如何撤銷 AWS 私有 CA 私有憑證?
我想要撤銷 AWS 私有憑證認證機構 (CA) 私有憑證。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱疑難排解 AWS CLI 錯誤。此外,請確定您使用的是最新的 AWS CLI 版本。
可以使用 IssueCertificate API 動作或 RequestCertificate API 動作來建立 AWS 私有 CA 私有憑證。完成 AWS 私有 CA 私有憑證類型的適當步驟。
若要撤銷 AWS 私有 CA 私有憑證,請使用 AWS CLI 命令 revoke-certificate。
使用 IssueCertificate API 建立的 AWS 私有 CA 私有憑證
請完成下列步驟:
-
若要取得憑證的序號,請執行 get-certificate 命令。此命令會傳回 base64 編碼的 PEM 格式憑證,並將該憑證儲存在 certificate.pem 檔案中:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text
**注意:**將 --certificate-authority-arn 值取代為 Amazon Resource Number (ARN) 值。
-
若要取得序號,請使用 OpenSSL 對憑證進行解碼:
openssl x509 -in certificate.pem -noout -text
下列是範例輸出:
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
-
執行 revoke-certificate 命令,並輸入要撤銷憑證的原因:
**注意:**revoke-certificate 命令不會傳回回應。
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
使用下列其中一個值來指定要撤銷憑證的原因
UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE**注意:**將 --certificate-serial 值取代為憑證的序號。將 --revocation-reason 值取代為適當的原因。
使用 RequestCertificate API 建立的 AWS 私有 CA 私有憑證
請完成下列步驟:
-
執行 describe-certificate 命令以取得憑證的序號:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
**注意:**將 --certificate-arn 值取代為 ARN 值。
下列是範例輸出:
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
-
若要撤銷憑證,請執行 revoke-certificate 命令:
**注意:**revoke-certificate 命令不會傳回回應。
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"
使用下列其中一個值來指定要撤銷憑證的原因:
A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED**注意:**將 --certificate-serial 值取代為憑證的序號。將 --revocation-reason 值取代為適當的原因。
確認已撤銷 AWS 私有 CA 私有憑證
使用 AWS CLI 建立稽核報告
-
若要建立列出每種憑證認證機構 (CA) 私有金鑰使用情況的稽核報告,請執行 AWS CLI 命令 create-certificate-authority-audit-report:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON>/code>
**注意:**將 --certificate-authority-arn 值取代為 ARN 值。
下列是範例輸出:
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }
複製 Amazon Simple Storage Service (Amazon S3) 金鑰 ID。
-
使用 AWS CLI 命令 get-object 取得 Amazon S3 物件:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt
**注意:**將 --key 值取代為來自前一步的 S3Key。
下列是範例輸出:
"revokedAt": "2021-01-30T15:24:55+0000"
revokedAt 具有撤銷 AWS 私有 CA 私有憑證時的時間戳記值。revokedAt 值僅會在憑證狀態為 REVOKED 時才存在。
使用 AWS 管理主控台建立稽核報告
若要使用 AWS 管理主控台建立稽核報告,請參閱建立稽核報告。
相關資訊
相關內容
- 已提問 2 年前lg...
- 已提問 2 年前lg...
- 已提問 1 個月前lg...
- AWS 官方已更新 4 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 個月前