管理私有 CA 生命周期 - Amazon Private Certificate Authority
选择有效期管理 CA 继承吊销 CA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理私有 CA 生命周期

CA 证书具有固定的生命周期,即有效期。CA 证书过期后,由 CA 层次结构中其下方的从属 CA 直接或间接颁发的所有证书都将变为无效。您可以通过提前规划避免 CA 证书过期。

选择有效期

X.509 证书的有效期是必填的基本证书字段。它确定颁发证书 CA 证明证书可信的时间范围,但吊销除外。(根证书是自签名的,证明其自身的有效期。)

Amazon 私有 CA 并 Amazon Certificate Manager 协助配置证书有效期,但须遵守以下限制:

  • 由管理的证书的有效期 Amazon 私有 CA 必须短于或等于颁发该证书的 CA 的有效期。换句话说,子 CA 和终端实体证书的有效期不能超过其父证书。尝试使用 IssueCertificate API 颁发有效期大于或等于其父 CA 的 CA 证书将失败。

  • 由 Amazon Certificate Manager (ACM 生成私钥的证书)颁发和管理的证书的有效期为 13 个月(395 天)。ACM 管理这些证书的续订过程。如果您使用直接颁 Amazon 私有 CA 发证书,则可以选择任何有效期。

下图显示了嵌套有效期的典型配置。根证书有效期最长;终端实体证书的有效期相对较短;从属 CA 的有效期范围在这两者之间。

从属证书的有效期必须在其父证书的有效期内。

规划 CA 层次结构时,请确定 CA 证书的最佳生命周期。从要颁发的终端实体证书的所需生命周期反推。

终端实体证书

终端实体证书应具有与使用案例对应的有效期。较短的生命周期可在证书的私有密钥丢失或被盗的情况下,最大限度地减少证书的风险。然而,较短的生命周期意味着经常续订。未能续订即将到期的证书可能会导致停机。

如果发生安全漏洞,分布式使用的终端实体证书也会造成逻辑问题。您在规划时应考虑证书的续订和分发、受损证书的吊销以及吊销传播到依赖证书的客户端的速度。

通过 ACM 颁发的终端实体证书的默认有效期为 13 个月(395 天)。在中 Amazon 私有 CA,您可以使用 IssueCertificate API 来应用任何有效期,前提是该有效期少于签发的 CA 的有效期。

从属 CA 证书

从属 CA 证书的有效期应比其颁发的证书长得多。CA 证书比较合适的有效性范围是其颁发的任何子 CA 证书或终端实体证书的两到五倍。例如,假设您具有两级 CA 层次结构(根 CA 和一个从属 CA)。如果您要颁发具有一年生命周期的终端实体证书,则可以将从属颁发证书 CA 的生命周期配置为三年。这是中从属 CA 证书的默认有效期 Amazon 私有 CA。从属 CA 证书可以更改而无需替换根 CA 证书。

根证书

对根 CA 证书的更改会影响整个 PKI(公有密钥基础设施),并要求您更新所有依赖客户端操作系统和浏览器信任存储。为了最大限度地减少操作影响,您应为根证书选择较长的有效期。根证书的 Amazon 私有 CA 默认期限为十年。

管理 CA 继承

您可以通过两种方法管理 CA 继承:替换旧 CA,或重新颁发具有新有效期的 CA。

替换旧 CA

要替换旧 CA,请创建新 CA 并将其链接到同一父 CA。之后,您从该新 CA 颁发证书。

从新 CA 颁发的证书具有新的 CA 链。建立新 CA 后,您可以禁用旧 CA 以阻止其颁发新证书。在禁用后,旧 CA 支持吊销从该 CA 颁发的旧证书;如果配置为如此操作,它继续通过 OCSP 和/或证书吊销列表(CRL)来验证证书。当从旧 CA 颁发的最后一个证书过期时,您可以删除旧 CA。您可以为从该 CA 颁发的所有证书生成审计报告,以确认颁发的所有证书都已过期。如果旧 CA 具有从属 CA,则也必须替换它们,因为从属 CA 与其父 CA 同时或在此之前过期。首先替换层次结构中需要替换的最高级别 CA。然后在每个后续较低级别中创建新的替换从属 CA。

Amazon 建议您根据需要在 CA 的名称中包含 CA 生成标识符。例如,假设您将第一代 CA 命名为“公司根 CA”。创建第二代 CA 时,将其命名为“公司根 CA G2”。这种简单的命名约定有助于在两个 CA 都未过期时避免出现混淆。

这种 CA 继承方法是首选的,因为它轮换 CA 的私有密钥。轮换私有密钥是 CA 密钥的最佳实践。轮换频率应与密钥使用频率成正比:颁发更多证书的 CA 应更频繁地轮换。

注意

如果您替换 CA,则通过 ACM 颁发的私有证书无法续订。如果将 ACM 用于颁发和续订,则您必须重新颁发 CA 证书以延长 CA 的生命周期。

重新颁发旧 CA

当 CA 接近到期时,延长其使用寿命的另一种方法是重新颁发具有新到期日期的 CA 证书。重新颁发会保留所有 CA 元数据,并保留现有的私有密钥和公有密钥。在这种情况下,现有证书链和 CA 颁发的未到期的终端实体证书在到期之前一直有效。新证书的颁发也可以不间断地继续进行。要使用重新颁发的证书更新 CA,请按照 创建和安装 CA 证书 中所述的常规安装过程进行操作。

注意

建议更换即将到期的 CA,而不是重新颁发其证书,因为轮换到新密钥对可以获得安全优势。

吊销 CA

您可以通过吊销 CA 的基础证书来吊销 CA。这也有效地吊销了该 CA 颁发的所有证书。吊销信息通过 OCSP 或 CRL 的方式分发给客户端。只有当您希望吊销 CA 证书颁发的所有终端实体和从属 CA 证书时,才应吊销该 CA 证书。