创建 CA(控制台) - Amazon Private Certificate Authority
更新 CA 状态(控制台) 更新 CA 的吊销配置(控制台)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 CA(控制台)

以下过程说明如何使用 Amazon Web Services Management Console更新现有 CA 配置。

更新 CA 状态(控制台)

在此示例中,已启用 CA 的状态更改为已禁用。

更新 CA 的状态

  1. 登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home

  2. 私有证书颁发机构页面上,从列表中选择当前处于活动状态的私有 CA。

  3. 操作菜单上,选择禁用以禁用私有 CA。

更新 CA 的吊销配置(控制台)

您可以更新私有 CA 的吊销配置,例如,通过添加或删除 OCSP 或 CRL 支持,或者通过修改其设置。

注意

对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。

对于 OCSP,您可以更改以下设置:

  • 启用或禁用 OCSP。

  • 启用或禁用自定义 OCSP 完全限定域名(FQDN)。

  • 更改 FQDN。

对于 CRL,您可以更改以下任何设置:

  • 私有 CA 是否生成证书吊销列表 (CRL)

  • CRL 过期前的天数。请注意, Amazon 私有 CA 开始尝试在您指定的天数的 ½ 时重新生成 CRL。

  • 保存了您的 CRL 的 Amazon S3 桶的名称。

  • 用于在公共视图中隐藏 Amazon S3 桶名称的别名。

重要

更改上述任何参数可能具有负面影响。示例包括在将私有 CA 投入生产后禁用 CRL 生成、更改有效期或更改 S3 桶。此类更改可能会破坏依赖于 CRL 和当前 CRL 配置的现有证书。更改别名可以安全地完成,只要旧别名保持链接到正确的存储桶。

更新吊销设置

  1. 登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home

  2. 私有证书颁发机构页面上,从列表中选择一个私有 CA。这将打开 CA 的详细信息面板。

  3. 选择吊销配置选项卡,然后选择编辑

  4. 证书吊销选项下,显示两个选项:

    • 激活 CRL 分配

    • 打开 OCSP

    您可以为 CA 配置这两个吊销机制中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为最佳实践。在完成此步骤之前,请参阅 设置证书吊销方法,了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。

  1. 选择激活 CRL 分配

  2. 要为您的 CRL 条目创建 Amazon S3 桶,请选择创建新的 S3 桶。提供唯一的桶名称。(不需要包括存储桶的路径。) 否则,请取消选中此选项,然后从 S3 存储桶名称列表中选择现有桶。

    如果您创建了新的存储桶,则 Amazon 私有 CA 会创建所需的访问策略并将其附加到该存储桶。如果您决定使用现有桶,则必须先为其附加访问策略,然后才能开始生成 CRL。使用 Amazon S3 中 CRL 的访问策略 中所述的策略模式之一。有关附加策略的信息,请参阅使用 Amazon S3 控制台添加桶策略

    注意

    使用 Amazon 私有 CA 控制台时,如果满足以下两个条件,则尝试创建 CA 将失败:

    • 您正在对您的 Amazon S3 桶或账户强制执行阻止公共访问设置。

    • 您要求 Amazon 私有 CA 自动创建 Amazon S3 存储桶。

    在这种情况下,控制台默认会尝试创建可公共访问的桶,而 Amazon S3 会拒绝此操作。如果发生这种情况,请检查您的 Amazon S3 设置。有关更多信息,请参阅阻止对您的 Amazon S3 存储的公共访问

  3. 展开高级以获取其他配置选项。

    • 添加自定义 CRL 名称可为 Amazon S3 桶创建别名。此名称包含在由 CA 颁发的证书的“CRL 分配点”扩展中(由 RFC 5280 定义)。

    • 键入您的 CRL 将保持有效的天数。默认值为 7 天。对于在线 CRL,有效期通常为 2-7 天。 Amazon 私有 CA 尝试在指定周期的中点重新生成 CRL。

  4. 完成后,选择保存更改

  1. 证书吊销页面上,选择打开 OCSP

  2. (可选)在自定义 OCSP 端点字段中,为您的 OCSP 端点提供完全限定的域名(FQDN)。

    在此字段中提供 FQDN 时,将 FQDN Amazon 私有 CA 插入到每个已颁发证书的授权信息访问扩展插件中,以代替 Amazon OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:

    • 使用代理服务器将到达您的自定义 FQDN 的流量转发给 Amazon OCSP 响应器。

    • 将相应的 CNAME 记录添加到您的 DNS 数据库。

    提示

    有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 为 Amazon 私有 CA OCSP 配置自定义 URL

    例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。

    记录名称 类型 路由策略 优势 值/流量路由至

    alternative.example.com

    		 别名记录 简便 - proxy.example.com
    注意

    CNAME 的值不得包含协议前缀,例如“http://”或“https://”。

  3. 完成后,选择保存更改