使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何吊销 AWS Private CA 私有证书?

2 分钟阅读
0

我想吊销一个 AWS Private Certificate Authority(CA)私有证书。

解决方案

**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请参阅 Troubleshoot AWS CLI errors。此外,确保您使用的是最新版本的 AWS CLI

可以使用 IssueCertificate API 操作或 RequestCertificate API 操作创建 AWS Private CA 私有证书。完成适合您的 AWS Private CA 私有证书类型的步骤。

要吊销 AWS Private CA 私有证书,请使用 AWS CLI 命令 revoke-certificate

使用 IssueCertificate API 创建的 AWS Private CA 私有证书

完成下面的步骤:

  1. 要获取证书的序列号,请运行 get-certificate 命令。此命令返回 base64 编码的 PEM 格式证书,并将其保存在 certificate.pem 文件中:

    aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \ --certificate-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
     \ --query 'Certificate' > certificate.pem --output text

    **注意:**将 --certificate-authority-arn 值替换为您的 Amazon 资源编号(ARN)值。

  2. 要获取序列号,请使用 OpenSSL 解码证书:

    openssl x509 -in certificate.pem -noout -text

    下面是输出示例:

    Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
  3. 运行 revoke-certificate 命令并输入想要吊销证书的原因:

    **注意:**revoke-certificate 命令没有返回响应。

    aws acm-pca revoke-certificate \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
    --revocation-reason "KEY_COMPROMISE"

    使用下列值之一来指定要吊销证书的原因
    UNSPECIFIED
    KEY_COMPROMISE
    CERTIFICATE_AUTHORITY_COMPROMISE
    AFFILIATION_CHANGED
    SUPERSEDED
    CESSATION_OF_OPERATION
    PRIVILEGE_WITHDRAWN
    A_A_COMPROMISE

    **注意:**将 --certificate-serial 值替换为您的证书的序列号。将 --revocation-reason 值替换为适当的原因。

使用 RequestCertificate API 创建的 AWS Private CA 私有证书

完成下面的步骤:

  1. 运行 describe-certificate 命令以获取证书的序列号:

    aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

    **注意:**将 --certificate-arn 值替换为您的 ARN 值。

    下面是输出示例:

    "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
  2. 要吊销证书,请运行 revoke-certificate 命令:

    **注意:**revoke-certificate 命令没有返回响应。

    aws acm-pca revoke-certificate \    
    --certificate-authority-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \    
    
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
    
    --revocation-reason "KEY_COMPROMISE"

    使用下列值之一来指定要吊销证书的原因:
    A_A_COMPROMISE
    PRIVILEGE_WITHDRAWN
    CESSATION_OF_OPERATION
    SUPERSEDED
    AFFILIATION_CHANGED
    CERTIFICATE_AUTHORITY_COMPROMISE
    KEY_COMPROMISE
    UNSPECIFIED

    **注意:**将 --certificate-serial 值替换为您的证书的序列号。将 --revocation-reason 值替换为适当的原因。

确认 AWS Private CA 私有证书已吊销

使用 AWS CLI 创建审计报告

  1. 要创建列出证书颁发机构(CA)私有密钥的每次使用情况的审计报告,请运行 AWS CLI 命令 create-certificate-authority-audit-report

    aws acm-pca create-certificate-authority-audit-report \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    
    --s3-bucket-name acmcrl2 \
    
    --audit-report-response-format JSON>/code>

    **注意:**将 --certificate-authority-arn 值替换为您的 ARN 值。

    下面是输出示例:

    {     
    "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
    
    "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
    
    }

    复制 Amazon Simple Storage Service(Amazon S3)密钥 ID。

  2. 使用 AWS CLI 命令 get-object 获取 Amazon S3 对象:

    aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
     revoked.txt

    **注意:**将 --key 值替换为上一步中的 S3Key 值。

    下面是输出示例:

    "revokedAt": "2021-01-30T15:24:55+0000"

    revokedAt 具有 AWS Private CA 私有证书被吊销时的时间戳值。仅当证书状态为 REVOKED 时,revokedAt 值才存在。

使用 AWS 管理控制台创建审计报告

要使用 AWS 管理控制台创建审计报告,请参阅 Create an audit report

相关信息

AWS Private CA best practices

Revoke a private certificate

AWS 官方
AWS 官方已更新 2 个月前