如何吊销 AWS Private CA 私有证书?
我想吊销一个 AWS Private Certificate Authority(CA)私有证书。
解决方案
**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请参阅 Troubleshoot AWS CLI errors。此外,确保您使用的是最新版本的 AWS CLI。
可以使用 IssueCertificate API 操作或 RequestCertificate API 操作创建 AWS Private CA 私有证书。完成适合您的 AWS Private CA 私有证书类型的步骤。
要吊销 AWS Private CA 私有证书,请使用 AWS CLI 命令 revoke-certificate。
使用 IssueCertificate API 创建的 AWS Private CA 私有证书
完成下面的步骤:
-
要获取证书的序列号,请运行 get-certificate 命令。此命令返回 base64 编码的 PEM 格式证书,并将其保存在 certificate.pem 文件中:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
**注意:**将 --certificate-authority-arn 值替换为您的 Amazon 资源编号(ARN)值。
-
要获取序列号,请使用 OpenSSL 解码证书:
openssl x509 -in certificate.pem -noout -text
下面是输出示例:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
-
运行 revoke-certificate 命令并输入想要吊销证书的原因:
**注意:**revoke-certificate 命令没有返回响应。
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
使用下列值之一来指定要吊销证书的原因
UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE**注意:**将 --certificate-serial 值替换为您的证书的序列号。将 --revocation-reason 值替换为适当的原因。
使用 RequestCertificate API 创建的 AWS Private CA 私有证书
完成下面的步骤:
-
运行 describe-certificate 命令以获取证书的序列号:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
**注意:**将 --certificate-arn 值替换为您的 ARN 值。
下面是输出示例:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
-
要吊销证书,请运行 revoke-certificate 命令:
**注意:**revoke-certificate 命令没有返回响应。
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
使用下列值之一来指定要吊销证书的原因:
A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED**注意:**将 --certificate-serial 值替换为您的证书的序列号。将 --revocation-reason 值替换为适当的原因。
确认 AWS Private CA 私有证书已吊销
使用 AWS CLI 创建审计报告
-
要创建列出证书颁发机构(CA)私有密钥的每次使用情况的审计报告,请运行 AWS CLI 命令 create-certificate-authority-audit-report:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON>/code>
**注意:**将 --certificate-authority-arn 值替换为您的 ARN 值。
下面是输出示例:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
复制 Amazon Simple Storage Service(Amazon S3)密钥 ID。
-
使用 AWS CLI 命令 get-object 获取 Amazon S3 对象:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
**注意:**将 --key 值替换为上一步中的 S3Key 值。
下面是输出示例:
"revokedAt": "2021-01-30T15:24:55+0000"
revokedAt 具有 AWS Private CA 私有证书被吊销时的时间戳值。仅当证书状态为 REVOKED 时,revokedAt 值才存在。
使用 AWS 管理控制台创建审计报告
要使用 AWS 管理控制台创建审计报告,请参阅 Create an audit report。
相关信息
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 5 个月前