如何吊销 AWS Certificate Manager (ACM) 公有证书?
简短描述
如果您不再需要 ACM 公有证书,则可以删除该证书。如果您出于合规性原因需要吊销 ACM 公有证书,AWS Support 可以代您执行此操作。**重要提示:**不能使用相同的序列号再次使用已吊销的 ACM 公有证书。
解决方法
向 AWS Support 提交吊销公有证书的请求
按照说明在 AWS 管理控制台的支持中心创建支持案例。
对于通过电子邮件发送的验证证书,将向 WHOIS 中的三个注册地址和五个常用域名地址发送一封类似于以下内容的电子邮件:
Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.
Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>
Sincerely,
Amazon Trust Services
对于 DNS 验证证书,AWS Support 可能会联系您,要求您在 DNS 数据库中添加唯一的 TXT 记录以验证域所有权。
在收到请求的信息并确认域所有权后,AWS Support 将吊销公有证书。
验证是否已使用 OpenSSL 吊销了 ACM 公有证书
**注意:**如果在运行 OpenSSL 命令时遇到错误,请确保您使用的是最新版本的 OpenSSL。
1. 获取域的证书文件信息,并将输出保存到 .pem 文件中:
$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem
2. 检查证书是否具有 Online Certificate Status Protocol (OCSP) URI:
$ openssl x509 -noout -ocsp_uri -in example.pem
Output:
http://ocsp.rootca1.amazontrust.com
3. 捕获证书链:
$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null
4. 保存 .pem 文件。
5. 发送类似于以下内容的 OCSP 请求:
openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com
Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT
在输出中,请注意响应已被撤销。
相关信息
最佳实践