As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualizando uma CA (CLI)
Os procedimentos a seguir mostram como atualizar o status e a configuração de revogação de uma CA existente usando a AWS CLI.
nota
As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.
Para atualizar o status da sua CA privada (AWS CLI)
Use o update-certificate-authoritycomando.
Isso é útil quando há uma CA existente com o status DISABLED
que você deseja definir como ACTIVE
. Para começar, confirme o status inicial da CA com o seguinte comando.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Isso resulta em uma saída semelhante à seguinte:
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
O seguinte comando define o status da CA privada como ACTIVE
. Isso apenas é possível quando um certificado válido está instalado na CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --status "ACTIVE"
Inspecione o novo status da CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
O status agora aparece como ACTIVE
.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
Em alguns casos, você pode ter uma CA ativa sem um mecanismo de revogação configurado. Se você quiser começar a usar uma lista de revogação de certificados (CRL), use o procedimento a seguir.
Para adicionar um CRL a a uma CA existente (AWS CLI)
-
Use o comando a seguir para inspecionar o status atual da CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonA saída confirma que a CA tem status
ACTIVE
, mas não está configurada para usar a. CRL{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Crie e salve um arquivo com um nome como
revoke_config.txt
para definir seus parâmetros CRL de configuração.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" } }nota
Ao atualizar uma CA de atestado de dispositivo Matter para ativá-laCRLs, você deve configurá-la para omitir a CDP extensão dos certificados emitidos para ajudar a se adequar ao padrão Matter atual. Para fazer isso, defina seus parâmetros CRL de configuração conforme ilustrado abaixo:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Inspecione novamente o status da CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonA saída confirma que o CA agora está configurado para usar umCRL.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "DOC-EXAMPLE-BUCKET1
", }, "OcspConfiguration": { "Enabled": false } } } }Em alguns casos, talvez você queira adicionar suporte à OCSP revogação em vez de ativar um, CRL como no procedimento anterior. Nesse caso, siga as seguintes etapas.
Para adicionar OCSP suporte a uma CA existente (AWS CLI)
-
Crie e salve um arquivo com um nome
revoke_config.txt
para definir seus OCSP parâmetros.{ "OcspConfiguration":{ "Enabled":true } }
-
Use o update-certificate-authoritycomando e o arquivo de configuração de revogação para atualizar a CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Inspecione novamente o status da CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arnarn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonA saída confirma que o CA agora está configurado para usoOCSP.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
nota
Você também pode configurar ambos CRL e OCSP oferecer suporte em uma CA.