Como posso revogar meu certificado privado do ACM?

Data da última atualização: 22/6/2022

Como posso revogar um certificado privado do AWS Certificate Manager (ACM)?

Breve descrição

Você pode revogar um certificado privado do ACM usando o comando revoke-certificate da AWS Command Line Interface (AWS CLI).

Resolução

Siga estas instruções a depender se o certificado privado do ACM tiver sido criado com a API IssueCertificate ou no Console de Gerenciamento da AWS com a API RequestCertificate.

Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de estar utilizando a versão mais recente da AWS CLI.

Revogar um certificado privado do ACM que foi criado com a API IssueCertificate

Etapa 1: obter o número de série do certificado

O comando get-certificate da AWS CLI a seguir gera o certificado de formato PEM codificado para base64 e o salva no arquivo certificate.pem:

Observação: substitua o nome do recurso da Amazon (ARN) nesses exemplos pelo seu ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Etapa 2: decodificar o certificado com o OpenSSL para obter o número de série

openssl x509 -in certificate.pem -noout -text

Exemplo de saída:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Etapa 3: revogar o certificado

Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:

Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Use um dos seguintes valores para especificar por que você revogou o certificado:

  • UNSPECIFIED
  • KEY_COMPROMISE
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • AFFILIATION_CHANGED
  • SUPERSEDED
  • CESSATION_OF_OPERATION
  • PRIVILEGE_WITHDRAWN
  • A_A_COMPROMISE

Observação: o comando revoke-certificate não retorna uma resposta.

Revogar um certificado privado do ACM que foi criado no Console de Gerenciamento da AWS ou com a API RequestCertificate

Etapa 1: obter o número de série do certificado

Execute o comando describe-certificate da AWS CLI semelhante ao seguinte:

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Exemplo de saída:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Etapa 2: revogar o certificado

Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:

Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Use um dos seguintes valores para especificar por que você revogou o certificado:

  • A_A_COMPROMISE
  • PRIVILEGE_WITHDRAWN
  • CESSATION_OF_OPERATION
  • SUPERSEDED
  • AFFILIATION_CHANGED
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • KEY_COMPROMISE
  • UNSPECIFIED

Observação: o comando revoke-certificate não retorna uma resposta.

Confirme se o certificado privado do ACM foi revogado

Criar um relatório de auditoria usando a AWS CLI

Para criar um relatório de auditoria que indique todas as vezes que sua chave privada da autoridade certificadora for usada, execute o comando create-certificate-authority-audit-report da AWS CLI:

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Exemplo de saída:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Observe o ID da chave do Amazon Simple Storage Service (Amazon S3).

Obtenha o objeto do Amazon S3 com o comando get-object da AWS CLI:

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Exemplo de saída:

"revokedAt": "2021-01-30T15:24:55+0000"

Observe o timestamp no valor revokedAt. O valor revokedAt existe somente quando o status do certificado é REVOKED.

Criar um relatório de auditoria usando o Console de Gerenciamento da AWS

Siga as instruções para criar um relatório de auditoria usando o Console de Gerenciamento da AWS.

Para obter mais informações, consulte Revoking a private certificate (Como revogar um certificado privado).


ACM Private CA best practices (Práticas recomendadas para o ACM Private CA)

Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?