Como revogo um certificado público do AWS Certificate Manager (ACM)?
Breve descrição
Se não precisar mais do certificado público do ACM, você poderá excluir o certificado. Se você precisar revogar seu certificado público do ACM por motivos de conformidade, o AWS Support poderá fazer isso em seu nome. Importante: após a revogação, os certificados públicos do ACM não poderão ser usados novamente com o mesmo número de série.
Resolução
Enviar uma solicitação ao AWS Support para revogar o certificado público
Siga as instruções para criar um caso de suporte no Support Center do Console de Gerenciamento da AWS.
Para certificados validados por e-mail, um e-mail semelhante ao seguinte é enviado para os três endereços registrados no WHOIS e os cinco endereços de nome de domínio comum:
Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.
Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>
Sincerely,
Amazon Trust Services
Para certificados validados por DNS, você poderá ser contatado pelo AWS Support para adicionar um registro TXT exclusivo no banco de dados do DNS visando verificar a propriedade do domínio.
Após receber as informações solicitadas e confirmar a propriedade do domínio, o AWS Support revogará o certificado público.
Usar o OpenSSL para verificar se o certificado público do ACM foi revogado
Observação: se você receber erros ao executar comandos do OpenSSL, verifique se está utilizando a versão mais recente do OpenSSL.
1. Obtenha as informações do arquivo de certificado do seu domínio e salve a saída em um arquivo .pem:
$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem
2. Verifique se o certificado tem um URI do Protocolo de status de certificado online (OCSP):
$ openssl x509 -noout -ocsp_uri -in example.pem
Output:
http://ocsp.rootca1.amazontrust.com
3. Capture a cadeia de certificados:
$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null
4. Salve o arquivo .pem.
5. Envie uma solicitação OCSP semelhante à seguinte:
openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com
Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT
Na saída, verifique se a resposta está revogada.
Informações relacionadas
Práticas recomendadas