Come posso revocare il mio certificato privato ACM?

3 minuti di lettura

Come posso revocare un certificato privato fornito dalla Gestione certificati AWS (ACM)?

Breve descrizione

Puoi revocare un certificato privato ACM utilizzando il comando revoke-certificate dell'Interfaccia della linea di comando AWS (AWS CLI).

Risoluzione

Segui queste istruzioni a seconda che il certificato privato ACM sia stato creato con l'API IssueCertificate o nella console di gestione AWS con l'API RequestCertificate.

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.

Revoca un certificato privato ACM creato utilizzando l'API IssueCertificate

Fase 1: ottieni il numero di serie del certificato

Il seguente comando AWS CLI get-certificate restituisce il certificato in formato PEM con codifica base64 e lo salva nel file certificate.pem:

Nota: sostituisci l'ARN in questi esempi con il tuo ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Fase 2: decodifica il certificato con OpenSSL per ottenere il numero di serie

openssl x509 -in certificate.pem -noout -text

Output di esempio:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Fase 3: revoca il certificato

Esegui il comando AWS CLI revoke-certificate in modo simile a quanto segue:

Nota: sostituisci l'esempio di numero di serie con il numero di serie fornito dalla fase 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Utilizza uno dei seguenti valori per specificare il motivo per cui è stato revocato il certificato:

UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE

Nota: il comando revoke-certificate non restituisce una risposta.

Revoca un certificato privato ACM creato utilizzando la Console di gestione AWS o l'API RequestCertificate

Fase 1: ottieni il numero di serie del certificato

Esegui il comando AWS CLI describe-certificate in modo simile a quanto segue:

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Output di esempio:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Fase 2: revoca il certificato

Esegui il comando AWS CLI revoke-certificate in modo simile a quanto segue:

Nota: sostituisci l'esempio di numero di serie con il numero di serie fornito dalla fase 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Utilizza uno dei seguenti valori per specificare il motivo per cui è stato revocato il certificato:

A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED

Nota: il comando revoke-certificate non restituisce una risposta.

Conferma che il certificato privato ACM è stato revocato

Crea un report di verifica utilizzando l'AWS CLI

Per creare un report di verifica che elenchi ogni volta che viene utilizzata la chiave privata della CA, esegui il comando AWS CLI create-certificate-authority-audit-report:

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Output di esempio:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Prendi nota dell'ID della chiave Amazon Simple Storage Service (Amazon S3).

Ottieni l'oggetto Amazon S3 con il comando AWS CLI get-object:

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Output di esempio:

"revokedAt": "2021-01-30T15:24:55+0000"

Prendi nota del timestamp nel valore revokedAt. Il valore revokedAt esiste solo quando lo stato del certificato è REVOKED (REVOCATO).

Crea un report di verifica utilizzando la Console di gestione AWS

Segui le istruzioni per creare un report di verifica utilizzando la Console di gestione AWS.

Per ulteriori informazioni, consulta Revoking a private certificate.

Informazioni correlate

ACM Private CA best practices

Argomenti

Sicurezza, identità e conformità

Tag

AWS Certificate Manager

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso richiedere un certificato privato utilizzando la console ACM quando il periodo di validità ACM-PCA è inferiore a 13 mesi?
AWS UFFICIALEAggiornata 2 anni fa
Come posso revocare il mio certificato pubblico ACM?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a condividere la mia ACM Private Certificate Authority con un altro account AWS?
AWS UFFICIALEAggiornata 2 anni fa
Come posso creare un elenco di revoche di certificati (CRL) per la mia ACM PCA?
AWS UFFICIALEAggiornata 2 anni fa