Atualizar uma CA (console) - AWS Private Certificate Authority
Atualizar o status de uma CA (console) Atualizar a configuração de revogação de uma CA (console)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar uma CA (console)

Os procedimentos a seguir mostram como atualizar configurações de CA existentes usando o AWS Management Console.

Atualizar o status de uma CA (console)

Neste exemplo, o status de uma CA habilitada é alterado para Desabilitada.

Para atualizar o status de uma CA

  1. Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa

  2. Na página Autoridades de certificação privadas, escolha na lista uma CA privada que esteja ativa.

  3. No menu Ações, escolha Desabilitar para desabilitar a CA privada.

Atualizar a configuração de revogação de uma CA (console)

Você pode atualizar a configuração de revogação da sua CA privada, por exemplo, adicionando ou removendo um ou o CRL suporte OCSP ou modificando suas configurações.

nota

As alterações na configuração de revogação de uma CA não afetam certificados que já foram emitidos. Para que a revogação gerenciada funcione, os certificados mais antigos devem ser reemitidos.

ParaOCSP, você altera as seguintes configurações:

  • Ativar ou desativarOCSP.

  • Ative ou desative um nome de domínio personalizado OCSP totalmente qualificado (FQDN).

  • Mude FQDN o.

Para aCRL, você pode alterar qualquer uma das seguintes configurações:

  • Se a CA privada gera uma lista de revogação de certificados () CRL

  • O número de dias antes de um CRL expirar. Observe que CA privada da AWS começa a tentar regenerar a CRL ½ do número de dias que você especificou.

  • O nome do bucket do Amazon S3 em que você CRL está salvo.

  • Um alias para ocultar o nome do bucket do Amazon S3 da visualização pública.

Importante

Alterar qualquer um dos parâmetros anteriores pode gerar efeitos negativos. Os exemplos incluem desativar a CRL geração, alterar o período de validade ou alterar o bucket do S3 depois de colocar sua CA privada em produção. Essas alterações podem violar os certificados existentes que dependem da configuração atual CRL e da CRL configuração atual. A alteração do alias pode ser feita com segurança, desde que o antigo alias permaneça vinculado ao bucket correto.

Para atualizar as configurações de revogação

  1. Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/casa.

  2. Na página Autoridades de certificação privadas, escolha sua CA privada na lista. Isso abre o painel de detalhes referente à CA.

  3. Escolha a guia Configuração de revogação e escolha Editar.

  4. Em Opções de revogação de certificado, duas opções são exibidas:

    • Ativar CRL distribuição

    • Ativar OCSP

    É possível configurar uma, nenhuma ou ambas as opções de revogação para sua CA. Embora opcional, a revogação gerenciada é recomendada como melhor prática. Antes de concluir essa etapa, consulte Configurar um método de revogação de certificado para obter informações sobre as vantagens de cada método, a configuração preliminar que talvez seja necessária e recursos adicionais de revogação.

  1. Selecione Ativar CRL distribuição.

  2. Para criar um bucket do Amazon S3 para suas CRL entradas, selecione Create a new S3 bucket. Dê um nome exclusivo para o bucket. (Você não precisa incluir o caminho para o bucket.) Caso contrário, deixe essa opção desmarcada e escolha um bucket existente na lista Nomes de buckets do S3.

    Se você criar um novo bucket, CA privada da AWS criará e anexará a política de acesso necessária a ele. Se você decidir usar um bucket existente, deverá anexar uma política de acesso a ele antes de começar a gerarCRLs. Use um dos padrões de política descritos em Políticas de acesso para CRLs o Amazon S3 . Para obter informações sobre como anexar uma política, consulte Adicionar uma política de bucket usando o console do Amazon S3.

    nota

    Quando você estiver usando o CA privada da AWS console, uma tentativa de criar uma CA falhará se as duas condições a seguir se aplicarem:

    • Você está aplicando configurações de Bloqueeio do acesso público ao seu bucket ou conta do Amazon S3.

    • Você solicitou CA privada da AWS a criação automática de um bucket do Amazon S3.

    Nessa situação, o console tenta por padrão criar um bucket acessível ao público, e o Amazon S3 rejeita essa ação. Verifique as configurações do Amazon S3 se isso ocorrer. Para obter mais informações, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3.

  3. Expanda Avançado para obter opções de configuração adicionais.

    • Adicione um CRLnome personalizado para criar um alias para seu bucket do Amazon S3. Esse nome está contido nos certificados emitidos pela CA na extensão “Pontos de CRL Distribuição” definida por RFC 5280.

    • Digite o número de dias em CRL que você permanecerá válido. O valor padrão é de 7 dias. Para on-lineCRLs, um período de validade de 2 a 7 dias é comum. CA privada da AWS tenta regenerar o CRL no ponto médio do período especificado.

  4. Quando terminar, escolha Salvar alterações.

  1. Na página de revogação do certificado, escolha Ativar. OCSP

  2. (Opcional) No campo OCSPEndpoint personalizado, forneça um nome de domínio totalmente qualificado (FQDN) para seu OCSP endpoint.

    Quando você fornece um FQDN neste campo, CA privada da AWS insere o FQDN na extensão de Acesso às Informações da Autoridade de cada certificado emitido no lugar do padrão URL para o AWS OCSP respondente. Quando um endpoint recebe um certificado contendo o personalizadoFQDN, ele consulta esse endereço para obter uma OCSP resposta. Para que esse mecanismo funcione, você precisa fazer duas ações adicionais:

    • Use um servidor proxy para encaminhar o tráfego que chega ao seu destino FQDN para o AWS OCSP respondente.

    • Adicione um CNAME registro correspondente ao seu DNS banco de dados.

    dica

    Para obter mais informações sobre a implementação de uma OCSP solução completa usando uma solução personalizadaCNAME, consulteConfigurando um personalizado para URL CA privada da AWS OCSP.

    Por exemplo, aqui está um CNAME registro personalizado, OCSP como ele apareceria no Amazon Route 53.

    Nome de registro Tipo Política de roteamento Diferenciador Valor/Encaminhar tráfego para

    alternative.example.com

    		 CNAME Simples - proxy.example.com
    nota

    O valor do não CNAME deve incluir um prefixo de protocolo como “http://” ou “https://”.

  3. Quando terminar, escolha Salvar alterações.