使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

如何撤銷 AWS 私有 CA 私有憑證?

2 分的閱讀內容
0

我想要撤銷 AWS 私有憑證認證機構 (CA) 私有憑證。

解決方法

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱疑難排解 AWS CLI 錯誤。此外,請確定您使用的是最新的 AWS CLI 版本

可以使用 IssueCertificate API 動作或 RequestCertificate API 動作來建立 AWS 私有 CA 私有憑證。完成 AWS 私有 CA 私有憑證類型的適當步驟。

若要撤銷 AWS 私有 CA 私有憑證,請使用 AWS CLI 命令 revoke-certificate

使用 IssueCertificate API 建立的 AWS 私有 CA 私有憑證

請完成下列步驟:

  1. 若要取得憑證的序號,請執行 get-certificate 命令。此命令會傳回 base64 編碼的 PEM 格式憑證,並將該憑證儲存在 certificate.pem 檔案中:

    aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \ --certificate-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
     \ --query 'Certificate' > certificate.pem --output text

    **注意:**將 --certificate-authority-arn 值取代為 Amazon Resource Number (ARN) 值。

  2. 若要取得序號,請使用 OpenSSL 對憑證進行解碼:

    openssl x509 -in certificate.pem -noout -text

    下列是範例輸出:

    Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code>
  3. 執行 revoke-certificate 命令,並輸入要撤銷憑證的原因:

    **注意:**revoke-certificate 命令不會傳回回應。

    aws acm-pca revoke-certificate \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \
    --revocation-reason "KEY_COMPROMISE"

    使用下列其中一個值來指定要撤銷憑證的原因
    UNSPECIFIED
    KEY_COMPROMISE
    CERTIFICATE_AUTHORITY_COMPROMISE
    AFFILIATION_CHANGED
    SUPERSEDED
    CESSATION_OF_OPERATION
    PRIVILEGE_WITHDRAWN
    A_A_COMPROMISE

    **注意:**將 --certificate-serial 值取代為憑證的序號。將 --revocation-reason 值取代為適當的原因。

使用 RequestCertificate API 建立的 AWS 私有 CA 私有憑證

請完成下列步驟:

  1. 執行 describe-certificate 命令以取得憑證的序號:

    aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

    **注意:**將 --certificate-arn 值取代為 ARN 值。

    下列是範例輸出:

    "Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"
  2. 若要撤銷憑證,請執行 revoke-certificate 命令:

    **注意:**revoke-certificate 命令不會傳回回應。

    aws acm-pca revoke-certificate \    
    --certificate-authority-arn
    arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
     \    
    
    --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  
    
    --revocation-reason "KEY_COMPROMISE"

    使用下列其中一個值來指定要撤銷憑證的原因:
    A_A_COMPROMISE
    PRIVILEGE_WITHDRAWN
    CESSATION_OF_OPERATION
    SUPERSEDED
    AFFILIATION_CHANGED
    CERTIFICATE_AUTHORITY_COMPROMISE
    KEY_COMPROMISE
    UNSPECIFIED

    **注意:**將 --certificate-serial 值取代為憑證的序號。將 --revocation-reason 值取代為適當的原因。

確認已撤銷 AWS 私有 CA 私有憑證

使用 AWS CLI 建立稽核報告

  1. 若要建立列出每種憑證認證機構 (CA) 私有金鑰使用情況的稽核報告,請執行 AWS CLI 命令 create-certificate-authority-audit-report

    aws acm-pca create-certificate-authority-audit-report \
    --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \
    
    --s3-bucket-name acmcrl2 \
    
    --audit-report-response-format JSON>/code>

    **注意:**將 --certificate-authority-arn 值取代為 ARN 值。

    下列是範例輸出:

    {     
    "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     
    
    "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json"
    
    }

    複製 Amazon Simple Storage Service (Amazon S3) 金鑰 ID。

  2. 使用 AWS CLI 命令 get-object 取得 Amazon S3 物件:

    aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
     revoked.txt

    **注意:**將 --key 值取代為來自前一步的 S3Key

    下列是範例輸出:

    "revokedAt": "2021-01-30T15:24:55+0000"

    revokedAt 具有撤銷 AWS 私有 CA 私有憑證時的時間戳記值。revokedAt 值僅會在憑證狀態為 REVOKED 時才存在。

使用 AWS 管理主控台建立稽核報告

若要使用 AWS 管理主控台建立稽核報告,請參閱建立稽核報告

相關資訊

AWS 私有 CA 最佳實務

撤銷私有憑證

AWS 官方
AWS 官方已更新 2 個月前