Wie kann ich mein privates ACM-Zertifikat widerrufen?

Lesedauer: 3 Minute

Wie kann ich ein privates Zertifikat von AWS Certificate Manager (ACM) widerrufen?

Kurzbeschreibung

Sie können ein privates ACM-Zertifikat mit dem Befehl revoke-certificate im AWS Command Line Interface (AWS CLI) widerrufen.

Lösung

Folgen Sie diesen Anweisungen, je nachdem, ob das private ACM-Zertifikat mit der IssueCertificate-API oder in der AWS-Managementkonsole mit der RequestCertificate-API erstellt wurde.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

Widerrufen eines privaten ACM-Zertifikats, das mit der IssueCertificate-API erstellt wurde

Schritt 1: Seriennummer des Zertifikats abrufen

Der folgende AWS-CLI-Befehl get-certificate gibt das base64-codierte Zertifikat im PEM-Format aus und speichert es in der Datei certificate.pem:

Hinweis: Ersetzen Sie den ARN in diesen Beispielen durch Ihren ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Schritt 2: Dekodieren Sie das Zertifikat mit OpenSSL, um die Seriennummer zu erhalten

openssl x509 -in certificate.pem -noout -text

Beispielausgabe:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Schritt 3: Widerrufen Sie das Zertifikat

Führen Sie den AWS-CLI-Befehl revoke-certificate ähnlich wie folgt aus:

Hinweis: Ersetzen Sie das Beispiel für eine Seriennummer durch Ihre Seriennummernausgabe aus Schritt 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat gesperrt haben:

UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE

Hinweis: Der Befehl revoke-certificate gibt keine Antwort zurück.

Widerrufen eines privaten ACM-Zertifikats, das mit der AWS-Managementkonsole oder der RequestCertificate API erstellt wurde

Schritt 1: Holen Sie sich die Seriennummer des Zertifikats

Führen Sie den AWS-CLI-Befehl describe-certificate ähnlich wie folgt aus:

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Beispielausgabe:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Schritt 2: Widerrufen des Zertifikats

Führen Sie den AWS-CLI-Befehl revoke-certificate ähnlich wie folgt aus:

Hinweis: Ersetzen Sie das Beispiel für eine Seriennummer durch Ihre Seriennummernausgabe aus Schritt 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat gesperrt haben:

A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED

Hinweis: Der Befehl revoke-certificate gibt keine Antwort zurück.

Vergewissern Sie sich, dass das private ACM-Zertifikat gesperrt wurde

Erstellen Sie einen Prüfbericht mit der AWS-CLI

Führen Sie den AWS-CLI-Befehl create-certificate-authority-audit-report aus, um einen Prüfbericht zu erstellen, der jedes Mal auflistet, wenn Ihr privater CA-Schlüssel verwendet wird:

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Beispielausgabe:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Beachten Sie die Schlüssel-ID des Amazon Simple Storage Service (Amazon S3).

Rufen Sie das Amazon S3-Objekt mit dem AWS-CLI-Befehl get-object ab:

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Beispielausgabe:

"revokedAt": "2021-01-30T15:24:55+0000"

Beachten Sie den Zeitstempel im revokedAt-Wert. Der Wert revokedAt ist nur vorhanden, wenn der Zertifikatsstatus REVOKED lautet.

Erstellen Sie einen Prüfbericht mit der AWS-Managementkonsole

Folgen Sie den Anweisungen, um mithilfe der AWS-Managementkonsole einen Prüfbericht zu erstellen.

Weitere Informationen finden Sie unter Widerrufen eines privaten Zertifikats.

Relevante Informationen

Bewährte ACM-Private-CA-Methoden

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie weise ich dem Primärknoten meines Amazon EMR-Clusters eine statische private IP-Adresse zu?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie kann ich Probleme mit der DNS-Auflösung in meiner privaten gehosteten Route-53-Zone beheben?
AWS OFFICIALAktualisiert vor 10 Monaten
Welche Optionen von Amazon VPC muss ich aktivieren, um meine private gehostete Zone nutzen zu können?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich den Domänennamen mit dem Suffix „.local“ für eine privat gehostete Zone von Route 53 auflösen?
AWS OFFICIALAktualisiert vor 2 Jahren