更新 CA(控制台) - AWS Private Certificate Authority
更新 CA 狀態(控制台) 更新 CA 的撤銷配置(控制台)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

更新 CA(控制台)

下列程序顯示如何使用更新現有 CA 組態 AWS Management Console。

更新 CA 狀態(控制台)

在此範例中,已啟用 CA 的狀態會變更為停用。

若要更新 CA 的狀態

  1. 登入您的 AWS 帳戶並在https://console.aws.amazon.com/acm-pca/家中開啟 AWS 私有 CA 主機

  2. 在 [私人憑證授權單位] 頁面上,從清單中選擇目前作用中的私人 CA。

  3. 在 [動] 功能表上,選擇 [用] 以停用私有 CA。

更新 CA 的撤銷配置(控制台)

您可以更新私有 CA 的撤銷組態,例如新增或移除OCSP或CRL支援,或修改其設定。

注意

CA 的撤銷組態變更不會影響已發行的憑證。若要讓受管理的撤銷運作,必須重新發行較舊的憑證。

對於OCSP,您可以變更下列設定:

  • 啟用或停用OCSP。

  • 啟用或停用自訂OCSP完整網域名稱 (FQDN)。

  • 變更FQDN.

對於 aCRL,您可以變更下列任何設定:

  • 私有 CA 是否產生憑證撤銷清單 () CRL

  • CRL到期前的天數。請注意, AWS 私有 CA 開始嘗試CRL在 ½ 重新生成您指定的天數。

  • 保存您的 Amazon S3 存儲桶CRL的名稱。

  • 用於在公開檢視中隱藏 Amazon S3 儲存貯體名稱的別名。

重要

變更上述任何參數都可能會產生負面影響。範例包括停用產CRL生、變更有效期,或在您將私有 CA 置於生產環境之後變更 S3 儲存貯體。此類變更可能會破壞取決於CRL和目前CRL組態的現有憑證。您可以安全地變更別名,只要舊別名仍連結到正確的儲存貯體。

若要更新撤銷設定

  1. 登入您的 AWS 帳戶,然後在https://console.aws.amazon.com/acm-pca/家中開啟 AWS 私有 CA 主機。

  2. 在 [私人憑證授權單位] 頁面上,從清單中選擇私有 CA。這會開啟 CA 的詳細資料面板。

  3. 選擇撤銷組態索引標籤,然後選擇編輯

  4. 憑證撤銷選項下,會顯示兩個選項:

    • 啟動CRL發佈

    • 開啟 OCSP

    您可以為 CA 設定這些撤銷機制,也可以設定這兩種撤銷機制。雖然選擇性,但建議使用管理撤銷作為最佳作法。在完成此步驟之前,請設定憑證撤銷方法參閱以取得有關每種方法的優點、可能需要的初步設定以及其他撤銷功能的資訊。

  1. 選取 [啟動CRL發佈]。

  2. 若要為您的CRL項目建立 Amazon S3 儲存貯體,請選取建立新的 S3 儲存貯體。提供唯一的值區名稱。(您不需要包含指向儲存貯體的路徑。) 否則,請不要選取此選項,然後從 S3 儲存貯體名稱清單中選擇現有儲存貯體。

    如果您建立新值區,請建 AWS 私有 CA 立並附加必要的存取原則至該值區。如果您決定使用現有值區,則必須先附加存取政策,然後才能開始產生CRLs。使用中所述的其中一個策略模式Amazon S3 中 CRL 的訪問政策 。如需附加政策的相關資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策

    注意

    當您使用 AWS 私有 CA 主控台時,如果同時符合下列兩種情況,嘗試建立 CA 就會失敗:

    • 您正在 Amazon S3 儲存貯體或帳戶上強制執行區塊公開存取設定。

    • 您 AWS 私有 CA 要求自動建立 Amazon S3 儲存貯體。

    在此情況下,主控台預設會嘗試建立可公開存取的儲存貯體,而 Amazon S3 拒絕此動作。如果發生這種情況,請檢查您的 Amazon S3 設定。如需詳細資訊,請參閱封鎖 Amazon S3 儲存的公開存取

  3. 展開 Advanced (進階) 以取得其他組態選項。

    • 新增自訂CRL名稱,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在由「發CRL佈點」延伸模組 (由 RFC 5280 定義的 CA 所核發的憑證中) 中。

    • 輸入您CRL將保持有效的天數。預設值為 7 天。對於在線CRLs,有效期為 2-7 天是常見的。 AWS 私有 CA 嘗試在指定期CRL間的中點重新產生。

  4. 選擇「完成後保存更改」。

  1. 在 [憑證撤銷] 頁面上,選擇 [開啟 OCSP]。

  2. (選擇性) 在「自訂OCSP端點」欄位中,提供端OCSP點的完整網域名稱 (FQDN)。

    當您FQDN在此欄位中提供時,會FQDN將每個已發行憑證的「授權單位資訊存取」延伸模組 AWS 私有 CA 插入,以取代 AWS OCSP回應者URL的預設值。當端點收到包含自訂的憑證時FQDN,會查詢該位址以取得OCSP回應。為了使此機制正常運作,您需要採取兩個額外的動作:

    • 使用 Proxy 伺服器將到達您自訂的流量轉送FQDN給 AWS OCSP回應者。

    • 將相應的CNAME記錄添加到DNS數據庫中。

    提示

    如需使用自訂實作完整OCSP解決方案的詳細資訊CNAME,請參閱設定 AWS 私有 CA OCSP 的自訂網址

    例如,這是一個自定義CNAME記錄,OCSP因為它會顯示在 Amazon 路線 53。

    記錄名稱 Type 路由政策 微分器 值/將流量路由到

    替代例子

    		 CNAME 簡便 - 代理例子
    注意

    的值不CNAME得包含通訊協定前置詞,例如「http://」或「https://」。

  3. 選擇「完成後保存更改」。