Comment puis-je révoquer mon certificat public ACM ?

Dernière mise à jour : 24/06/2022

Comment puis-je révoquer un certificat public AWS Certificate Manager (ACM) ?

Brève description

Si vous n'avez plus besoin de votre certificat public ACM, vous pouvez le supprimer. Si vous devez révoquer votre certificat public ACM pour des raisons de conformité, AWS Support peut le faire en votre nom. Important : les certificats publics ACM révoqués ne peuvent pas être réutilisés avec le même numéro de série.

Solution

Soumettre une demande à AWS Support pour révoquer le certificat public

Suivre les instructions pour créer un dossier de support dans le centre de support d'AWS Management Console.

Pour les certificats validés par e-mail, un e-mail similaire au suivant est envoyé à trois adresses enregistrées dans le WHOIS et aux cinq adresses de nom de domaine courantes :

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

Pour les certificats validés par DNS, AWS Support peut vous contacter pour ajouter un enregistrement TXT unique dans la base de données DNS afin de vérifier la propriété du domaine.

Après avoir reçu les informations demandées et que la propriété du domaine est confirmée, AWS Support révoque le certificat public.

Vérifiez que le certificat public ACM est révoqué avec OpenSSL

Remarque : si vous recevez des erreurs lors de l'exécution de commandes OpenSSL, assurez-vous que vous utilisez la version la plus récente de d’OpenSSL.

1.    Obtenez les informations du fichier de certificat pour votre domaine et enregistrez la sortie dans un fichier .pem :

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    Vérifiez si le certificat possède un URI OCSP (Online Certificate Status Protocol) :

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    Capturez la chaîne de certificats :

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    Enregistrez le fichier .pem.

5.    Envoyez une demande OCSP similaire à la suivante :

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

Dans la sortie, notez que la réponse est révoquée.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?