ACM 공인 인증서를 해지하려면 어떻게 해야 하나요?

간략한 설명

ACM 공인 인증서가 더 이상 필요하지 않은 경우 인증서를 삭제할 수 있습니다. 규정 준수를 위해 ACM 공인 인증서를 해지해야 하는 경우 AWS Support에서 사용자를 대신하여 이를 수행할 수 있습니다. 중요: 해지된 ACM 공인 인증서는 동일한 일련 번호로 다시 사용할 수 없습니다.

해결 방법

공인 인증서 해지 요청을 AWS Support에 제출

지침에 따라 AWS Management Console의 지원 센터에서 지원 사례를 생성합니다.

검증된 인증서를 이메일로 전송하는 경우, 다음과 유사한 이메일을 WHOIS에 등록된 주소 3개와 공통 도메인 이름 주소 5개로 전송합니다.

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

DNS 검증 인증서의 경우, AWS Support에서 사용자에게 DNS 데이터베이스에 고유한 TXT 레코드를 추가하여 도메인 소유권을 확인하도록 요청할 수 있습니다.

요청된 정보를 받고 도메인 소유권이 확인되면 AWS Support가 공인 인증서를 해지합니다.

OpenSSL을 사용하여 ACM 공인 인증서가 해지되었는지 확인

참고: OpenSSL 명령을 실행할 때 오류가 발생하는 경우, 최신 버전의 OpenSSL을 사용하고 있는지 확인하세요.

1.    도메인의 인증서 파일 정보를 가져와서 출력을.pem 파일에 저장합니다.

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    인증서에 Online Certificate Status Protocol(OCSP) URI가 있는지 확인합니다.

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    인증서 체인을 캡처합니다.

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    .pem 파일을 저장합니다.

5.    다음과 유사한 OCSP 요청을 보냅니다.

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

출력에서 응답이 취소되었는지 확인합니다.

---

관련 정보

모범 사례