我想計算 AWS 私有憑證授權機構 (AWS Private CA) 憑證的最長效期。
解決方案
ACM Private CA 會將效期欄位中設定的「不早於」日期和時間減去 60 分鐘。這可以彌補不同系統之間存在的 60 分鐘或以下的時間差。
您可藉由取得「NotAfter」日期的 epoch 時間格式來計算最長效期。然後,計算簽發終端實體憑證的時間與 CA 到期日之間的天數。
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確認您使用的是最新的 AWS CLI 版本。
1. 執行 AWS CLI 命令 describe-certificate-authority,如下所示:
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
輸出範例:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
"OwnerAccount": "123456789012",
"CreatedAt": "2019-10-22T19:26:52.721000+00:00",
"LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
"Type": "SUBORDINATE",
"Serial": "4096",
"Status": "ACTIVE",
"NotBefore": "2019-10-22T18:29:30+00:00",
"NotAfter": "2029-10-22T19:29:30+00:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "AU",
"Organization": "MINDEF/SAF",
"OrganizationalUnit": "AU",
"State": "Australia",
"CommonName": "example.com.au",
"Locality": "Australia"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "crl-123456789012-region",
"S3ObjectAcl": "PUBLIC_READ"
},
"OcspConfiguration": {
"Enabled": false
}
},
"KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
}
}
2. 計算簽發終端實體憑證的時間與 CA 到期日之間的天數。您可在時間和日期 AS 網站上使用天數計算器。在本範例中,終端實體憑證日期是 2019 年 10 月 22 日星期二,而 CA 的到期日是 2029 年 10 月 22 日星期一。
結果是 3252 天。CA 的 --validity 可使用的最大值為 3251 天。
**注意:**如果您使用的值等於或大於 3252 天,則 AWS CLI 命令輸出會傳回類似下列內容的 "ValidationException" 錯誤:
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
如需詳細資訊,請參閱 Managing the private CA lifecycle (管理私有 CA 生命週期)。
相關資訊
當 ACM-PCA 效期小於 13 個月時,如何使用 ACM 主控台申請私有憑證?