Wie kann ich mein privates ACM-Zertifikat widerrufen?
Wie kann ich ein privates Zertifikat von AWS Certificate Manager (ACM) widerrufen?
Kurzbeschreibung
Sie können ein privates ACM-Zertifikat mit dem Befehl revoke-certificate im AWS Command Line Interface (AWS CLI) widerrufen.
Lösung
Folgen Sie diesen Anweisungen, je nachdem, ob das private ACM-Zertifikat mit der IssueCertificate-API oder in der AWS-Managementkonsole mit der RequestCertificate-API erstellt wurde.
Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.
Widerrufen eines privaten ACM-Zertifikats, das mit der IssueCertificate-API erstellt wurde
Schritt 1: Seriennummer des Zertifikats abrufen
Der folgende AWS-CLI-Befehl get-certificate gibt das base64-codierte Zertifikat im PEM-Format aus und speichert es in der Datei certificate.pem:
Hinweis: Ersetzen Sie den ARN in diesen Beispielen durch Ihren ARN.
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
Schritt 2: Dekodieren Sie das Zertifikat mit OpenSSL, um die Seriennummer zu erhalten
openssl x509 -in certificate.pem -noout -text
Beispielausgabe:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
Schritt 3: Widerrufen Sie das Zertifikat
Führen Sie den AWS-CLI-Befehl revoke-certificate ähnlich wie folgt aus:
Hinweis: Ersetzen Sie das Beispiel für eine Seriennummer durch Ihre Seriennummernausgabe aus Schritt 2.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat gesperrt haben:
- UNSPECIFIED
- KEY_COMPROMISE
- CERTIFICATE_AUTHORITY_COMPROMISE
- AFFILIATION_CHANGED
- SUPERSEDED
- CESSATION_OF_OPERATION
- PRIVILEGE_WITHDRAWN
- A_A_COMPROMISE
Hinweis: Der Befehl revoke-certificate gibt keine Antwort zurück.
Widerrufen eines privaten ACM-Zertifikats, das mit der AWS-Managementkonsole oder der RequestCertificate API erstellt wurde
Schritt 1: Holen Sie sich die Seriennummer des Zertifikats
Führen Sie den AWS-CLI-Befehl describe-certificate ähnlich wie folgt aus:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
Beispielausgabe:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
Schritt 2: Widerrufen des Zertifikats
Führen Sie den AWS-CLI-Befehl revoke-certificate ähnlich wie folgt aus:
Hinweis: Ersetzen Sie das Beispiel für eine Seriennummer durch Ihre Seriennummernausgabe aus Schritt 1.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
Verwenden Sie einen der folgenden Werte, um anzugeben, warum Sie das Zertifikat gesperrt haben:
- A_A_COMPROMISE
- PRIVILEGE_WITHDRAWN
- CESSATION_OF_OPERATION
- SUPERSEDED
- AFFILIATION_CHANGED
- CERTIFICATE_AUTHORITY_COMPROMISE
- KEY_COMPROMISE
- UNSPECIFIED
Hinweis: Der Befehl revoke-certificate gibt keine Antwort zurück.
Vergewissern Sie sich, dass das private ACM-Zertifikat gesperrt wurde
Erstellen Sie einen Prüfbericht mit der AWS-CLI
Führen Sie den AWS-CLI-Befehl create-certificate-authority-audit-report aus, um einen Prüfbericht zu erstellen, der jedes Mal auflistet, wenn Ihr privater CA-Schlüssel verwendet wird:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON
Beispielausgabe:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
Beachten Sie die Schlüssel-ID des Amazon Simple Storage Service (Amazon S3).
Rufen Sie das Amazon S3-Objekt mit dem AWS-CLI-Befehl get-object ab:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
Beispielausgabe:
"revokedAt": "2021-01-30T15:24:55+0000"
Beachten Sie den Zeitstempel im revokedAt-Wert. Der Wert revokedAt ist nur vorhanden, wenn der Zertifikatsstatus REVOKED lautet.
Erstellen Sie einen Prüfbericht mit der AWS-Managementkonsole
Folgen Sie den Anweisungen, um mithilfe der AWS-Managementkonsole einen Prüfbericht zu erstellen.
Weitere Informationen finden Sie unter Widerrufen eines privaten Zertifikats.
Relevante Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 10 Monaten