Come posso revocare il mio certificato pubblico ACM?

2 minuti di lettura
0

Come posso revocare un certificato pubblico fornito dalla Gestione certificati AWS (ACM)?

Breve descrizione

Se non ti serve più necessario il certificato pubblico ACM, è possibile eliminare il certificato. Se devi revocare il certificato pubblico ACM per motivi di conformità, il Supporto AWS può farlo al tuo posto. Importante: i certificati pubblici ACM revocati non possono essere riutilizzati con lo stesso numero di serie.

Risoluzione

Invia una richiesta al Supporto AWS per revocare il certificato pubblico

Segui le istruzioni per creare un caso di supporto nel Centro di supporto della Console di gestione AWS.

Per i certificati convalidati inviati tramite e-mail, viene inviata a tre indirizzi registrati in WHOIS e a cinque indirizzi di nomi di dominio comuni un'e-mail simile a questa:

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

Per i certificati convalidati DNS, potresti essere contattato dal Supporto AWS per aggiungere un record TXT univoco nel database DNS per verificare la proprietà del dominio.

Dopo aver ricevuto le informazioni richieste e la conferma della proprietà del dominio, il Supporto AWS revoca il certificato pubblico.

Verifica che il certificato pubblico ACM sia stato revocato con OpenSSL

Nota: se ricevi un messaggio di errore durante l'esecuzione dei comandi di OpenSSL, assicurati di utilizzare la versione più recente di OpenSSL.

1.    Ottieni le informazioni sul file del certificato per il tuo dominio e salva l'output in un file .pem:

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    Controlla se il certificato ha un URI OCSP (Online Certificate Status Protocol):

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    Acquisisci la catena di certificati:

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    Salva il file .pem.

5.    Invia una richiesta OCSP simile a questa:

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

Come puoi vedere, nell'output la risposta è "revoked” (revocato).


Informazioni correlate

Best practice

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa