轮换 IAM Identity Center 证书 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

轮换 IAM Identity Center 证书

轮换 IAM Identity Center 证书是一个多步骤过程,涉及以下内容:

  • 生成新证书

  • 将新证书添加到服务提供商的网站

  • 将新证书设置为活跃状态

  • 删除非活跃状态证书

按以下顺序使用以下所有过程来完成给定应用程序的证书轮换过程。

步骤 1:生成新证书。

可以将您生成的新 IAM Identity Center 证书配置为使用以下属性:

  • 有效期——指定新 IAM Identity Center 证书到期之前分配的时间(以月为单位)。

  • 密钥大小——确定密钥在加密算法中必须使用的位数。您可以将此值设置为 1024 位 RSA 或 2048 位 RSA。有关密码学中密钥大小的工作原理的一般信息,请参阅密钥大小

  • 算法-指定 IAM Identity Center 在签署 SAML 断言/响应时使用的算法。您可以将此值设置为 SHA-1 或 SHA-256。 Amazon 建议尽可能使用 SHA-256,除非您的服务提供商需要 SHA-1。有关密码算法工作原理的一般信息,请参阅公钥加密。

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择要为其生成新证书的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 IAM Identity Center 元数据下,选择管理证书。如果您没有配置选项卡或配置设置不可用,则无需轮换此应用程序的证书。

  5. IAM Identity Center 证书页面上,选择生成新证书

  6. 生成新的 IAM Identity Center 证书对话框中,为有效期算法密钥大小指定相应的值。然后选择生成

步骤 2:更新服务提供商的网站。

使用以下步骤重新建立与应用程序服务提供商的信任。

重要

当您将新证书上传到服务提供商时,您的用户可能无法通过身份验证。要纠正这种情况,请按下一步所述将新证书设置为活跃状态。

  1. IAM Identity Center 控制台中,选择您刚刚为其生成新证书的应用程序。

  2. 在应用程序详细信息页面上,选择编辑配置

  3. 选择查看说明,然后按照特定应用程序服务提供商网站的说明添加新生成的证书。

步骤 3:将新证书设置为活跃状态。

一个应用程序最多可以分配两个证书。IAM Identity Center 将使用设置为活动状态的证书签署所有 SAML 断言。

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择您的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 IAM Identity Center 元数据下,选择管理证书

  5. IAM Identity Center 证书页面上,选择要设置为活跃的证书,选择操作,然后选择设置为活跃

  6. 将所选证书设置为活跃状态对话框中,确认您了解将证书设置为活动可能需要重新建立信任,然后选择设为活跃

步骤 4:删除旧证书。

使用以下过程完成应用程序的证书轮换流程。您只能删除处于非活跃状态的证书。

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 在应用程序列表中,选择您的应用程序。

  4. 在应用程序详细信息页面上,选择配置选项卡。在 IAM Identity Center 元数据下,选择管理证书

  5. IAM Identity Center 证书页面上,选择要删除的证书。选择 操作,然后选择 删除

  6. 删除证书对话框中,选择删除