本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新 CA(控制台)
下列程序顯示如何使用更新現有 CA 組態 AWS Management Console。
更新 CA 狀態(控制台)
在此範例中,已啟用 CA 的狀態會變更為停用。
若要更新 CA 的狀態
-
登入您的 AWS 帳戶並在https://console.aws.amazon.com/acm-pca/家
中開啟 AWS 私有 CA 主機 -
在 [私人憑證授權單位] 頁面上,從清單中選擇目前作用中的私人 CA。
-
在 [動作] 功能表上,選擇 [停用] 以停用私有 CA。
更新 CA 的撤銷配置(控制台)
您可以更新私有 CA 的撤銷組態,例如新增或移除OCSP或CRL支援,或修改其設定。
注意
CA 的撤銷組態變更不會影響已發行的憑證。若要讓受管理的撤銷運作,必須重新發行較舊的憑證。
對於OCSP,您可以變更下列設定:
-
啟用或停用OCSP。
-
啟用或停用自訂OCSP完整網域名稱 (FQDN)。
-
變更FQDN.
對於 aCRL,您可以變更下列任何設定:
-
私有 CA 是否產生憑證撤銷清單 () CRL
-
CRL到期前的天數。請注意, AWS 私有 CA 開始嘗試CRL在 ½ 重新生成您指定的天數。
-
保存您的 Amazon S3 存儲桶CRL的名稱。
-
用於在公開檢視中隱藏 Amazon S3 儲存貯體名稱的別名。
重要
變更上述任何參數都可能會產生負面影響。範例包括停用產CRL生、變更有效期,或在您將私有 CA 置於生產環境之後變更 S3 儲存貯體。此類變更可能會破壞取決於CRL和目前CRL組態的現有憑證。您可以安全地變更別名,只要舊別名仍連結到正確的儲存貯體。
若要更新撤銷設定
-
登入您的 AWS 帳戶,然後在https://console.aws.amazon.com/acm-pca/家
中開啟 AWS 私有 CA 主機。 -
在 [私人憑證授權單位] 頁面上,從清單中選擇私有 CA。這會開啟 CA 的詳細資料面板。
-
選擇撤銷組態索引標籤,然後選擇編輯。
-
在憑證撤銷選項下,會顯示兩個選項:
-
啟動CRL發佈
-
開啟 OCSP
您可以為 CA 設定這些撤銷機制,也可以設定這兩種撤銷機制。雖然選擇性,但建議使用管理撤銷作為最佳作法。在完成此步驟之前,請設定憑證撤銷方法參閱以取得有關每種方法的優點、可能需要的初步設定以及其他撤銷功能的資訊。
-
-
選取 [啟動CRL發佈]。
-
若要為您的CRL項目建立 Amazon S3 儲存貯體,請選取建立新的 S3 儲存貯體。提供唯一的值區名稱。(您不需要包含指向儲存貯體的路徑。) 否則,請不要選取此選項,然後從 S3 儲存貯體名稱清單中選擇現有儲存貯體。
如果您建立新值區,請建 AWS 私有 CA 立並附加必要的存取原則至該值區。如果您決定使用現有值區,則必須先附加存取政策,然後才能開始產生CRLs。使用中所述的其中一個策略模式Amazon S3 中 CRL 的訪問政策 。如需附加政策的相關資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策。
注意
當您使用 AWS 私有 CA 主控台時,如果同時符合下列兩種情況,嘗試建立 CA 就會失敗:
-
您正在 Amazon S3 儲存貯體或帳戶上強制執行區塊公開存取設定。
-
您 AWS 私有 CA 要求自動建立 Amazon S3 儲存貯體。
在此情況下,主控台預設會嘗試建立可公開存取的儲存貯體,而 Amazon S3 拒絕此動作。如果發生這種情況,請檢查您的 Amazon S3 設定。如需詳細資訊,請參閱封鎖 Amazon S3 儲存的公開存取。
-
-
展開 Advanced (進階) 以取得其他組態選項。
-
新增自訂CRL名稱,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在由「發CRL佈點」延伸模組 (由 RFC 5280 定義的 CA 所核發的憑證中) 中。
-
輸入您CRL將保持有效的天數。預設值為 7 天。對於在線CRLs,有效期為 2-7 天是常見的。 AWS 私有 CA 嘗試在指定期CRL間的中點重新產生。
-
-
選擇「完成後保存更改」。
-
在 [憑證撤銷] 頁面上,選擇 [開啟 OCSP]。
-
(選擇性) 在「自訂OCSP端點」欄位中,提供端OCSP點的完整網域名稱 (FQDN)。
當您FQDN在此欄位中提供時,會FQDN將每個已發行憑證的「授權單位資訊存取」延伸模組 AWS 私有 CA 插入,以取代 AWS OCSP回應者URL的預設值。當端點收到包含自訂的憑證時FQDN,會查詢該位址以取得OCSP回應。為了使此機制正常運作,您需要採取兩個額外的動作:
-
使用 Proxy 伺服器將到達您自訂的流量轉送FQDN給 AWS OCSP回應者。
-
將相應的CNAME記錄添加到DNS數據庫中。
提示
如需使用自訂實作完整OCSP解決方案的詳細資訊CNAME,請參閱設定 AWS 私有 CA OCSP 的自訂網址。
例如,這是一個自定義CNAME記錄,OCSP因為它會顯示在 Amazon 路線 53。
記錄名稱 Type 路由政策 微分器 值/將流量路由到 替代例子
CNAME 簡便 - 代理例子 注意
的值不CNAME得包含通訊協定前置詞,例如「http://」或「https://」。
-
-
選擇「完成後保存更改」。