Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como revogar um certificado privado da AWS Private CA?

4 minuto de leitura
0

Quero revogar um certificado privado da AWS Private Certificate Authority (CA).

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Troubleshoot AWS CLI errors. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Um certificado privado da AWS Private CA pode ser criado com ação de API IssueCertificate ou RequestCertificate. Conclua as etapas apropriadas para seu tipo de certificado privado da AWS Private CA.

Para revogar um certificado privado da AWS Private CA, use o comando revoke-certificate da AWS CLI.

Certificado privado da AWS Private CA criado com a API IssueCertificate

Conclua as seguintes etapas:

  1. Para obter o número de série do certificado, execute o comando get-certificate. Esse comando retorna o certificado no formato PEM codificado em base64 e o salva no arquivo certificate.pem:

    aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

    Observação: substitua o valor --certificate-authority-arn pelo valor do seu Número de recurso da Amazon (ARN).

  2. Para obter o número de série, decodifique o certificado com OpenSSL:

    openssl x509 -in certificate.pem -noout -text

    Veja a seguir um exemplo de saída:

    Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>

  3. Execute o comando revoke-certificate e insira um motivo pelo qual você deseja revogar o certificado:

    Observação: o comando revoke-certificate não retorna uma resposta.

    aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
--revocation-reason "KEY_COMPROMISE"

    Use um dos seguintes valores para especificar por que você deseja revogar o certificado
    UNSPECIFIED
    KEY_COMPROMISE
    CERTIFICATE_AUTHORITY_COMPROMISE
    AFFILIATION_CHANGED
    SUPERSEDED
    CESSATION_OF_OPERATION
    PRIVILEGE_WITHDRAWN
    A_A_COMPROMISE

    Observação: substitua o valor --certificate-serial pelo número de série do seu certificado. Substitua o valor --revocation-reason pelo motivo apropriado.

Certificado privado da AWS Private CA criado com a API RequestCertificate

Conclua as seguintes etapas:

  1. Execute o comando describe-certificate para obter o número de série do seu certificado:

    aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

    Observação: substitua o valor --certificate-arn pelo valor do ARN.

    Veja a seguir um exemplo de saída:

    "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

  2. Para revogar o certificado, execute o comando revoke-certificate:

    Observação: o comando revoke-certificate não retorna uma resposta.

    aws acm-pca revoke-certificate \    
--certificate-authority-arn
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

    Use um dos seguintes valores para especificar por que você deseja revogar o certificado:
    A_A_COMPROMISE
    PRIVILEGE_WITHDRAWN
    CESSATION_OF_OPERATION
    SUPERSEDED
    AFFILIATION_CHANGED
    CERTIFICATE_AUTHORITY_COMPROMISE
    KEY_COMPROMISE
    UNSPECIFIED

    Observação: substitua o valor --certificate-serial pelo número de série do seu certificado. Substituir o valor --revocation-reason pelo motivo apropriado.

Confirmar se o certificado privado da AWS Private CA foi revogado

Criar um relatório de auditoria com a AWS CLI

  1. Para criar um relatório de auditoria que liste todos os usos da chave privada da sua autoridade de certificação (CA), execute o comando create-certificate-authority-audit-report da AWS CLI:

    aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \

--s3-bucket-name acmcrl2 \

--audit-report-response-format JSON>/code>

    Observação: substitua o valor --certificate-authority-arn pelo valor do ARN.

    Veja a seguir um exemplo de saída:

    {     
"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"

}

    Copie o ID da chave do Amazon Simple Storage Service (Amazon S3).

  2. Obtenha o objeto do Amazon S3 com o comando get-object da AWS CLI:

    aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

    Observação: substituir o valor --key pelo valor S3Key da etapa anterior.

    Veja a seguir um exemplo de saída:

    "revokedAt": "2021-01-30T15:24:55+0000"

    revokedAt tem um valor de registro de data e hora para quando o certificado privado da AWS Private CA foi revogado. O valor revokedAt existe somente quando o status do certificado é REVOKED.

Criar um relatório de auditoria com o Console de Gerenciamento da AWS

Para usar o Console de Gerenciamento da AWS para criar um relatório de auditoria, consulte Criar um relatório de auditoria.

Informações relacionadas

AWS Private CA best practices

Revoke a private certificate

Tópicos
Segurança, identidade e conformidade
Tags
AWS Certificate Manager
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 8 meses
Sem comentários

Conteúdo relevante