Comment puis-je révoquer un certificat privé AWS Certificate Manager (ACM) ?
Brève description
Vous pouvez révoquer un certificat privé ACM à l'aide de la commande revoke-certificate de l’Interface de la ligne de commande AWS (AWS CLI).
Solution
Suivez ces instructions selon que le certificat privé ACM a été créé avec l'API IssueCertificate ou dans la console de gestion AWS avec l'API RequestCertificate.
Remarque : en cas d'erreurs lors de l'exécution de commandes AWS CLI, assurez-vous d'utiliser la version d'AWS CLI la plus récente.
Révoquer un certificat privé ACM créé à l'aide de l'API IssueCertificate
Étape 1 : obtenir le numéro de série des certificats
La commande AWS CLI get-certificate suivante génère le certificat au format PEM encodé en base64 et l'enregistre dans le fichier certificate.pem :
Remarque : dans ces exemples, remplacez l'ARN par votre ARN.
aws acm-pca get-certificate --certificate-authority-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
\ --certificate-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
\ --query 'Certificate' > certificate.pem --output text
Étape 2 : décoder le certificat avec OpenSSL pour obtenir le numéro de série
openssl x509 -in certificate.pem -noout -text
Exemple de sortie :
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
Étape 3 : révoquer le certificat
Exécutez la commande AWS CLI revoke-certificate similaire à la suivante :
Remarque : remplacez l'exemple de numéro de série par la sortie de numéro de série que vous avez obtenue à l'étape 2.
aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
--revocation-reason "KEY_COMPROMISE"
Utiliser l'une des valeurs suivantes pour spécifier la raison pour laquelle vous avez révoqué le certificat :
- UNSPECIFIED
- KEY_COMPROMISE
- CERTIFICATE_AUTHORITY_COMPROMISE
- AFFILIATION_CHANGED
- SUPERSEDED
- CESSATION_OF_OPERATION
- PRIVILEGE_WITHDRAWN
- A_A_COMPROMISE
Remarque : la commanderevoke-certificate ne renvoie pas de réponse.
Révoquer un certificat privé ACM créé à l'aide de la console de gestion AWS ou de l'API RequestCertificate
Étape 1 : obtenir le numéro de série du certificat
Exécutez la commande AWS CLI describe-certificate similaire à la suivante :
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
Exemple de sortie :
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
Étape 2 : révoquer le certificat
Exécutez la commande AWS CLI revoke-certificate similaire à la suivante :
Remarque : remplacez l'exemple de numéro de série par la sortie de numéro de série que vous avez obtenue à l'étape 1.
aws acm-pca revoke-certificate \
--certificate-authority-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
\
--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
--revocation-reason "KEY_COMPROMISE"
Utiliser l'une des valeurs suivantes pour spécifier la raison pour laquelle vous avez révoqué le certificat :
- A_A_COMPROMISE
- PRIVILEGE_WITHDRAWN
- CESSATION_OF_OPERATION
- SUPERSEDED
- AFFILIATION_CHANGED
- CERTIFICATE_AUTHORITY_COMPROMISE
- KEY_COMPROMISE
- UNSPECIFIED
Remarque : la commande revoke-certificate ne renvoie pas de réponse.
Confirmer que le certificat privé ACM a été révoqué
Créer un rapport d'audit via AWS CLI
Pour créer un rapport d'audit qui répertorie chaque fois que votre clé privée CA est utilisée, exécutez la commande AWS CLI create-certificate-authority-audit-report :
aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
--s3-bucket-name acmcrl2 \
--audit-report-response-format JSON
Exemple de sortie :
{
"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",
"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
}
Notez l'ID de la clé Amazon Simple Storage Service (Amazon S3).
Obtenez l'objet Amazon S3 avec la commande AWS CLI get-object :
aws s3api get-object --bucket acmcrl2 --key
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
revoked.txt
Exemple de sortie :
"revokedAt": "2021-01-30T15:24:55+0000"
Notez l'horodatage dans la valeur revokedAt. La valeurrevokedAt existe uniquement lorsque le statut du certificat est REVOKED (Révoqué).
Créer un rapport d'audit à l'aide de la console de gestion AWS
Suivez les instructions pour créer un rapport d'audit à l'aide de la console de gestion AWS.
Pour plus d'informations, consultez Révoquer un certificat privé.
Informations connexes
Bonnes pratiques liées à l’autorité de certification (CA) privée ACM