查看私有 CA - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看私有 CA

您可以使用 ACM 控制台或查看有关私有 CA 的详细元数据,并根据需要更改其中的几个值。 Amazon CLI 有关更新 CA 的详细信息,请参阅 更新私有 CA

在控制台中查看 CA 详细信息

  1. 登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home

  2. 查看私有证书颁发机构列表。您可以使用右上角的页码浏览多页 CA。

  3. 要显示所列 CA 的详细元数据,请选择您要检查的 CA 旁边的单选按钮。这将打开一个包含以下选项卡式视图的详细信息窗格:

    • 使用者选项卡 – 有关 CA 的可分辨名称的信息。有关更多信息,请参阅 使用者可分辨名称选项。显示的字段包括:

      • 使用者 – 提供的名称信息字段摘要

      • 组织(O)– 例如,公司名称

      • 组织单位(OU)– 例如,公司内部的部门

      • 国家/地区名称(C)– 两个字母的国家/地区代码

      • 州或省名称 – 州或省的全名

      • 所在地名称 – 城市的名称

      • 公用名 (CN) — 用于标识 CA 的人类可读字符串。

    • CA 证书选项卡 – 有关 CA 证书有效性的信息

      • 有效期至 – CA 证书在此之前有效的日期和时间

      • 到期时间 – 证书到期前的天数

    • 吊销配置选项卡 – 您当前选择的证书吊销选项。选择编辑进行更新。

      • 证书吊销列表(CRL)分配 – 状态为已启用已禁用

      • 在线证书状态协议(OCSP) – 状态为已启用已禁用

    • 权限选项卡 – 您当前通过 Amazon Certificate Manager (ACM)为此 CA 选择的证书续订权限。选择编辑进行更新。

    • ACM 续订授权 – 状态为已授权或未授权

    • 标签选项卡 – 您当前为此 CA 分配的可自定义标签。选择管理标签以更新。

    • 资源共享” 选项卡 — 您当前通过 Amazon Resource Access Manager (RAM) 为此 CA 分配的资源共享。选择管理资源共享以更新。

      • 名称 – 资源共享的名称

      • 状态 – 资源共享的状态

  4. 选择要检查的 CA 的 ID 字段以打开常规窗格。CA 的 32 字节十六进制唯一标识符将在顶部显示。该窗格提供以下附加信息:

    • 状态 – CA 状态。可能的值为正在创建待处理证书活动已删除已禁用已过期失败

    • ARN – CA 的 Amazon 资源名称

    • 所有者-拥有 CA 的 Amazon 账户。这可能是您的账户(自己),也可能是向您委派 CA 管理权限的账户。

    • CA 类型 – CA 的类型。可能的值为从属

    • 创建时间 – 创建 CA 的日期和时间。

    • 过期日期 – CA 证书过期的日期和时间。

    • 模式 – CA 的模式。可能的值为通用(可配置为任何到期日期的证书)和短期证书(最长有效期为七天的证书)。在某些情况下,较短的有效期可以取代吊销机制。默认值为通用

    • 密钥算法 – CA 支持的公有密钥算法。可能的值为 RSA 2048RSA 4096ECDSA P2567ECDSA P384

    • 签名算法 – CA 签署证书请求所用的算法。(不要与颁发证书时用于签署证书的 SigningAlgorithm 参数混淆。) 可能的值为 SHA256 ECDSASHA384 ECDSASHA512 ECDSASHA256 RSASHA384 RSASHA512 RSA

    • 密钥存储安全标准 – 联邦信息处理标准的符合程度。可能的值为 FIPS 140-2 级别 3 或更高级别FIPS 140-2 级别 3 或更高级别。此参数因 Amazon 区域而有所不同。

要查看和修改 CA 详细信息,请使用 Amazon CLI

使用 Amazon CLI 中的 describe-certificate-authority 命令显示有关 CA 的详细信息,如以下命令所示:

$ aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID

命令返回类似于下文的信息:

{
   "CertificateAuthority":{
      "Arn":"arn:aws:acm:region:account:certificate-authority/CA_ID",
      "CreatedAt":"2022-05-02T11:59:02.022000-07:00",
      "LastStateChangeAt":"2022-05-02T11:59:18.498000-07:00",
      "Type":"ROOT",
      "Serial":"serial_number",
      "Status":"ACTIVE",
      "NotBefore":"2022-05-02T10:59:17-07:00",
      "NotAfter":"2031-05-02T11:59:17-07:00",
      "CertificateAuthorityConfiguration":{
         "KeyAlgorithm":"RSA_2048",
         "SigningAlgorithm":"SHA256WITHRSA",
         "Subject":{
            "Organization":"testing_com"
         }
      },
      "RevocationConfiguration":{
         "CrlConfiguration":{
            "Enabled":false
         }
      }
   }
}

有关通过命令行更新私有 CA 的信息,请参阅 更新 CA(CLI)