Come posso revocare il mio certificato privato ACM?
Come posso revocare un certificato privato fornito dalla Gestione certificati AWS (ACM)?
Breve descrizione
Puoi revocare un certificato privato ACM utilizzando il comando revoke-certificate dell'Interfaccia della linea di comando AWS (AWS CLI).
Risoluzione
Segui queste istruzioni a seconda che il certificato privato ACM sia stato creato con l'API IssueCertificate o nella console di gestione AWS con l'API RequestCertificate.
Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.
Revoca un certificato privato ACM creato utilizzando l'API IssueCertificate
Fase 1: ottieni il numero di serie del certificato
Il seguente comando AWS CLI get-certificate restituisce il certificato in formato PEM con codifica base64 e lo salva nel file certificate.pem:
Nota: sostituisci l'ARN in questi esempi con il tuo ARN.
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
Fase 2: decodifica il certificato con OpenSSL per ottenere il numero di serie
openssl x509 -in certificate.pem -noout -text
Output di esempio:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
Fase 3: revoca il certificato
Esegui il comando AWS CLI revoke-certificate in modo simile a quanto segue:
Nota: sostituisci l'esempio di numero di serie con il numero di serie fornito dalla fase 2.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Utilizza uno dei seguenti valori per specificare il motivo per cui è stato revocato il certificato:
- UNSPECIFIED
- KEY_COMPROMISE
- CERTIFICATE_AUTHORITY_COMPROMISE
- AFFILIATION_CHANGED
- SUPERSEDED
- CESSATION_OF_OPERATION
- PRIVILEGE_WITHDRAWN
- A_A_COMPROMISE
Nota: il comando revoke-certificate non restituisce una risposta.
Revoca un certificato privato ACM creato utilizzando la Console di gestione AWS o l'API RequestCertificate
Fase 1: ottieni il numero di serie del certificato
Esegui il comando AWS CLI describe-certificate in modo simile a quanto segue:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
Output di esempio:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
Fase 2: revoca il certificato
Esegui il comando AWS CLI revoke-certificate in modo simile a quanto segue:
Nota: sostituisci l'esempio di numero di serie con il numero di serie fornito dalla fase 1.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Utilizza uno dei seguenti valori per specificare il motivo per cui è stato revocato il certificato:
- A_A_COMPROMISE
- PRIVILEGE_WITHDRAWN
- CESSATION_OF_OPERATION
- SUPERSEDED
- AFFILIATION_CHANGED
- CERTIFICATE_AUTHORITY_COMPROMISE
- KEY_COMPROMISE
- UNSPECIFIED
Nota: il comando revoke-certificate non restituisce una risposta.
Conferma che il certificato privato ACM è stato revocato
Crea un report di verifica utilizzando l'AWS CLI
Per creare un report di verifica che elenchi ogni volta che viene utilizzata la chiave privata della CA, esegui il comando AWS CLI create-certificate-authority-audit-report:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON
Output di esempio:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
Prendi nota dell'ID della chiave Amazon Simple Storage Service (Amazon S3).
Ottieni l'oggetto Amazon S3 con il comando AWS CLI get-object:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
Output di esempio:
"revokedAt": "2021-01-30T15:24:55+0000"
Prendi nota del timestamp nel valore revokedAt. Il valore revokedAt esiste solo quando lo stato del certificato è REVOKED (REVOCATO).
Crea un report di verifica utilizzando la Console di gestione AWS
Segui le istruzioni per creare un report di verifica utilizzando la Console di gestione AWS.
Per ulteriori informazioni, consulta Revoking a private certificate.
Informazioni correlate

Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa