本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 规划您的 Amazon 私有 CA 证书吊销方法
<a name="revocation-setup"></a>

在规划私有 PKI 时 Amazon 私有 CA，应考虑如何处理不再希望端点信任已颁发的证书的情况，例如端点的私钥被泄露的情况。解决此问题的常见方法是使用短期证书或配置证书吊销。短期证书将在很短的时间（几小时或几天）内过期，因此吊销没有任何意义，证书失效的时间与通知端点吊销证书的时间相差无几。本节介绍 Amazon 私有 CA 客户的吊销选项，包括配置和最佳实践。

寻找吊销方法的客户可以选择在线证书状态协议 (OCSP)、证书吊销列表 (CRLs) 或两者兼而有之。

**注意**  
如果您在未配置吊销的情况下创建 CA，以后可以随时对其进行配置。有关更多信息，请参阅 [在中更新私有 CA Amazon 私有证书颁发机构](PCAUpdateCA.md)。
+ **在线证书状态协议（OCSP）**

  Amazon 私有 CA 提供完全托管的 OCSP 解决方案，无需客户自己操作基础架构，即可通知端点证书已被吊销。客户可以使用 Amazon 私有 CA 控制台、API、CLI 或通过 Amazon CloudFormation单个操作在新的或现有 CAs 版本上启用 OCSP。尽管 CRLs 在端点上存储和处理并且可能会过时，但 OCSP 存储和处理要求是在响应者后端同步处理的。

  为证书颁发机构启用 OCSP 时，会在颁发的每个新证书的*授权信息访问* (AIA) 扩展中 Amazon 私有 CA 包含 OCSP 响应者的 URL。该扩展允许 Web 浏览器等客户端查询响应程序并确定是否可以信任终端实体或从属 CA 证书。响应程序返回经过加密签名的状态消息，以确保其真实性。

   Amazon 私有 CA OCSP 响应器符合 [RF](https://datatracker.ietf.org/doc/html/rfc5019) C 5019。

  **OCSP 注意事项**
  + OCSP 状态消息的签名算法与发放 CA 配置使用的签名算法相同。 CAs 在 Amazon 私有 CA 控制台中创建，默认使用 SHA256 WITHRSA 签名算法。其他支持的算法可以在 [CertificateAuthorityConfiguration](https://docs.amazonaws.cn/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html)API 文档中找到。
  + [APIPassthrough 如果启用 OCSP 响应器，则 CSRPassthrough证书模板将不适用于 AIA 扩展。](https://docs.amazonaws.cn/privateca/latest/userguide/UsingTemplates.html#template-varieties)
  + 托管 OCSP 服务的端点可在公共互联网上访问。想要使用 OCSP 但又不想拥有公共端点的客户需要运行自己的 OCSP 基础架构。
+ **证书吊销清单 () CRLs**

  证书吊销列表 (CRL) 是一个包含在预定到期日期之前已撤销的证书列表的文件。CRL 包含一份不应再信任的证书列表、吊销原因和其他相关信息。

  配置证书颁发机构 (CA) 时，可以选择 Amazon 私有 CA 创建完整的 CRL 还是分区的 CRL。您的选择决定了证书颁发机构可以颁发和吊销的最大证书数量。有关更多信息，请参阅 [Amazon 私有 CA 配额](https://docs.amazonaws.cn/general/latest/gr/pca.html#limits_pca)。

   **CRL 注意事项** 
  + 内存和带宽注意事项：由于本地下载和处理要求， CRLs 需要比 OCSP 更多的内存。但是，与 OCSP 相比，通过缓存吊销列表而不是检查每个连接的状态， CRLs可能会减少网络带宽。对于内存受限的设备，例如某些物联网设备，可以考虑使用分区。 CRLs
  + 更改 CRL 类型：从完整的 CRL 更改为分区 CRL 时，根据需要 Amazon 私有 CA 创建新分区，并将 IDP 扩展名添加到所有分区 CRLs，包括原始分区。从分区更改为完成仅更新一个 CRL，并防止将来撤消与先前分区关联的证书。

**注意**  
OCSP 和 OCS CRLs P 在撤销和状态更改可用性之间都存在一定的延迟。  
当您吊销证书时，OCSP 响应最多可能需要 60 分钟才能反映新状态。通常，OCSP 倾向于支持更快地分发撤销信息，因为与客户端 CRLs 可以缓存数天的撤销信息不同，OCSP 响应通常不会被客户端缓存。
通常在吊销证书大约 30 分钟后更新 CRL。如果 CRL 更新因任何原因失败， Amazon 私有 CA 则每 15 分钟再尝试一次。

## 吊销配置的一般要求
<a name="revocation-requirements"></a>

以下要求适用于所有吊销配置。
+ 禁用 CRLs 或 OCSP 的配置必须仅包含该`Enabled=False`参数，如果包含`CustomCname`或等其他参数，`ExpirationInDays`则配置将失败。
+ 在 CRL 配置中，`S3BucketName` 参数必须符合 [Amazon Simple Storage Service 桶命名规则](https://docs.amazonaws.cn/AmazonS3/latest/userguide/bucketnamingrules.html)。
+ 包含 CRLs 或 OCSP 的自定义规范名称 (CNAME) 参数的配置必须符合对在 CNAME 中使用特殊字符的[RFC7230](https://www.ietf.org/rfc/rfc7230.txt)限制。
+ 在 CRL 或 OCSP 配置中，CNAME 参数的值不得包含协议前缀，例如“http://”或“https://”。

**Topics**
+ [吊销配置的一般要求](#revocation-requirements)
+ [为以下各项设置 CRL Amazon 私有 CA](crl-planning.md)
+ [自定义 OCSP 网址 Amazon 私有 CA](ocsp-customize.md)