Come posso revocare un certificato privato AWS Private CA?
Desidero revocare un certificato privato AWS Private Certificate Authority (CA).
Risoluzione
Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Un certificato privato AWS Private CA può essere creato con l'azione API IssueCertificate o con l'azione API RequestCertificate. Completa i passaggi appropriati per il tuo tipo di certificato privato AWS Private CA.
Per revocare un certificato privato AWS Private CA, utilizza il comando AWS CLI revoke-certificate.
Certificato privato AWS Private CA creato con l'API IssueCertificate
Completa i seguenti passaggi:
-
Per ottenere il numero di serie del certificato, esegui il comando get-certificate. Questo comando restituisce il certificato in formato PEM con codifica base64 e lo salva nel file certificate.pem:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
Nota: Sostituisci il valore**--certificate-authority-arn** con il tuo valore Amazon Resource Number (ARN).
-
Per ottenere il numero di serie, decodifica il certificato con OpenSSL:
openssl x509 -in certificate.pem -noout -text
Di seguito è riportato un esempio di output:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
-
Esegui il comando revoke-certificate e inserisci il motivo per cui desideri revocare il certificato:
Nota: Il comando revoke-certificate non restituisce una risposta.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Utilizza uno dei seguenti valori per specificare il motivo per cui desideri revocare il certificato
UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISENota: Sostituisci il valore --certificate-serial con il numero di serie del tuo certificato. Sostituisci il valore**--revocation-reason** con il motivo appropriato.
Certificato privato AWS Private CA creato con l'API RequestCertificate
Completa i seguenti passaggi:
-
Esegui il comando describe-certificate per ottenere il numero di serie del tuo certificato:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
Nota: Sostituisci il valore --certificate-arn con il tuo valore ARN.
Di seguito è riportato un esempio di output:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
-
Per revocare il certificato, esegui il comando revoke-certificate:
Nota: Il comando revoke-certificate non restituisce una risposta.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Utilizza uno dei seguenti valori per specificare il motivo per cui desideri revocare il certificato:
A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIEDNota: Sostituisci il valore --certificate-serial con il numero di serie del tuo certificato. Sostituisci il valore --revocation-reason con il motivo appropriato.
Conferma che il certificato privato AWS Private CA è stato revocato
Crea un report di audit con l'interfaccia della linea di comando di AWS
-
Per creare un report di controllo che elenchi ogni utilizzo della chiave privata della tua autorità di certificazione (CA), esegui il comando AWS CLI create-certificate-authority-audit-report:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON>/code>
Nota: Sostituisci il valore**--certificate-authority-arn** con il tuo valore ARN.
Di seguito è riportato un esempio di output:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
Copia l'ID chiave di Amazon Simple Storage Service (Amazon S3).
-
Ottieni l'oggetto Amazon S3 con il comando AWS CLI get-object:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
Nota: Sostituisci il valore --key con il valore S3Key del passaggio precedente.
Di seguito è riportato un esempio di output:
"revokedAt": "2021-01-30T15:24:55+0000"
revokedAt ha un valore di timestamp per il momento in cui il certificato privato AWS Private CA è stato revocato. Il valore revokedAt esiste solo quando lo stato del certificato è REVOKED.
Crea un report di audit con la Console di gestione AWS
Per utilizzare la Console di gestione AWS per creare un report di audit, consulta Creare un report di audit.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 3 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un mese fa