Come posso revocare un certificato pubblico fornito dalla Gestione certificati AWS (ACM)?
Breve descrizione
Se non ti serve più necessario il certificato pubblico ACM, è possibile eliminare il certificato. Se devi revocare il certificato pubblico ACM per motivi di conformità, il Supporto AWS può farlo al tuo posto. Importante: i certificati pubblici ACM revocati non possono essere riutilizzati con lo stesso numero di serie.
Risoluzione
Invia una richiesta al Supporto AWS per revocare il certificato pubblico
Segui le istruzioni per creare un caso di supporto nel Centro di supporto della Console di gestione AWS.
Per i certificati convalidati inviati tramite e-mail, viene inviata a tre indirizzi registrati in WHOIS e a cinque indirizzi di nomi di dominio comuni un'e-mail simile a questa:
Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.
Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>
Sincerely,
Amazon Trust Services
Per i certificati convalidati DNS, potresti essere contattato dal Supporto AWS per aggiungere un record TXT univoco nel database DNS per verificare la proprietà del dominio.
Dopo aver ricevuto le informazioni richieste e la conferma della proprietà del dominio, il Supporto AWS revoca il certificato pubblico.
Verifica che il certificato pubblico ACM sia stato revocato con OpenSSL
Nota: se ricevi un messaggio di errore durante l'esecuzione dei comandi di OpenSSL, assicurati di utilizzare la versione più recente di OpenSSL.
1. Ottieni le informazioni sul file del certificato per il tuo dominio e salva l'output in un file .pem:
$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem
2. Controlla se il certificato ha un URI OCSP (Online Certificate Status Protocol):
$ openssl x509 -noout -ocsp_uri -in example.pem
Output:
http://ocsp.rootca1.amazontrust.com
3. Acquisisci la catena di certificati:
$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null
4. Salva il file .pem.
5. Invia una richiesta OCSP simile a questa:
openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com
Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT
Come puoi vedere, nell'output la risposta è "revoked” (revocato).
Informazioni correlate
Best practice