Qual é o período máximo de validade da AWS Private CA que posso usar ao solicitar um novo certificado privado?
Quero calcular o período máximo de validade de um certificado da AWS Private Certificate Authority (AWS Private CA)
Resolução
A ACM Private CA define a data “Not before” (Não antes de) no campo de validade como data e hora menos 60 minutos. Isso compensa as inconsistências de tempo em sistemas de 60 minutos ou menos.
Você pode calcular o período máximo de validade obtendo o formato de época para a data “Not After” (Não depois de). Em seguida, calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA.
Observação: se receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.
1. Execute o comando describe-certificate-authority da AWS CLI como no exemplo a seguir:
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
Exemplo de saída:
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012", "OwnerAccount": "123456789012", "CreatedAt": "2019-10-22T19:26:52.721000+00:00", "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00", "Type": "SUBORDINATE", "Serial": "4096", "Status": "ACTIVE", "NotBefore": "2019-10-22T18:29:30+00:00", "NotAfter": "2029-10-22T19:29:30+00:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "AU", "Organization": "MINDEF/SAF", "OrganizationalUnit": "AU", "State": "Australia", "CommonName": "example.com.au", "Locality": "Australia" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "crl-123456789012-region", "S3ObjectAcl": "PUBLIC_READ" }, "OcspConfiguration": { "Enabled": false } }, "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER" } }
2. Calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA. Você pode usar a calculadora de dias no site Time and Date AS. Neste exemplo, a data do certificado end-entity é terça-feira, 22 de outubro de 2019, e a data de expiração da CA é segunda-feira, 22 de outubro de 2029.
O resultado é de 3252 dias. O número máximo de dias que você pode colocar para --validity com a CA é 3251 dias.
Observação: se você usar um valor igual ou superior a 3252 dias, a saída do comando da AWS CLI retornará um erro “ValidationException” semelhante ao seguinte:
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
Para obter mais informações, consulte Managing the private CA lifecycle (Gerenciar o ciclo de vida privado da CA).
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há um mês
- AWS OFICIALAtualizada há 6 meses
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 meses