Come posso revocare un certificato privato AWS Private CA?

4 minuti di lettura
0

Desidero revocare un certificato privato AWS Private Certificate Authority (CA).

Risoluzione

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Un certificato privato AWS Private CA può essere creato con l'azione API IssueCertificate o con l'azione API RequestCertificate. Completa i passaggi appropriati per il tuo tipo di certificato privato AWS Private CA.

Per revocare un certificato privato AWS Private CA, utilizza il comando AWS CLI revoke-certificate.

Certificato privato AWS Private CA creato con l'API IssueCertificate

Completa i seguenti passaggi:

  1. Per ottenere il numero di serie del certificato, esegui il comando get-certificate. Questo comando restituisce il certificato in formato PEM con codifica base64 e lo salva nel file certificate.pem:

    aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \ --certificate-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
     \ --query 'Certificate' > certificate.pem --output text

    Nota: Sostituisci il valore**--certificate-authority-arn** con il tuo valore Amazon Resource Number (ARN).

  2. Per ottenere il numero di serie, decodifica il certificato con OpenSSL:

    openssl x509 -in certificate.pem -noout -text

    Di seguito è riportato un esempio di output:

    Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
  3. Esegui il comando revoke-certificate e inserisci il motivo per cui desideri revocare il certificato:

    Nota: Il comando revoke-certificate non restituisce una risposta.

    aws acm-pca revoke-certificate \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
    --revocation-reason "KEY_COMPROMISE"

    Utilizza uno dei seguenti valori per specificare il motivo per cui desideri revocare il certificato
    UNSPECIFIED
    KEY_COMPROMISE
    CERTIFICATE_AUTHORITY_COMPROMISE
    AFFILIATION_CHANGED
    SUPERSEDED
    CESSATION_OF_OPERATION
    PRIVILEGE_WITHDRAWN
    A_A_COMPROMISE

    Nota: Sostituisci il valore --certificate-serial con il numero di serie del tuo certificato. Sostituisci il valore**--revocation-reason** con il motivo appropriato.

Certificato privato AWS Private CA creato con l'API RequestCertificate

Completa i seguenti passaggi:

  1. Esegui il comando describe-certificate per ottenere il numero di serie del tuo certificato:

    aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

    Nota: Sostituisci il valore --certificate-arn con il tuo valore ARN.

    Di seguito è riportato un esempio di output:

    "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
  2. Per revocare il certificato, esegui il comando revoke-certificate:

    Nota: Il comando revoke-certificate non restituisce una risposta.

    aws acm-pca revoke-certificate \    
    --certificate-authority-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \    
    
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
    
    --revocation-reason "KEY_COMPROMISE"

    Utilizza uno dei seguenti valori per specificare il motivo per cui desideri revocare il certificato:
    A_A_COMPROMISE
    PRIVILEGE_WITHDRAWN
    CESSATION_OF_OPERATION
    SUPERSEDED
    AFFILIATION_CHANGED
    CERTIFICATE_AUTHORITY_COMPROMISE
    KEY_COMPROMISE
    UNSPECIFIED

    Nota: Sostituisci il valore --certificate-serial con il numero di serie del tuo certificato. Sostituisci il valore --revocation-reason con il motivo appropriato.

Conferma che il certificato privato AWS Private CA è stato revocato

Crea un report di audit con l'interfaccia della linea di comando di AWS

  1. Per creare un report di controllo che elenchi ogni utilizzo della chiave privata della tua autorità di certificazione (CA), esegui il comando AWS CLI create-certificate-authority-audit-report:

    aws acm-pca create-certificate-authority-audit-report \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    
    --s3-bucket-name acmcrl2 \
    
    --audit-report-response-format JSON>/code>

    Nota: Sostituisci il valore**--certificate-authority-arn** con il tuo valore ARN.

    Di seguito è riportato un esempio di output:

    {     
    "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
    
    "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
    
    }

    Copia l'ID chiave di Amazon Simple Storage Service (Amazon S3).

  2. Ottieni l'oggetto Amazon S3 con il comando AWS CLI get-object:

    aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
     revoked.txt

    Nota: Sostituisci il valore --key con il valore S3Key del passaggio precedente.

    Di seguito è riportato un esempio di output:

    "revokedAt": "2021-01-30T15:24:55+0000"

    revokedAt ha un valore di timestamp per il momento in cui il certificato privato AWS Private CA è stato revocato. Il valore revokedAt esiste solo quando lo stato del certificato è REVOKED.

Crea un report di audit con la Console di gestione AWS

Per utilizzare la Console di gestione AWS per creare un report di audit, consulta Creare un report di audit.

Informazioni correlate

Le migliori pratiche di AWS Private CA

Revoca un certificato privato

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa