轮换IAM身份中心证书 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

轮换IAM身份中心证书

轮换 Ident IAM ity Center 证书是一个多步骤的过程,涉及以下内容:

  • 生成新证书

  • 将新证书添加到服务提供商的网站

  • 将新证书设置为活跃状态

  • 删除非活跃状态证书

按以下顺序使用以下所有过程来完成给定应用程序的证书轮换过程。

步骤 1:生成新证书。

可以将您生成的新 Ident IAM ity Center 证书配置为使用以下属性:

  • 有效期-指定在新的 Ident IAM ity Center 证书到期之前分配的时间(以月为单位)。

  • 密钥大小——确定密钥在加密算法中必须使用的位数。您可以将此值设置为 1024 位RSA或 2048 位。RSA有关密码学中密钥大小的工作原理的一般信息,请参阅密钥大小

  • 算法-指定 Ident IAM ity Center 在签署SAML断言/响应时使用的算法。您可以将此值设置为 SHA -1 或 SHA -256。 AWS 建议尽可能使用 SHA -256,除非您的服务提供商要求 SHA -1。有关密码算法工作原理的一般信息,请参阅公钥加密。

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择要为其生成新证书的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 “IAM身份中心元数据” 下,选择管理证书。 如果您没有 “配置” 选项卡或配置设置不可用,则无需轮换此应用程序的证书。

  5. 在 “IAM身份中心证书” 页面上,选择 “生成新证书”。

  6. 在 “生成新的 Ident IAM ity Center 证书” 对话框中,为 “有效期”、“算法” 和 “密钥大小” 指定相应的值。然后选择生成

步骤 2:更新服务提供商的网站。

使用以下步骤重新建立与应用程序服务提供商的信任。

重要

当您将新证书上传到服务提供商时,您的用户可能无法通过身份验证。要纠正这种情况,请按下一步所述将新证书设置为活跃状态。

  1. IAMIdentity Center 控制台中,选择您刚刚为其生成新证书的应用程序。

  2. 在应用程序详细信息页面上,选择编辑配置

  3. 选择查看说明,然后按照特定应用程序服务提供商网站的说明添加新生成的证书。

步骤 3:将新证书设置为活跃状态。

一个应用程序最多可以分配两个证书。IAMIdentity Center 将使用设置为有效的认证来签署所有SAML断言。

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择您的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 “IAM身份中心元数据” 下,选择管理证书

  5. IAMIdentity Center 证书页面上,选择要设置为激活的证书,选择操作,然后选择设置为激活

  6. 将所选证书设置为活跃状态对话框中,确认您了解将证书设置为活动可能需要重新建立信任,然后选择设为活跃

步骤 4:删除旧证书。

使用以下过程完成应用程序的证书轮换流程。您只能删除处于非活跃状态的证书。

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择您的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 “IAM身份中心元数据” 下,选择管理证书

  5. IAMIdentity Center 证书页面上,选择要删除的证书。选择 操作,然后选择 删除

  6. 删除证书对话框中,选择删除