¿Cómo puedo revocar un certificado privado de AWS Private CA?

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Errores de solución de problemas de la AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Se puede crear un certificado privado de AWS Private CA con la acción de API IssueCertificate o con la acción de API RequestCertificate. Complete los pasos apropiados para su tipo de certificado privado de AWS Private CA.

Para revocar un certificado privado de AWS Private CA, utilice el comando revoke-certificate de la CLI de AWS.

Certificado privado de AWS Private CA creado con la API IssueCertificate

Siga estos pasos:

1. Para obtener el número de serie del certificado, ejecute el comando get-certificate. Este comando devuelve el certificado en formato PEM codificado en base64 y lo guarda en el archivo certificate.pem:

   aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \ --certificate-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
    \ --query 'Certificate' > certificate.pem --output text

   Nota: Sustituya el valor**--certificate-authority-arn** por el valor de su número de recurso de Amazon (ARN).

2. Para obtener el número de serie, descodifique el certificado con OpenSSL:

   openssl x509 -in certificate.pem -noout -text

   A continuación se muestra un resultado de ejemplo:

   Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>

3. Ejecute el comando revoke-certificate e introduzca el motivo por el que desea revocar el certificado:

   Nota: El comando revoke-certificate no devuelve ninguna respuesta.

   aws acm-pca revoke-certificate \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
   --revocation-reason "KEY_COMPROMISE"

   Utilice uno de los valores siguientes para especificar el motivo por el que desea revocar el certificado
   UNSPECIFIED
   KEY_COMPROMISE
   CERTIFICATE_AUTHORITY_COMPROMISE
   AFFILIATION_CHANGED
   SUPERSEDED
   CESSATION_OF_OPERATION
   PRIVILEGE_WITHDRAWN
   A_A_COMPROMISE

   Nota: Sustituya el valor --certificate-serial por el número de serie de su certificado. Sustituya el valor --revocation-reason por el motivo apropiado.

Certificado privado de AWS Private CA creado con la API RequestCertificate

Siga estos pasos:

1. Ejecute el comando describe-certificate para obtener el número de serie de su certificado:

   aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

   Nota: Sustituya el valor --certificate-arn por su valor de ARN.

   A continuación se muestra un resultado de ejemplo:

   "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

2. Para revocar el certificado, ejecute el comando revoke-certificate:

   Nota: El comando revoke-certificate no devuelve ninguna respuesta.

   aws acm-pca revoke-certificate \    
   --certificate-authority-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \    
   
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
   
   --revocation-reason "KEY_COMPROMISE"

   Utilice uno de los valores siguientes para especificar el motivo por el que desea revocar el certificado:
   A_A_COMPROMISE
   PRIVILEGE_WITHDRAWN
   CESSATION_OF_OPERATION
   SUPERSEDED
   AFFILIATION_CHANGED
   CERTIFICATE_AUTHORITY_COMPROMISE
   KEY_COMPROMISE
   UNSPECIFIED

   Nota: Sustituya el valor --certificate-serial por el número de serie de su certificado. Sustituya el valor --revocation-reason por el motivo apropiado.

Confirmar que el certificado privado de AWS Private CA está revocado

Cree un informe de auditoría con la CLI de AWS

1. Para crear un informe de auditoría que enumere todos los usos de la clave privada de la autoridad de certificación (CA), ejecute el comando create-certificate-authority-audit-report de la CLI de AWS:

   aws acm-pca create-certificate-authority-audit-report \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   
   --s3-bucket-name acmcrl2 \
   
   --audit-report-response-format JSON>/code>

   Nota: Sustituya el valor --certificate-authority-arn por su valor de ARN.

   A continuación se muestra un resultado de ejemplo:

   {     
   "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
   
   "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
   
   }

   Copie el ID de clave de Amazon Simple Storage Service (Amazon S3).

2. Obtenga el objeto Amazon S3 con el comando get-object de la CLI de AWS:

   aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
    revoked.txt

   Nota: Sustituya el valor**--key** por el valor S3Key del paso anterior.

   A continuación se muestra un resultado de ejemplo:

   "revokedAt": "2021-01-30T15:24:55+0000"

   revokedAt tiene un valor de marca de tiempo para indicar cuándo se revocó el certificado privado de AWS Private CA. El valor revokedAt solo existe cuando el estado del certificado es REVOKED.

Crear un informe de auditoría con la consola de administración de AWS

Para usar la consola de administración de AWS para crear un informe de auditoría, consulte Create an audit report.

Información relacionada

AWS Private CA best practices

Revoke a private certificate