Comment puis-je révoquer mon certificat privé ACM ?

Brève description

Vous pouvez révoquer un certificat privé ACM à l'aide de la commande revoke-certificate de l’Interface de la ligne de commande AWS (AWS CLI).

Solution

Suivez ces instructions selon que le certificat privé ACM a été créé avec l'API IssueCertificate ou dans la console de gestion AWS avec l'API RequestCertificate.

Remarque : en cas d'erreurs lors de l'exécution de commandes AWS CLI, assurez-vous d'utiliser la version d'AWS CLI la plus récente.

Révoquer un certificat privé ACM créé à l'aide de l'API IssueCertificate

Étape 1 : obtenir le numéro de série des certificats

La commande AWS CLI get-certificate suivante génère le certificat au format PEM encodé en base64 et l'enregistre dans le fichier certificate.pem :

Remarque : dans ces exemples, remplacez l'ARN par votre ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Étape 2 : décoder le certificat avec OpenSSL pour obtenir le numéro de série

openssl x509 -in certificate.pem -noout -text

Exemple de sortie :

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Étape 3 : révoquer le certificat

Exécutez la commande AWS CLI revoke-certificate similaire à la suivante :

Remarque : remplacez l'exemple de numéro de série par la sortie de numéro de série que vous avez obtenue à l'étape 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Utiliser l'une des valeurs suivantes pour spécifier la raison pour laquelle vous avez révoqué le certificat :

• UNSPECIFIED
• KEY_COMPROMISE
• CERTIFICATE_AUTHORITY_COMPROMISE
• AFFILIATION_CHANGED
• SUPERSEDED
• CESSATION_OF_OPERATION
• PRIVILEGE_WITHDRAWN
• A_A_COMPROMISE

Remarque : la commanderevoke-certificate ne renvoie pas de réponse.

Révoquer un certificat privé ACM créé à l'aide de la console de gestion AWS ou de l'API RequestCertificate

Étape 1 : obtenir le numéro de série du certificat

Exécutez la commande AWS CLI describe-certificate similaire à la suivante :

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Exemple de sortie :

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Étape 2 : révoquer le certificat

Exécutez la commande AWS CLI revoke-certificate similaire à la suivante :

Remarque : remplacez l'exemple de numéro de série par la sortie de numéro de série que vous avez obtenue à l'étape 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Utiliser l'une des valeurs suivantes pour spécifier la raison pour laquelle vous avez révoqué le certificat :

• A_A_COMPROMISE
• PRIVILEGE_WITHDRAWN
• CESSATION_OF_OPERATION
• SUPERSEDED
• AFFILIATION_CHANGED
• CERTIFICATE_AUTHORITY_COMPROMISE
• KEY_COMPROMISE
• UNSPECIFIED

Remarque : la commande revoke-certificate ne renvoie pas de réponse.

Confirmer que le certificat privé ACM a été révoqué

Créer un rapport d'audit via AWS CLI

Pour créer un rapport d'audit qui répertorie chaque fois que votre clé privée CA est utilisée, exécutez la commande AWS CLI create-certificate-authority-audit-report :

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Exemple de sortie :

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Notez l'ID de la clé Amazon Simple Storage Service (Amazon S3).

Obtenez l'objet Amazon S3 avec la commande AWS CLI get-object :

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Exemple de sortie :

"revokedAt": "2021-01-30T15:24:55+0000"

Notez l'horodatage dans la valeur revokedAt. La valeurrevokedAt existe uniquement lorsque le statut du certificat est REVOKED (Révoqué).

Créer un rapport d'audit à l'aide de la console de gestion AWS

Suivez les instructions pour créer un rapport d'audit à l'aide de la console de gestion AWS.

Pour plus d'informations, consultez Révoquer un certificat privé.

---

Informations connexes

Bonnes pratiques liées à l’autorité de certification (CA) privée ACM