ACM パブリック証明書を取り消すにはどうすればよいですか?

簡単な説明

ACM パブリック証明書が不要になった場合は、証明書の削除ができます。コンプライアンス上の理由から ACM パブリック証明書を取り消す必要がある場合、AWS サポートはお客様に代わって取り消しすることができます。重要: 失効した ACM パブリック証明書は、同じシリアル番号で再び使用することはできません。

解決方法

パブリック証明書を取り消すリクエストを AWS サポートに送信

指示に従って、 AWS マネジメントコンソールのサポートセンターでサポートケースを作成します。

E メールで送信された検証済み証明書の場合、次のような E メールが WHOIS に登録されている 3 個のアドレスと 5 個の一般的なドメイン名アドレスに送信されます。

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

DNS で検証された証明書の場合、ドメインの所有権を確認するために DNS データベースに一意の TXT レコードを追加するように AWS サポートから連絡を受ける場合があります。

AWS サポートが要求された情報を受け取り、ドメインの所有権を確認して、パブリック証明書を取り消します。

ACM パブリック証明書が OpenSSL で取り消されていることを確認

**注:**OpenSSL コマンドの実行時にエラーが発生した場合は、OpenSSL の最新バージョンを使用していることを確認してください。

1.    ドメインの証明書ファイル情報を取得し、出力を.pem ファイルに保存します。

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    証明書にオンライン証明書ステータスプロトコル (OCSP) URI があるかどうかを確認します。

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    証明書チェーンをキャプチャします。

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    .pem ファイルを保存します。

5.    以下のような OCSP 要求を送信します。

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

出力では、応答が取り消されていることに注意してください。

---

関連情報

ベストプラクティス