AWS Private CA 使用範例 AWS CLI - AWS Command Line Interface

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Private CA 使用範例 AWS CLI

下列程式碼範例說明如何使用 AWS Command Line Interface 與來執行動作及實作常見案例 AWS Private CA。

Actions 是大型程式的程式碼摘錄,必須在內容中執行。雖然動作會告訴您如何呼叫個別服務函數,但您可以在其相關情境和跨服務範例中查看內容中的動作。

Scenarios (案例) 是向您展示如何呼叫相同服務中的多個函數來完成特定任務的程式碼範例。

每個範例都包含一個連結 GitHub,您可以在其中找到如何在內容中設定和執行程式碼的指示。

主題

動作

下列程式碼範例會示範如何使用create-certificate-authority-audit-report

AWS CLI

建立憑證授權單位稽核報告

下列create-certificate-authority-audit-report命令會為 ARN 識別的私有 CA 建立稽核報告。

aws acm-pca create-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-east-1:accountid:certificate-authority/12345678-1234-1234-1234-123456789012 --s3-bucket-name your-bucket-name --audit-report-response-format JSON

下列程式碼範例會示範如何使用create-certificate-authority

AWS CLI

建立私人憑證授權單位

下列create-certificate-authority命令會在您的 AWS 帳戶中建立私人憑證授權單位。

aws acm-pca create-certificate-authority --certificate-authority-configuration file://C:\ca_config.txt --revocation-configuration file://C:\revoke_config.txt --certificate-authority-type "SUBORDINATE" --idempotency-token 98256344

下列程式碼範例會示範如何使用delete-certificate-authority

AWS CLI

刪除私人憑證授權單位

下列delete-certificate-authority命令會刪除 ARN 識別的憑證授權單位。

aws acm-pca delete-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

下列程式碼範例會示範如何使用describe-certificate-authority-audit-report

AWS CLI

描述憑證授權單位的稽核報告

下列describe-certificate-authority-audit-report命令列示有關由 ARN 識別之 CA 的指定稽核報告的資訊。

aws acm-pca describe-certificate-authority-audit-report --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/99999999-8888-7777-6666-555555555555 --audit-report-id 11111111-2222-3333-4444-555555555555

下列程式碼範例會示範如何使用describe-certificate-authority

AWS CLI

描述私人憑證授權單位

下列describe-certificate-authority命令會列出 ARN 所識別之私有 CA 的相關資訊。

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

下列程式碼範例會示範如何使用get-certificate-authority-certificate

AWS CLI

擷取憑證授權單位 (CA) 憑證

下列get-certificate-authority-certificate命令會擷取 ARN 指定之私有 CA 的憑證和憑證鏈結。

aws acm-pca get-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

下列程式碼範例會示範如何使用get-certificate-authority-csr

AWS CLI

擷取憑證授權單位的憑證簽署要求

下列get-certificate-authority-csr命令會擷取 ARN 所指定之私有 CA 的 CSR。

aws acm-pca get-certificate-authority-csr --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --output text

下列程式碼範例會示範如何使用get-certificate

AWS CLI

擷取已發行的憑證

下列get-certificate範例會從指定的私有 CA 擷取憑證。

aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/6707447683a9b7f4055627ffd55cebcc \ --output text

輸出:

-----BEGIN CERTIFICATE----- MIIEDzCCAvegAwIBAgIRAJuJ8f6ZVYL7gG/rS3qvrZMwDQYJKoZIhvcNAQELBQAw cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl ....certificate body truncated for brevity.... tKCSglgZZrd4FdLw1EkGm+UVXnodwMtJEQyy3oTfZjURPIyyaqskTu/KSS7YDjK0 KQNy73D6LtmdOEbAyq10XiDxqY41lvKHJ1eZrPaBmYNABxU= -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- MIIDrzCCApegAwIBAgIRAOskdzLvcj1eShkoyEE693AwDQYJKoZIhvcNAQELBQAw cTELMAkGA1UEBhMCVVMxEzARBgNVBAgMCldhc2hpbmd0b24xEDAOBgNVBAcMB1Nl ...certificate body truncated for brevity.... kdRGB6P2hpxstDOUIwAoCbhoaWwfA4ybJznf+jOQhAziNlRdKQRR8nODWpKt7H9w dJ5nxsTk/fniJz86Ddtp6n8s82wYdkN3cVffeK72A9aTCOU= -----END CERTIFICATE-----

輸出的第一部分是證書本身。第二部分是鏈結至根 CA 憑證的憑證鏈結。請注意,當您使用此--output text選項時,會在兩個憑證片段之間插入一個TAB字元 (這是縮排文字的原因)。如果您打算使用此輸出並使用其他工具解析證書,則可能需要刪除該TAB字符,以便正確處理它。

  • 如需 API 詳細資訊,請參閱AWS CLI 命令參考GetCertificate中的。

下列程式碼範例會示範如何使用import-certificate-authority-certificate

AWS CLI

將您的憑證授權機構憑證匯入 ACM PCA

下列import-certificate-authority-certificate命令會將 ARN 指定之 CA 的已簽署私有 CA 憑證匯入 ACM PCA。

aws acm-pca import-certificate-authority-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate file://C:\ca_cert.pem --certificate-chain file://C:\ca_cert_chain.pem

下列程式碼範例會示範如何使用issue-certificate

AWS CLI

若要發行私人憑證

下列issue-certificate命令會使用 ARN 指定的私有 CA 來發行私有憑證。

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234
  • 如需 API 詳細資訊,請參閱AWS CLI 命令參考IssueCertificate中的。

下列程式碼範例會示範如何使用list-certificate-authorities

AWS CLI

列出您的私人憑證授權單位

下列list-certificate-authorities命令會列出您帳戶中所有私人 CA 的相關資訊。

aws acm-pca list-certificate-authorities --max-results 10

下列程式碼範例會示範如何使用list-tags

AWS CLI

列出憑證授權單位的標籤

以下list-tags命令列出與 ARN 指定的私有 CA 相關聯的標籤。

aws acm-pca list-tags --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/123455678-1234-1234-1234-123456789012 --max-results 10
  • 如需 API 詳細資訊,請參閱AWS CLI 命令參考ListTags中的。

下列程式碼範例會示範如何使用revoke-certificate

AWS CLI

撤銷私人憑證

下列revoke-certificate命令會從 ARN 識別的 CA 撤銷私有憑證。

aws acm-pca revoke-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:1234567890:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-serial 67:07:44:76:83:a9:b7:f4:05:56:27:ff:d5:5c:eb:cc --revocation-reason "KEY_COMPROMISE"

下列程式碼範例會示範如何使用tag-certificate-authority

AWS CLI

將標籤附加至私人憑證授權單位

下列tag-certificate-authority命令會將一或多個標籤附加至您的私有 CA。

aws acm-pca tag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice

下列程式碼範例會示範如何使用untag-certificate-authority

AWS CLI

從私人憑證授權單位移除一或多個標籤

下列untag-certificate-authority命令會從 ARN 識別的私有 CA 移除標籤。

aws acm-pca untag-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --tags Key=Purpose,Value=Website

下列程式碼範例會示範如何使用update-certificate-authority

AWS CLI

更新私人憑證授權單位的組態

以下update-certificate-authority命令更新 ARN 識別的私有 CA 的狀態和配置。

aws acm-pca update-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-1232456789012 --revocation-configuration file://C:\revoke_config.txt --status "DISABLED"