Wie kann ich mein öffentliches ACM-Zertifikat widerrufen?

Letzte Aktualisierung: 24.06.2022

Wie kann ich ein öffentliches AWS Certificate Manager (ACM)-Zertifikat widerrufen?

Kurzbeschreibung

Wenn Sie Ihr öffentliches ACM-Zertifikat nicht mehr benötigen, können Sie das Zertifikat löschen. Wenn Sie Ihr öffentliches ACM-Zertifikat aus Compliance-Gründen widerrufen müssen, kann der AWS Support dies in Ihrem Namen tun. Wichtig: Widerrufene öffentliche ACM-Zertifikate können nicht mehr mit der gleichen Seriennummer verwendet werden.

Auflösung

Senden einer Anfrage an den AWS Support, um das öffentliche Zertifikat zu widerrufen

Folgen Sie den Anweisungen zum Erstellen eines Support-Falls im Support Center der AWS-Managementkonsole.

Bei per E-Mail versendeten validierten Zertifikaten wird eine E-Mail, die ähnlich wie die folgende aussieht, an drei im WHOIS registrierte Adressen und an die fünf gängigen Domänenadressen gesendet:

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

Bei DNS-validierten Zertifikaten werden Sie möglicherweise vom AWS Support kontaktiert, um einen eindeutigen TXT-Eintrag in der DNS-Datenbank hinzuzufügen, um den Domänenbesitz zu überprüfen.

Nach Erhalt der angeforderten Informationen und der Bestätigung des Domänenbesitzes widerruft der AWS Support das öffentliche Zertifikat.

Sicherstellen, dass das öffentliche ACM-Zertifikat mit OpenSSL widerrufen wird

Hinweis: Wenn Sie beim Ausführen von OpenSSL-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste OpenSSL-Version verwenden.

1.    Rufen Sie die Dateiinformationen des Zertifikats für Ihre Domäne ab und speichern Sie die Ausgabe in einer .pem-Datei:

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    Prüfen Sie, ob das Zertifikat eine Online Certificate Status Protocol (OCSP)-URI hat:

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    Erfassen Sie die Zertifikatskette:

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    Speichern Sie die .pem-Datei.

5.    Senden Sie eine OCSP-Anfrage, die der folgenden ähnelt:

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

Geben Sie in der Ausgabe an, dass die Antwort widerrufen wurde.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?