當我申請新的私有憑證時,AWS Private CA 的最長效期是多久?

1 分的閱讀內容
0

我想計算 AWS 私有憑證授權機構 (AWS Private CA) 憑證的最長效期。

解決方案

ACM Private CA 會將效期欄位中設定的「不早於」日期和時間減去 60 分鐘。這可以彌補不同系統之間存在的 60 分鐘或以下的時間差。

您可藉由取得「NotAfter」日期的 epoch 時間格式來計算最長效期。然後,計算簽發終端實體憑證的時間與 CA 到期日之間的天數。

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確認您使用的是最新的 AWS CLI 版本

1.    執行 AWS CLI 命令 describe-certificate-authority,如下所示:

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

輸出範例:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    計算簽發終端實體憑證的時間與 CA 到期日之間的天數。您可在時間和日期 AS 網站上使用天數計算器。在本範例中,終端實體憑證日期是 2019 年 10 月 22 日星期二,而 CA 的到期日是 2029 年 10 月 22 日星期一。

結果是 3252 天。CA 的 --validity 可使用的最大值為 3251 天。

**注意:**如果您使用的值等於或大於 3252 天,則 AWS CLI 命令輸出會傳回類似下列內容的 "ValidationException" 錯誤:

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

如需詳細資訊,請參閱 Managing the private CA lifecycle (管理私有 CA 生命週期)。


相關資訊

當 ACM-PCA 效期小於 13 個月時,如何使用 ACM 主控台申請私有憑證?

AWS 官方
AWS 官方已更新 2 年前