AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Private CA のプライベート証明書を取り消すにはどうすればよいですか?

所要時間2分
0

AWS プライベート認証機関 (CA) のプライベート証明書を取り消したいです。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

AWS プライベート CA プライベート証明書は、IssueCertificate API アクション、または RequestCertificate API アクションを使用して作成できます。お使いの AWS プライベート CA プライベート証明書タイプに応じた手順を実行します。

AWS プライベート CA プライベート証明書を取り消すには、AWS CLI コマンド revoke-certificateを使用します。

IssueCertificate API を使用して作成された AWS プライベート CA プライベート証明書

次の手順を実行します。

  1. get-certificate コマンドを実行して、証明書のシリアル番号を取得します。このコマンドは、base64 でエンコードされた PEM 形式の証明書を返し、certificate.pem ファイルに保存します。

    aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

    注:****--certificate-authority-arn の値を Amazon リソース番号 (ARN) の値に置き換えてください。

  2. OpenSSL で証明書をデコードして、シリアル番号を取得します。

    openssl x509 -in certificate.pem -noout -text

    次に示すのは出力サンプルです。

    Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>

  3. revoke-certificate コマンドを実行して、証明書を取り消す理由を入力します。

    **注:**revoke-certificate コマンドは応答を返しません。

    aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
--revocation-reason "KEY_COMPROMISE"

    次のいずれかの値を使用して、証明書を取り消す理由を指定します。
    UNSPECIFIED
    KEY_COMPROMISE
    CERTIFICATE_AUTHORITY_COMPROMISE
    AFFILIATION_CHANGED
    SUPERSEDED
    CESSATION_OF_OPERATION
    PRIVILEGE_WITHDRAWN
    A_A_COMPROMISE

    注:****--certificate-serial 値を証明書のシリアル番号に置き換えてください。--revocation-reason の値を適切な理由に置き換えてください。

RequestCertificate API を使用して作成された AWS プライベート CA プライベート証明書

次の手順を実行します。

  1. describe-certificate コマンドを実行して、証明書のシリアル番号を取得します。

    aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

    注:****--certificate-arn の値を自分の ARN 値に置き換えてください。

    次に示すのは出力サンプルです。

    "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

  2. 証明書を取り消すには、revoke-certificate コマンドを実行します。

    **注:**revoke-certificate コマンドは応答を返しません。

    aws acm-pca revoke-certificate \    
--certificate-authority-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

    証明書を取り消した理由を指定するには、次のいずれかの値を使用します。
    A_A_COMPROMISE
    PRIVILEGE_WITHDRAWN
    CESSATION_OF_OPERATION
    SUPERSEDED
    AFFILIATION_CHANGED
    CERTIFICATE_AUTHORITY_COMPROMISE
    KEY_COMPROMISE
    UNSPECIFIED

    注:****--certificate-serial 値を証明書のシリアル番号に置き換えてください。--revocation-reason の値を適切な理由に置き換えてください。

AWS プライベート CA プライベート証明書が取り消されたことを確認する

AWS CLI を使用して監査レポートを作成する

  1. 認証機関 (CA) プライベートキーが使用されるたびに一覧表示する監査レポートを作成するには、AWS CLI コマンド create-certificate-authority-audit-reportを実行します。

    aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \

--s3-bucket-name acmcrl2 \

--audit-report-response-format JSON>/code>

    注:****--certificate-authority-arn の値を自分の ARN 値に置き換えてください。

    次に示すのは出力サンプルです。

    {     
"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"

}

    Amazon Simple Storage Service (Amazon S3) のキー ID をコピーします。

  2. AWS CLI コマンド get-objectを使用して Amazon S3 オブジェクトを取得します。

    aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

    注:****--key の値を前のステップの S3Key の値に置き換えてください。

    次に示すのは出力サンプルです。

    "revokedAt": "2021-01-30T15:24:55+0000"

    RevokedAt には、AWS プライベート CA プライベート証明書が取り消されたときのタイムスタンプ値があります。**RevokedAt ** 値は、証明書のステータスが REVOKEDの場合にのみ存在します。

AWS マネジメントコンソールを使用して監査レポートを作成する

AWS マネジメントコンソールを使用して監査レポートを作成するには、「監査レポートの作成」を参照してください。

関連情報

AWS プライベート CA のベストプラクティス

プライベート証明書を取り消す

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Certificate Manager
言語
日本語
AWS公式
AWS公式更新しました 5ヶ月前
コメントはありません

関連するコンテンツ