Qual é o período máximo de validade da AWS Private CA que posso usar ao solicitar um novo certificado privado?

3 minuto de leitura

Quero calcular o período máximo de validade de um certificado da AWS Private Certificate Authority (AWS Private CA)

Resolução

A ACM Private CA define a data “Not before” (Não antes de) no campo de validade como data e hora menos 60 minutos. Isso compensa as inconsistências de tempo em sistemas de 60 minutos ou menos.

Você pode calcular o período máximo de validade obtendo o formato de época para a data “Not After” (Não depois de). Em seguida, calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA.

Observação: se receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

1. Execute o comando describe-certificate-authority da AWS CLI como no exemplo a seguir:

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

Exemplo de saída:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2. Calcule o número de dias entre o momento da emissão do certificado end-entity e a data de expiração da CA. Você pode usar a calculadora de dias no site Time and Date AS. Neste exemplo, a data do certificado end-entity é terça-feira, 22 de outubro de 2019, e a data de expiração da CA é segunda-feira, 22 de outubro de 2029.

O resultado é de 3252 dias. O número máximo de dias que você pode colocar para --validity com a CA é 3251 dias.

Observação: se você usar um valor igual ou superior a 3252 dias, a saída do comando da AWS CLI retornará um erro “ValidationException” semelhante ao seguinte:

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

Para obter mais informações, consulte Managing the private CA lifecycle (Gerenciar o ciclo de vida privado da CA).

Informações relacionadas

Como posso solicitar um certificado privado usando o console ACM quando o período de validade do ACM-PCA é inferior a 13 meses?

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Por que recebi um erro de permissão GetBucketACL do Amazon S3 ao atualizar a minha configuração de CRL da Private Certificate Authority do ACM?
AWS OFICIALAtualizada há 2 anos
Como faço para solicitar um certificado privado usando o console do ACM quando o período de validade do ACM-PCA é inferior a 13 meses?
AWS OFICIALAtualizada há 2 anos
Como soluciono erros ao emitir um novo certificado do ACM-PCA?
AWS OFICIALAtualizada há 2 anos
Como compartilho minha autoridade de certificação privada do ACM com outra conta da AWS?
AWS OFICIALAtualizada há 2 anos