Quero calcular o período máximo de validade de um certificado da AWS Private Certificate Authority (AWS Private CA)
Resolução
A ACM Private CA define a data “Not before” (Não antes de) no campo de validade como data e hora menos 60 minutos. Isso compensa as inconsistências de tempo em sistemas de 60 minutos ou menos.
Você pode calcular o período máximo de validade obtendo o formato de época para a data “Not After” (Não depois de). Em seguida, calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA.
Observação: se receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.
1. Execute o comando describe-certificate-authority da AWS CLI como no exemplo a seguir:
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
Exemplo de saída:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
"OwnerAccount": "123456789012",
"CreatedAt": "2019-10-22T19:26:52.721000+00:00",
"LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
"Type": "SUBORDINATE",
"Serial": "4096",
"Status": "ACTIVE",
"NotBefore": "2019-10-22T18:29:30+00:00",
"NotAfter": "2029-10-22T19:29:30+00:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "AU",
"Organization": "MINDEF/SAF",
"OrganizationalUnit": "AU",
"State": "Australia",
"CommonName": "example.com.au",
"Locality": "Australia"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "crl-123456789012-region",
"S3ObjectAcl": "PUBLIC_READ"
},
"OcspConfiguration": {
"Enabled": false
}
},
"KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
}
}
2. Calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA. Você pode usar a calculadora de dias no site Time and Date AS. Neste exemplo, a data do certificado end-entity é terça-feira, 22 de outubro de 2019, e a data de expiração da CA é segunda-feira, 22 de outubro de 2029.
O resultado é de 3252 dias. O número máximo de dias que você pode colocar para --validity com a CA é 3251 dias.
Observação: se você usar um valor igual ou superior a 3252 dias, a saída do comando da AWS CLI retornará um erro “ValidationException” semelhante ao seguinte:
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
Para obter mais informações, consulte Managing the private CA lifecycle (Gerenciar o ciclo de vida privado da CA).
Informações relacionadas
Como posso solicitar um certificado privado usando o console ACM quando o período de validade do ACM-PCA é inferior a 13 meses?