Como posso revogar meu certificado privado do ACM?
Como posso revogar um certificado privado do AWS Certificate Manager (ACM)?
Breve descrição
Você pode revogar um certificado privado do ACM usando o comando revoke-certificate da AWS Command Line Interface (AWS CLI).
Resolução
Siga estas instruções a depender se o certificado privado do ACM tiver sido criado com a API IssueCertificate ou no Console de Gerenciamento da AWS com a API RequestCertificate.
Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de estar utilizando a versão mais recente da AWS CLI.
Revogar um certificado privado do ACM que foi criado com a API IssueCertificate
Etapa 1: obter o número de série do certificado
O comando get-certificate da AWS CLI a seguir gera o certificado de formato PEM codificado para base64 e o salva no arquivo certificate.pem:
Observação: substitua o nome do recurso da Amazon (ARN) nesses exemplos pelo seu ARN.
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
Etapa 2: decodificar o certificado com o OpenSSL para obter o número de série
openssl x509 -in certificate.pem -noout -text
Exemplo de saída:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
Etapa 3: revogar o certificado
Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:
Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 2.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Use um dos seguintes valores para especificar por que você revogou o certificado:
- UNSPECIFIED
- KEY_COMPROMISE
- CERTIFICATE_AUTHORITY_COMPROMISE
- AFFILIATION_CHANGED
- SUPERSEDED
- CESSATION_OF_OPERATION
- PRIVILEGE_WITHDRAWN
- A_A_COMPROMISE
Observação: o comando revoke-certificate não retorna uma resposta.
Revogar um certificado privado do ACM que foi criado no Console de Gerenciamento da AWS ou com a API RequestCertificate
Etapa 1: obter o número de série do certificado
Execute o comando describe-certificate da AWS CLI semelhante ao seguinte:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
Exemplo de saída:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
Etapa 2: revogar o certificado
Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:
Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 1.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Use um dos seguintes valores para especificar por que você revogou o certificado:
- A_A_COMPROMISE
- PRIVILEGE_WITHDRAWN
- CESSATION_OF_OPERATION
- SUPERSEDED
- AFFILIATION_CHANGED
- CERTIFICATE_AUTHORITY_COMPROMISE
- KEY_COMPROMISE
- UNSPECIFIED
Observação: o comando revoke-certificate não retorna uma resposta.
Confirme se o certificado privado do ACM foi revogado
Criar um relatório de auditoria usando a AWS CLI
Para criar um relatório de auditoria que indique todas as vezes que sua chave privada da autoridade certificadora for usada, execute o comando create-certificate-authority-audit-report da AWS CLI:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON
Exemplo de saída:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
Observe o ID da chave do Amazon Simple Storage Service (Amazon S3).
Obtenha o objeto do Amazon S3 com o comando get-object da AWS CLI:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
Exemplo de saída:
"revokedAt": "2021-01-30T15:24:55+0000"
Observe o timestamp no valor revokedAt. O valor revokedAt existe somente quando o status do certificado é REVOKED.
Criar um relatório de auditoria usando o Console de Gerenciamento da AWS
Siga as instruções para criar um relatório de auditoria usando o Console de Gerenciamento da AWS.
Para obter mais informações, consulte Revoking a private certificate (Como revogar um certificado privado).
Informações relacionadas
ACM Private CA best practices (Práticas recomendadas para o ACM Private CA)
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos