请求新的私有证书时,我可以使用的最长 AWS Private CA 有效期是多久?
1 分钟阅读
0
我想计算 AWS Private Certificate Authority(AWS Private CA)证书的最长有效期。
解决方法
ACM Private CA 将有效性字段中的“不早于”日期设置为日期和时间减去 60 分钟。这可以补偿 60 分钟或更短的系统之间的时间不一致。
您可以通过获取“不晚于”日期的新纪元时间格式来计算最长有效期。然后,计算签发终端实体证书的时间与 CA 的到期日期之间的天数。
**注意:**如果您在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您运行的是最新版本的 AWS CLI。
1. 运行类似于以下内容的 AWS CLI 命令 describe-certificate-authority:
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
输出示例:
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012", "OwnerAccount": "123456789012", "CreatedAt": "2019-10-22T19:26:52.721000+00:00", "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00", "Type": "SUBORDINATE", "Serial": "4096", "Status": "ACTIVE", "NotBefore": "2019-10-22T18:29:30+00:00", "NotAfter": "2029-10-22T19:29:30+00:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "AU", "Organization": "MINDEF/SAF", "OrganizationalUnit": "AU", "State": "Australia", "CommonName": "example.com.au", "Locality": "Australia" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "crl-123456789012-region", "S3ObjectAcl": "PUBLIC_READ" }, "OcspConfiguration": { "Enabled": false } }, "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER" } }
2. 计算签发终端实体证书的时间与 CA 的到期日期之间的天数。您可以使用 Time and Date AS 网站上的天数计算器。在此示例中,终端实体证书日期为 2019 年 10 月 22 日星期二,CA 的到期日期为 2029 年 10 月 22 日星期一。
结果是 3252 天。您可以向 CA 申请的最长有效期天数为 3251 天。
**注意:**如果您使用的值等于或大于 3252 天,则 AWS CLI 命令输出会返回类似于以下内容的“ValidationException”错误:
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
有关更多信息,请参阅管理私有 CA 生命周期。
相关信息
AWS 官方已更新 1 年前
没有评论
相关内容
- AWS 官方已更新 9 个月前
- AWS 官方已更新 3 年前
