AWS::ACMPCA::CertificateAuthority CrlConfiguration - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::ACMPCA::CertificateAuthority CrlConfiguration

包含证书吊销列表 (CRL) 的配置信息。您的私有证书颁发机构 (CA) 创建基本 CRL。不支持增量 CRL。您可以通过将 Enabled 参数设置为 true,为您新的或现有的私有 CA 启用 CRL。您的私有 CA 将 CRL 写入在 S3BucketName 参数中指定的 S3 存储桶。您可以通过为 CustomCname 参数指定值来隐藏存储桶的名称。您的私有 CA 将 CNAME 或 S3 存储桶名称复制到其法币的每个证书的 CRL 分配点扩展中。您的 S3 存储桶策略必须向 ACM 私有 CA 授予写入权限。

存储在 Amazon S3 中的 ACM 私有 CA 资产可以通过加密方式进行保护。有关更多信息,请参阅加密 CRL

您的私有 CA 使用 ExpirationInDays 参数中的值来计算 CRL 中的 nextUpdate 字段。CRL 将在下次更新期限一半时或在吊销证书时刷新。吊销证书时,这将记录在生成的下一个 CRL 中和下一个审计报告中。CRL 中仅列出处于有效时间内的证书。不包括过期证书。

CRL 包含以下字段:

  • Version (版本):RFC 5280 中定义的当前版本号为 V2。整数值为 0x1。

  • Signature Algorithm (签名算法):用于对 CRL 签名的算法的名称。

  • Issuer (发布者):发布 CRL 的您私有 CA 的 X.500 可分辨名称。

  • Last Update (上次更新时间):此 CRL 的发布日期和时间。

  • Next Update (下次更新时间):下次发布 CRL 的日期和时间。

  • Revoked Certificates (已吊销证书):吊销的证书列表。每个列表项都包含以下信息。

    • Serial Number (序列号):已吊销证书的序列号(十六进制格式)。

    • Revocation Date (吊销日期):吊销证书的日期和时间。

    • CRL Entry Extensions (CRL 条目扩展):CRL 条目的可选扩展。

      • X509v3 CRL Reason Code (x509v3 CRL 原因代码):吊销证书的原因。

  • CRL Extensions (CRL 扩展):CRL 的可选扩展。

    • X509v3 Authority Key Identifier (X509v3 颁发机构密钥标识符):标识与签署证书所用私有密钥关联的公有密钥。

    • X509v3 CRL Number (x509v3 CRL 编号):CRL 的十进制序列号。

  • Signature Algorithm (签名算法):您的私有 CA 对签署 CRL 所用算法的名称。

  • Signature Value (签名值):根据 CRL 计算的签名。

ACM 私有 CA 创建的证书吊销列表采用 DER 编码。您可以使用以下 OpenSSL 命令可来列出 CRL。

openssl crl -inform DER -text -in crl_path -noout

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "CustomCname" : String, "Enabled" : Boolean, "ExpirationInDays" : Integer, "S3BucketName" : String }

YAML

CustomCname: String Enabled: Boolean ExpirationInDays: Integer S3BucketName: String

属性

CustomCname

插入到证书 CRL 分配点扩展中的名称,该扩展允许为 CRL 分配点使用别名。如果您不希望 S3 存储桶的名称公开,请使用此值。

必需:否

类型:字符串

最低0

最高253

Update requires: No interruption

Enabled

指定是否启用证书吊销列表 (CRL) 的布尔值。您可以使用此值,在调用 CreateCertificateAuthority 操作时为新 CA 启用证书吊销,或者在调用 UpdateCertificateAuthority 操作时为现有 CA 启用证书吊销。

必需:否

类型:布尔值

Update requires: No interruption

ExpirationInDays

证书过期之前的天数。

必需:否

类型:整数

最低1

最高5000

Update requires: No interruption

S3BucketName

包含 CRL 的 S3 存储桶的名称。如果您没有为 CustomCname 参数提供值,则 S3 存储桶的名称将放入已发布证书的 CRL 分配点扩展中。您可以通过调用 UpdateCertificateAuthority 操作来更改存储桶的名称。您必须指定允许 ACM 私有 CA 将 CRL 写入存储桶的存储桶策略。

必需:否

类型:字符串

最低3

最高255

Update requires: No interruption