Wie widerrufe ich ein privates Zertifikat von AWS Private CA?

Behebung

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

Ein privates Zertifikat von AWS Private CA kann entweder mit der IssueCertificate-API-Aktion oder mit der RequestCertificate-API-Aktion erstellt werden. Führen Sie die entsprechenden Schritte für Ihren privaten Zertifikattyp von AWS Private CA aus.

Verwenden Sie den AWS-CLI-Befehl revoke-certificate, um ein privates Zertifikat von AWS Private CA zu widerrufen.

Privates Zertifikat von AWS Private CA, das mit der IssueCertificate API erstellt wurde

Führen Sie die folgenden Schritte aus:

1. Führen Sie den Befehl get-certificate aus, um die Seriennummer für das Zertifikat abzurufen. Dieser Befehl gibt das Base64-kodierte Zertifikat im PEM-Format zurück und speichert es in der Datei certificate.pem:

   aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \ --certificate-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
    \ --query 'Certificate' > certificate.pem --output text

   **Hinweis:**Ersetzen Sie den Wert --certificate-authority-arn durch Ihren Amazon Resource Number (ARN)-Wert.

2. Um die Seriennummer zu erhalten, dekodieren Sie das Zertifikat mit OpenSSL:

   openssl x509 -in certificate.pem -noout -text

   Das Folgende ist eine Beispielausgabe:

   Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>

3. Führen Sie den Befehl revoke-certificate aus und geben Sie einen Grund ein, warum Sie das Zertifikat widerrufen möchten:

   **Hinweis:**Der Befehl revoke-certificate gibt keine Antwort zurück.

   aws acm-pca revoke-certificate \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
   --revocation-reason "KEY_COMPROMISE"

   Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat widerrufen möchten.
   UNSPECIFIED
   KEY_COMPROMISE
   CERTIFICATE_AUTHORITY_COMPROMISE
   AFFILIATION_CHANGED
   SUPERSEDED
   CESSATION_OF_OPERATION
   PRIVILEGE_WITHDRAWN
   A_A_COMPROMISE

   Hinweis:Ersetzen Sie den Wert --certificate-serial durch die Seriennummer Ihres Zertifikats. Ersetzen Sie den Wert--revocation-reason durch den entsprechenden Grund.

Privates Zertifikat von AWS Private CA, das mit der RequestCertificate API erstellt wurde

Führen Sie die folgenden Schritte aus:

1. Führen Sie den Befehl describe-certificate aus, um die Seriennummer für Ihr Zertifikat abzurufen:

   aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

   **Hinweis:**Ersetzen Sie den Wert --certificate-arn durch Ihren ARN-Wert.

   Das Folgende ist eine Beispielausgabe:

   "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

2. Um das Zertifikat zu widerrufen, führen Sie den Befehl revoke-certificate aus:

   **Hinweis:**Der Befehl revoke-certificate gibt keine Antwort zurück.

   aws acm-pca revoke-certificate \    
   --certificate-authority-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \    
   
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
   
   --revocation-reason "KEY_COMPROMISE"

   Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat widerrufen möchten:
   A_A_COMPROMISE
   PRIVILEGE_WITHDRAWN
   CESSATION_OF_OPERATION
   SUPERSEDED
   AFFILIATION_CHANGED
   CERTIFICATE_AUTHORITY_COMPROMISE
   KEY_COMPROMISE
   UNSPECIFIED

   **Hinweis:**Ersetzen Sie den Wert --certificate-serial durch die Seriennummer Ihres Zertifikats. Ersetzen Sie den Wert --revocation-reason durch den entsprechenden Grund.

Bestätigen, dass das private Zertifikat von AWS Private CA widerrufen wurde

Einen Auditbericht mit der AWS CLI erstellen

1. Um einen Auditbericht zu erstellen, der jede Verwendung Ihres privaten Schlüssels Ihrer Zertifizierungsstelle (CA) auflistet, führen Sie den AWS-CLI-Befehl create-certificate-authority-audit-report aus:

   aws acm-pca create-certificate-authority-audit-report \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   
   --s3-bucket-name acmcrl2 \
   
   --audit-report-response-format JSON>/code>

   **Hinweis:**Ersetzen Sie den Wert --certificate-authority-arn durch Ihren ARN-Wert.

   Das Folgende ist eine Beispielausgabe:

   {     
   "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
   
   "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
   
   }

   Kopieren Sie die Amazon Simple Storage Service (Amazon S3)-Schlüssel-ID.

2. Rufen Sie das Amazon S3 Objekt mit dem AWS-CLI-Befehl get-object ab:

   aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
    revoked.txt

   **Hinweis:**Ersetzen Sie den Wert --key durch den S3Key-Wert aus dem vorherigen Schritt.

   Das Folgende ist eine Beispielausgabe:

   "revokedAt": "2021-01-30T15:24:55+0000"

   revokedAt hat einen Zeitstempelwert für den Widerruf des privaten Zertifikats von AWS Private CA. Der Wert revokedAt ist nur vorhanden, wenn der Zertifikatsstatus REVOKED lautet.

Einen Auditbericht mit der AWS Managementkonsole erstellen

Informationen zur Verwendung der AWS-Managementkonsole zum Erstellen eines Auditberichts finden Sie unter Erstellen eines Auditberichts.

Ähnliche Informationen

Bewährte Methoden für AWS Private CA

Ein privates Zertifikat widerrufen