Como posso revogar meu certificado privado do ACM?

4 minuto de leitura

Como posso revogar um certificado privado do AWS Certificate Manager (ACM)?

Breve descrição

Você pode revogar um certificado privado do ACM usando o comando revoke-certificate da AWS Command Line Interface (AWS CLI).

Resolução

Siga estas instruções a depender se o certificado privado do ACM tiver sido criado com a API IssueCertificate ou no Console de Gerenciamento da AWS com a API RequestCertificate.

Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de estar utilizando a versão mais recente da AWS CLI.

Revogar um certificado privado do ACM que foi criado com a API IssueCertificate

Etapa 1: obter o número de série do certificado

O comando get-certificate da AWS CLI a seguir gera o certificado de formato PEM codificado para base64 e o salva no arquivo certificate.pem:

Observação: substitua o nome do recurso da Amazon (ARN) nesses exemplos pelo seu ARN.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

Etapa 2: decodificar o certificado com o OpenSSL para obter o número de série

openssl x509 -in certificate.pem -noout -text

Exemplo de saída:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

Etapa 3: revogar o certificado

Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:

Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 2.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

Use um dos seguintes valores para especificar por que você revogou o certificado:

UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE

Observação: o comando revoke-certificate não retorna uma resposta.

Revogar um certificado privado do ACM que foi criado no Console de Gerenciamento da AWS ou com a API RequestCertificate

Etapa 1: obter o número de série do certificado

Execute o comando describe-certificate da AWS CLI semelhante ao seguinte:

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Exemplo de saída:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

Etapa 2: revogar o certificado

Execute o comando revoke-certificate da AWS CLI semelhante ao seguinte:

Observação: substitua o exemplo do número de série pela saída do número de série da Etapa 1.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

Use um dos seguintes valores para especificar por que você revogou o certificado:

A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED

Observação: o comando revoke-certificate não retorna uma resposta.

Confirme se o certificado privado do ACM foi revogado

Criar um relatório de auditoria usando a AWS CLI

Para criar um relatório de auditoria que indique todas as vezes que sua chave privada da autoridade certificadora for usada, execute o comando create-certificate-authority-audit-report da AWS CLI:

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

Exemplo de saída:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Observe o ID da chave do Amazon Simple Storage Service (Amazon S3).

Obtenha o objeto do Amazon S3 com o comando get-object da AWS CLI:

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

Exemplo de saída:

"revokedAt": "2021-01-30T15:24:55+0000"

Observe o timestamp no valor revokedAt. O valor revokedAt existe somente quando o status do certificado é REVOKED.

Criar um relatório de auditoria usando o Console de Gerenciamento da AWS

Siga as instruções para criar um relatório de auditoria usando o Console de Gerenciamento da AWS.

Para obter mais informações, consulte Revoking a private certificate (Como revogar um certificado privado).

Informações relacionadas

ACM Private CA best practices (Práticas recomendadas para o ACM Private CA)

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como revogo meu certificado público do ACM?
AWS OFICIALAtualizada há 2 anos
Como compartilho minha autoridade de certificação privada do ACM com outra conta da AWS?
AWS OFICIALAtualizada há 2 anos
Como faço para solicitar um certificado privado usando o console do ACM quando o período de validade do ACM-PCA é inferior a 13 meses?
AWS OFICIALAtualizada há 2 anos
Como posso criar uma lista de revogação de certificados (CRL) para minha ACM PCA?
AWS OFICIALAtualizada há 2 anos