使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

请求新的私有证书时,我可以使用的最长 AWS Private CA 有效期是多久?

1 分钟阅读
0

我想计算 AWS Private Certificate Authority(AWS Private CA)证书的最长有效期。

解决方法

ACM Private CA 将有效性字段中的“不早于”日期设置为日期和时间减去 60 分钟。这可以补偿 60 分钟或更短的系统之间的时间不一致。

您可以通过获取“不晚于”日期的新纪元时间格式来计算最长有效期。然后,计算签发终端实体证书的时间与 CA 的到期日期之间的天数。

**注意:**如果您在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您运行的是最新版本的 AWS CLI

1.    运行类似于以下内容的 AWS CLI 命令 describe-certificate-authority

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

输出示例:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    计算签发终端实体证书的时间与 CA 的到期日期之间的天数。您可以使用 Time and Date AS 网站上的天数计算器。在此示例中,终端实体证书日期为 2019 年 10 月 22 日星期二,CA 的到期日期为 2029 年 10 月 22 日星期一。

结果是 3252 天。您可以向 CA 申请的最长有效期天数为 3251 天。

**注意:**如果您使用的值等于或大于 3252 天,则 AWS CLI 命令输出会返回类似于以下内容的“ValidationException”错误:

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

有关更多信息,请参阅管理私有 CA 生命周期


相关信息

当 ACM-PCA 的有效期短于 13 个月时,如何使用 ACM 控制台请求私有证书?

AWS 官方
AWS 官方已更新 2 年前