Como revogo meu certificado público do ACM?

Data da última atualização: 24/06/2022

Como revogo um certificado público do AWS Certificate Manager (ACM)?

Breve descrição

Se não precisar mais do certificado público do ACM, você poderá excluir o certificado. Se você precisar revogar seu certificado público do ACM por motivos de conformidade, o AWS Support poderá fazer isso em seu nome. Importante: após a revogação, os certificados públicos do ACM não poderão ser usados novamente com o mesmo número de série.

Resolução

Enviar uma solicitação ao AWS Support para revogar o certificado público

Siga as instruções para criar um caso de suporte no Support Center do Console de Gerenciamento da AWS.

Para certificados validados por e-mail, um e-mail semelhante ao seguinte é enviado para os três endereços registrados no WHOIS e os cinco endereços de nome de domínio comum:

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

Para certificados validados por DNS, você poderá ser contatado pelo AWS Support para adicionar um registro TXT exclusivo no banco de dados do DNS visando verificar a propriedade do domínio.

Após receber as informações solicitadas e confirmar a propriedade do domínio, o AWS Support revogará o certificado público.

Usar o OpenSSL para verificar se o certificado público do ACM foi revogado

Observação: se você receber erros ao executar comandos do OpenSSL, verifique se está utilizando a versão mais recente do OpenSSL.

1.    Obtenha as informações do arquivo de certificado do seu domínio e salve a saída em um arquivo .pem:

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    Verifique se o certificado tem um URI do Protocolo de status de certificado online (OCSP):

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    Capture a cadeia de certificados:

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    Salve o arquivo .pem.

5.    Envie uma solicitação OCSP semelhante à seguinte:

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

Na saída, verifique se a resposta está revogada.


Esse artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?