本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 CA(控制台)
以下过程说明如何使用 Amazon Web Services Management Console更新现有 CA 配置。
更新 CA 状态(控制台)
在此示例中,已启用 CA 的状态更改为已禁用。
更新 CA 的状态
-
登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home
-
在私有证书颁发机构页面上,从列表中选择当前处于活动状态的私有 CA。
-
在操作菜单上,选择禁用以禁用私有 CA。
更新 CA 的吊销配置(控制台)
您可以更新私有 CA 的吊销配置,例如,通过添加或删除 OCSP 或 CRL 支持,或者通过修改其设置。
注意
对 CA 吊销配置的更改不会影响已经颁发的证书。要使托管吊销生效,必须重新颁发较旧的证书。
对于 OCSP,您可以更改以下设置:
-
启用或禁用 OCSP。
-
启用或禁用自定义 OCSP 完全限定域名(FQDN)。
-
更改 FQDN。
对于 CRL,您可以更改以下任何设置:
-
私有 CA 是否生成证书吊销列表 (CRL)
-
CRL 过期前的天数。请注意, Amazon 私有 CA 开始尝试在您指定的天数的 ½ 时重新生成 CRL。
-
保存了您的 CRL 的 Amazon S3 桶的名称。
-
用于在公共视图中隐藏 Amazon S3 桶名称的别名。
重要
更改上述任何参数可能具有负面影响。示例包括在将私有 CA 投入生产后禁用 CRL 生成、更改有效期或更改 S3 桶。此类更改可能会破坏依赖于 CRL 和当前 CRL 配置的现有证书。更改别名可以安全地完成,只要旧别名保持链接到正确的存储桶。
更新吊销设置
-
登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home
。 -
在私有证书颁发机构页面上,从列表中选择一个私有 CA。这将打开 CA 的详细信息面板。
-
选择吊销配置选项卡,然后选择编辑。
-
在证书吊销选项下,显示两个选项:
-
激活 CRL 分配
-
打开 OCSP
您可以为 CA 配置这两个吊销机制中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为最佳实践。在完成此步骤之前,请参阅 设置证书吊销方法,了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。
-
-
选择激活 CRL 分配。
-
要为您的 CRL 条目创建 Amazon S3 桶,请选择创建新的 S3 桶。提供唯一的桶名称。(不需要包括存储桶的路径。) 否则,请取消选中此选项,然后从 S3 存储桶名称列表中选择现有桶。
如果您创建了新的存储桶,则 Amazon 私有 CA 会创建所需的访问策略并将其附加到该存储桶。如果您决定使用现有桶,则必须先为其附加访问策略,然后才能开始生成 CRL。使用 Amazon S3 中 CRL 的访问策略 中所述的策略模式之一。有关附加策略的信息,请参阅使用 Amazon S3 控制台添加桶策略。
注意
使用 Amazon 私有 CA 控制台时,如果满足以下两个条件,则尝试创建 CA 将失败:
-
您正在对您的 Amazon S3 桶或账户强制执行阻止公共访问设置。
-
您要求 Amazon 私有 CA 自动创建 Amazon S3 存储桶。
在这种情况下,控制台默认会尝试创建可公共访问的桶,而 Amazon S3 会拒绝此操作。如果发生这种情况,请检查您的 Amazon S3 设置。有关更多信息,请参阅阻止对您的 Amazon S3 存储的公共访问。
-
-
展开高级以获取其他配置选项。
-
添加自定义 CRL 名称可为 Amazon S3 桶创建别名。此名称包含在由 CA 颁发的证书的“CRL 分配点”扩展中(由 RFC 5280 定义)。
-
键入您的 CRL 将保持有效的天数。默认值为 7 天。对于在线 CRL,有效期通常为 2-7 天。 Amazon 私有 CA 尝试在指定周期的中点重新生成 CRL。
-
-
完成后,选择保存更改。
-
在证书吊销页面上,选择打开 OCSP。
-
(可选)在自定义 OCSP 端点字段中,为您的 OCSP 端点提供完全限定的域名(FQDN)。
在此字段中提供 FQDN 时,将 FQDN Amazon 私有 CA 插入到每个已颁发证书的授权信息访问扩展插件中,以代替 Amazon OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:
-
使用代理服务器将到达您的自定义 FQDN 的流量转发给 Amazon OCSP 响应器。
-
将相应的 CNAME 记录添加到您的 DNS 数据库。
提示
有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 为 Amazon 私有 CA OCSP 配置自定义 URL。
例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。
记录名称 类型 路由策略 优势 值/流量路由至 alternative.example.com
别名记录 简便 - proxy.example.com 注意
CNAME 的值不得包含协议前缀,例如“http://”或“https://”。
-
-
完成后,选择保存更改。