Comment révoquer un certificat privé AWS Private CA ?

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), reportez-vous à la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Un certificat privé AWS Private CA peut être créé à l’aide de l’action d’API IssueCertificate ou de l’action d’API RequestCertificate. Suivez les étapes appropriées à votre type de certificat privé AWS Private CA.

Pour révoquer un certificat privé AWS Private CA, utilisez la commande revoke-certificate de l’AWS CLI.

Certificat privé AWS Private CA créé avec l’API IssueCertificate

Procédez comme suit :

1. Pour obtenir le numéro de série du certificat, exécutez la commande get-certificate. Cette commande renvoie le certificat au format PEM codé en base64 et l’enregistre dans le fichier certificate.pem :

   aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \ --certificate-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
    \ --query 'Certificate' > certificate.pem --output text

   Remarque : remplacez la valeur --certificate-authority-arn par la valeur de votre Amazon Resource Number (ARN).

2. Pour obtenir le numéro de série, décodez le certificat avec OpenSSL :

   openssl x509 -in certificate.pem -noout -text

   Vous trouverez ci-dessous un exemple de sortie :

   Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>

3. Exécutez la commande revoke-certificate et entrez la raison pour laquelle vous souhaitez révoquer le certificat :

   Remarque : la commande revoke-certificate ne renvoie pas de réponse.

   aws acm-pca revoke-certificate \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
   --revocation-reason "KEY_COMPROMISE"

   Utilisez l’une des valeurs suivantes pour spécifier la raison pour laquelle vous souhaitez révoquer le certificat
   UNSPECIFIED
   KEY_COMPROMISE
   CERTIFICATE_AUTHORITY_COMPROMISE
   AFFILIATION_CHANGED
   SUPERSEDED
   CESSATION_OF_OPERATION
   PRIVILEGE_WITHDRAWN
   A_A_COMPROMISE

   Remarque : remplacez la valeur --certificate-serial par le numéro de série de votre certificat. Remplacez la valeur --revocation-reason par la raison appropriée.

Certificat privé AWS Private CA créé avec l’API RequestCertificate

Procédez comme suit :

1. Exécutez la commande describe-certificate pour obtenir le numéro de série de votre certificat :

   aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

   Remarque : remplacez la valeur --certificate-arn par votre valeur ARN.

   Vous trouverez ci-dessous un exemple de sortie :

   "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

2. Pour révoquer le certificat, exécutez la commande revoke-certificate :

   Remarque : la commande revoke-certificate ne renvoie pas de réponse.

   aws acm-pca revoke-certificate \    
   --certificate-authority-arn
   arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
    \    
   
   --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
   
   --revocation-reason "KEY_COMPROMISE"

   Utilisez l’une des valeurs suivantes pour spécifier la raison pour laquelle vous souhaitez révoquer le certificat :
   A_A_COMPROMISE
   PRIVILEGE_WITHDRAWN
   CESSATION_OF_OPERATION
   SUPERSEDED
   AFFILIATION_CHANGED
   CERTIFICATE_AUTHORITY_COMPROMISE
   KEY_COMPROMISE
   UNSPECIFIED

   Remarque : remplacez la valeur --certificate-serial par le numéro de série de votre certificat. Remplacez la valeur --revocation-reason par la raison appropriée.

Confirmez que le certificat privé AWS Private CA est révoqué

Création d’un rapport d’audit à l’aide de l’interface de ligne de commande AWS

1. Pour créer un rapport d’audit répertoriant toutes les utilisations de la clé privée de votre autorité de certification (CA), exécutez la commande create-certificate-authority-audit-report de l’AWS CLI :

   aws acm-pca create-certificate-authority-audit-report \
   --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
   
   --s3-bucket-name acmcrl2 \
   
   --audit-report-response-format JSON>/code>

   Remarque : remplacez la valeur --certificate-authority-arn par votre valeur ARN.

   Vous trouverez ci-dessous un exemple de sortie :

   {     
   "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
   
   "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
   
   }

   Copiez l’ID de clé Amazon Simple Storage Service (Amazon S3).

2. Obtenez l’objet Amazon S3 à l’aide de la commande de l’interface de ligne de commande AWS get-object :

   aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
    revoked.txt

   Remarque : remplacez la valeur --key par la valeur S3Key de l’étape précédente.

   Vous trouverez ci-dessous un exemple de sortie :

   "revokedAt": "2021-01-30T15:24:55+0000"

   revokedAt possède une valeur d’horodatage indiquant la date à laquelle le certificat privé AWS Private CA a été révoqué. La valeur revokedAt n’existe que lorsque le statut du certificat est REVOKED.

Création d’un rapport d'audit avec la console de gestion AWS

Pour utiliser la console de gestion AWS afin de créer un rapport d’audit, consultez la section Créer un rapport d’audit.

Informations connexes

Bonnes pratiques d’AWS Private CA

Révoquer un certificat privé