¿Cómo puedo revocar mi certificado privado de ACM?

Última actualización: 22/06/2022

¿Cómo puedo revocar un certificado privado de AWS Certificate Manager (ACM)?

Descripción corta

Puede revocar un certificado privado de ACM mediante el comando revoke-certificate de la interfaz de la línea de comandos de AWS (AWS CLI).

Resolución

Siga estas instrucciones en función de si el certificado privado de ACM se creó con la API IssueCertificate o en la consola de administración de AWS con la API RequestCertificate.

Nota: Si recibe errores mientras ejecuta los comandos de AWS CLI, asegúrese de estar utilizando la versión más reciente de dicha interfaz.

Revocación de un certificado privado de ACM que se creó mediante la API IssueCertificate

Paso 1: Obtenga el número de serie del certificado

El siguiente comando de AWS CLI get-certificate genera el certificado con formato PEM codificado en base64 y lo guarda en el archivo certificate.pem:

Nota: Reemplace el ARN de estos ejemplos por el ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Paso 2: Decodifique el certificado con OpenSSL para obtener el número de serie

openssl x509 -in certificate.pem -noout -text

Salida de ejemplo:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Paso 3: Revoque el certificado

Ejecute el comando revoke-certificate de AWS CLI de forma similar a la siguiente:

Nota: Reemplace el ejemplo del número de serie por el número de serie obtenido en el paso 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Utilice uno de los siguientes valores para especificar por qué revocó el certificado:

  • UNSPECIFIED
  • KEY_COMPROMISE
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • AFFILIATION_CHANGED
  • SUPERSEDED
  • CESSATION_OF_OPERATION
  • PRIVILEGE_WITHDRAWN
  • A_A_COMPROMISE

Nota: El comando revoke-certificate no muestra una respuesta.

Revocación de un certificado privado de ACM que se creó mediante la consola de administración de AWS o la API RequestCertificate

Paso 1: Obtenga el número de serie del certificado

Ejecute el comando describe-certificate de AWS CLI de forma similar a la siguiente:

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Salida de ejemplo:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Paso 2: Revoque el certificado

Ejecute el comando revoke-certificate de AWS CLI de forma similar a la siguiente:

Nota: Reemplace el ejemplo del número de serie por el número de serie obtenido en el paso 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Utilice uno de los siguientes valores para especificar por qué revocó el certificado:

  • A_A_COMPROMISE
  • PRIVILEGE_WITHDRAWN
  • CESSATION_OF_OPERATION
  • SUPERSEDED
  • AFFILIATION_CHANGED
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • KEY_COMPROMISE
  • UNSPECIFIED

Nota: El comando revoke-certificate no muestra una respuesta.

Confirmación de que el certificado privado de ACM se haya revocado

Creación de un informe de auditoría con AWS CLI

Para crear un informe de auditoría que mencione cada vez que se utiliza la clave privada de CA, ejecute el comando create-certificate-authority-audit-report de AWS CLI:

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Salida de ejemplo:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Anote el ID de clave de Amazon Simple Storage Service (Amazon S3).

Obtenga el objeto Amazon S3 con el comando get-object de AWS CLI:

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Salida de ejemplo:

"revokedAt": "2021-01-30T15:24:55+0000"

Anote la marca temporal en el valor revokedAt. El valor revokedAt solo existe cuando el estado del certificado es REVOKED.

Cree un informe de auditoría con la consola de administración de AWS

Siga las instrucciones para crear un informe de auditoría con la consola de administración de AWS.

Para obtener más información, consulte Revocación de un certificado privado.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?