Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

Qual è il periodo massimo di validità della CA privata AWS di cui posso usufruire quando richiedo un nuovo certificato privato?

3 minuti di lettura
0

Desidero calcolare il periodo massimo di validità di un certificato dell'Autorità privata per la gestione del certificato AWS (ACM CA privata).

Risoluzione

ACM CA privata imposta la data "Non prima" nel campo di validità su data e ora meno 60 minuti. Ciò compensa le incoerenze temporali tra i sistemi di 60 minuti o meno.

È possibile calcolare il periodo di validità massimo ottenendo il formato temporale dell'epoca per la data "Non dopo". Quindi, calcola il numero di giorni tra il momento dell'emissione del certificato end-entity e la data di scadenza della CA.

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1.    Esegui il comando AWS CLI describe-certificate-authority in modo simile a quanto segue:

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

Output di esempio:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    Calcola il numero di giorni tra il momento dell'emissione del certificato end-entity e la data di scadenza della CA. È possibile utilizzare il calcolatore dei giorni sul sito Web Time and Date AS. In questo esempio, la data del certificato end-entity è martedì 22 ottobre 2019 e la data di scadenza della CA è lunedì 22 ottobre 2029.

Il risultato è 3.252 giorni. Il numero massimo di giorni che puoi inserire nel campo --validity con la CA è 3.251 giorni.

Nota: se utilizzi un valore pari o superiore a 3.252 giorni, l'output del comando di AWS CLI restituisce un errore "ValidationException" simile al seguente:

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

Per ulteriori informazioni, consulta Managing the private CA lifecycle (Gestione del ciclo di vita della CA privata).


Informazioni correlate

How can I request a private certificate using the ACM console when ACM-PCA validity period is less than 13 months? (Come posso richiedere un certificato privato utilizzando la console ACM quando il periodo di validità di ACM PCA è inferiore a 13 mesi?)

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa