emitir certificados de entidade final com um tempo de vida útil de um ano, poderá configurar a vida útil da CA emissora subordinada para que seja de três anos. Esse é o período de validade padrão para um certificado CA subordinado em CA privada da AWS. Certificados CA subordinados podem ser alterados sem substituir o certificado CA raiz.

Certificados CA raiz

As alterações em um certificado de CA raiz afetam toda a infraestrutura PKI (de chave pública) e exigem que você atualize todos os sistemas operacionais dependentes do cliente e dos repositórios confiáveis do navegador. Para minimizar o impacto operacional, você deve escolher um período de validade longo para o certificado raiz. O CA privada da AWS padrão para certificados raiz é de dez anos.

Gerenciar a sucessão da CA

Você tem duas maneiras de gerenciar a sucessão da CA: substituir a CA antiga ou reemitir a CA com um novo período de validade.

Substitua uma CA antiga

Para substituir uma CA antiga, crie uma nova CA e encadeie-a à mesma CA pai. Depois disso, você emite certificados na nova CA.

Os certificados emitidos na nova CA têm uma nova cadeia de CA. Depois que a nova CA está estabelecida, é possível desabilitar a CA antiga para impedir a emissão de novos certificados. Quando desativada, a CA antiga suporta a revogação de certificados antigos emitidos pela CA e, se configurada para isso, continua validando certificados por meio de OCSP e/ou listas de revogação de certificados (). CRLs Quando o último certificado emitido da CA antiga expirar, você poderá excluir a CA antiga. É possível gerar um relatório de auditoria para todos os certificados emitidos pela CA para confirmar que todos os certificados emitidos expiraram. Se a CA antiga tiver subordinadosCAs, você também deverá substituí-los, pois os subordinados CAs expiram ao mesmo tempo ou antes da CA principal. Comece substituindo a CA superior na hierarquia que precisa ser substituída. Em seguida, crie um novo subordinado substituto CAs em cada nível inferior subsequente.

AWS recomenda que você inclua um identificador de geração de CA nos nomes deCAs, conforme necessário. Por exemplo, suponha que você nomeie a CA de primeira geração como “CA raiz corporativa”. Quando você cria a CA de segunda geração, nomeie-a como “CA raiz corporativa G2”. Essa convenção de nomenclatura simples pode ajudar a evitar confusão quando ambas não CAs expiram.

Esse método de sucessão de CA é preferido porque ele alterna a chave privada da CA. Alternar a chave privada é uma prática recomendada para chaves de CA. A frequência de rotação deve ser proporcional à frequência de uso da chave: aqueles CAs que emitem mais certificados devem ser alternados com mais frequência.

nota

Os certificados privados emitidos por meio ACM não podem ser renovados se você substituir a CA. Se você usar ACM para emissão e renovação, deverá reemitir o certificado CA para estender a vida útil da CA.

Reemita uma CA antiga

Quando uma CA está se aproximando do vencimento, um método alternativo de prolongar sua vida útil é reemitir o certificado de CA com uma nova data de expiração. A reemissão mantém todos os metadados da CA em vigor e preserva as chaves públicas e privadas existentes. Nesse cenário, a cadeia de certificados existente e os certificados de entidade final não expirados emitidos pela CA permanecem válidos até expirarem. A emissão de novos certificados também pode continuar sem interrupção. Para atualizar uma CA com um certificado reemitido, siga os procedimentos de instalação comuns descritos em Instalando o certificado CA.

nota

Recomendamos substituir uma CA expirada em vez de reemitir seu certificado devido às vantagens de segurança obtidas com a alternância para um novo par de chaves.

Revogar uma CA

É possível revogar uma CA revogando seu certificado subjacente. Isso também revoga efetivamente todos os certificados emitidos por essa CA. As informações de revogação são distribuídas aos clientes por meio de OCSPou a. CRL Revogue um certificado de CA somente se quiser revogar efetivamente todos os seus certificados de CA subordinada ou de entidade final emitidos.