AWS Certificate Manager (ACM) のパブリック証明書を取り消すにはどうすればよいですか?
簡単な説明
ACM パブリック証明書が不要になった場合は、証明書の削除ができます。コンプライアンス上の理由から ACM パブリック証明書を取り消す必要がある場合、AWS サポートはお客様に代わって取り消しすることができます。重要: 失効した ACM パブリック証明書は、同じシリアル番号で再び使用することはできません。
解決方法
パブリック証明書を取り消すリクエストを AWS サポートに送信
指示に従って、 AWS マネジメントコンソールのサポートセンターでサポートケースを作成します。
E メールで送信された検証済み証明書の場合、次のような E メールが WHOIS に登録されている 3 個のアドレスと 5 個の一般的なドメイン名アドレスに送信されます。
Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.
Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>
Sincerely,
Amazon Trust Services
DNS で検証された証明書の場合、ドメインの所有権を確認するために DNS データベースに一意の TXT レコードを追加するように AWS サポートから連絡を受ける場合があります。
AWS サポートが要求された情報を受け取り、ドメインの所有権を確認して、パブリック証明書を取り消します。
ACM パブリック証明書が OpenSSL で取り消されていることを確認
**注:**OpenSSL コマンドの実行時にエラーが発生した場合は、OpenSSL の最新バージョンを使用していることを確認してください。
1. ドメインの証明書ファイル情報を取得し、出力を.pem ファイルに保存します。
$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem
2. 証明書にオンライン証明書ステータスプロトコル (OCSP) URI があるかどうかを確認します。
$ openssl x509 -noout -ocsp_uri -in example.pem
Output:
http://ocsp.rootca1.amazontrust.com
3. 証明書チェーンをキャプチャします。
$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null
4. .pem ファイルを保存します。
5. 以下のような OCSP 要求を送信します。
openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com
Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT
出力では、応答が取り消されていることに注意してください。
関連情報
ベストプラクティス