Was ist die maximale Gültigkeitsdauer von AWS Private CA, die ich verwenden kann, wenn ich ein neues privates Zertifikat anfordere?

Lösung

ACM Private CA setzt das Datum „Nicht vor“ im Gültigkeitsfeld auf Datum und Uhrzeit minus 60 Minuten. Dadurch werden Zeitinkonsistenzen zwischen Systemen von 60 Minuten oder weniger ausgeglichen.

Sie können die maximale Gültigkeitsdauer berechnen, indem Sie das Epochenzeitformat für das „NotAfter“-Datum abrufen. Berechnen Sie dann die Anzahl der Tage zwischen der Ausstellung des Endentitätszertifikats und dem Ablaufdatum der Zertifizierungsstelle.

Hinweis: Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

1.    Führen Sie den AWS-CLI-Befehl describe-certificate-authority ähnlich wie folgt aus:

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

Beispielausgabe:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    Berechnen Sie die Anzahl der Tage zwischen der Ausstellung des Endentitätszertifikats und dem Ablaufdatum der Zertifizierungsstelle. Sie können den Tagesrechner auf der Uhrzeit-und-Datum-AS-Website verwenden. In diesem Beispiel ist das Datum des Endentitätszertifikats Dienstag, der 22. Oktober 2019, und das Ablaufdatum der Zertifizierungsstelle ist Montag, der 22. Oktober 2029.

Das Ergebnis ist 3252 Tage. Die maximale Anzahl von Tagen, die Sie für --validity bei der Zeritifizierungsstelle angeben können, beträgt 3251 Tage.

Hinweis: Wenn Sie einen Wert verwenden, der 3252 Tagen oder mehr entspricht, gibt die AWS-CLI-Befehlsausgabe einen „ValidationException“-Fehler zurück, der dem folgenden ähnelt:

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

Weitere Informationen finden Sie unter Den Lebenszyklus einer privaten Zertifizierungsstelle verwalten.

Relevante Informationen

Wie kann ich ein privates Zertifikat mithilfe der ACM-Konsole anfordern, wenn die Dauer der ACM-PCA-Gültigkeitsdauer geringer ist als 13 Monate?