我想计算 AWS Private Certificate Authority(AWS Private CA)证书的最长有效期。
解决方法
ACM Private CA 将有效性字段中的“不早于”日期设置为日期和时间减去 60 分钟。这可以补偿 60 分钟或更短的系统之间的时间不一致。
您可以通过获取“不晚于”日期的新纪元时间格式来计算最长有效期。然后,计算签发终端实体证书的时间与 CA 的到期日期之间的天数。
**注意:**如果您在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您运行的是最新版本的 AWS CLI。
1. 运行类似于以下内容的 AWS CLI 命令 describe-certificate-authority:
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
输出示例:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
"OwnerAccount": "123456789012",
"CreatedAt": "2019-10-22T19:26:52.721000+00:00",
"LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
"Type": "SUBORDINATE",
"Serial": "4096",
"Status": "ACTIVE",
"NotBefore": "2019-10-22T18:29:30+00:00",
"NotAfter": "2029-10-22T19:29:30+00:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "AU",
"Organization": "MINDEF/SAF",
"OrganizationalUnit": "AU",
"State": "Australia",
"CommonName": "example.com.au",
"Locality": "Australia"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "crl-123456789012-region",
"S3ObjectAcl": "PUBLIC_READ"
},
"OcspConfiguration": {
"Enabled": false
}
},
"KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
}
}
2. 计算签发终端实体证书的时间与 CA 的到期日期之间的天数。您可以使用 Time and Date AS 网站上的天数计算器。在此示例中,终端实体证书日期为 2019 年 10 月 22 日星期二,CA 的到期日期为 2029 年 10 月 22 日星期一。
结果是 3252 天。您可以向 CA 申请的最长有效期天数为 3251 天。
**注意:**如果您使用的值等于或大于 3252 天,则 AWS CLI 命令输出会返回类似于以下内容的“ValidationException”错误:
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
有关更多信息,请参阅管理私有 CA 生命周期。
相关信息
当 ACM-PCA 的有效期短于 13 个月时,如何使用 ACM 控制台请求私有证书?