如何撤銷我的 ACM 公有憑證？

簡短描述

如果您不再需要 ACM 公有憑證，可以刪除憑證。如果您基於合規原因需要撤銷 ACM 公有憑證，AWS Support 可以代表您執行此動作。**重要事項：**撤銷的 ACM 公有憑證無法再次使用相同的序號。

解決方案

向 AWS Support 提交要求以撤銷公有憑證

按照指示在 AWS 管理主控台的支援中心建立支援案例。

如果是以電子郵件傳送的驗證憑證，系統會將類似下列內容的電子郵件傳送到 WHOIS 中的三個註冊地址和五個常見網域名稱地址：

Amazon Trust Services has been requested to revoke the following
certificate. If you requested this revocation, please respond to this
email with I approve.

Domain: <DOMAIN>
AWS account ID: <AWS Account ID>
AWS Region name: <REGION>
Certificate identifier: <CERTIFICATE IDENTIFIER>

Sincerely,

Amazon Trust Services

對於 DNS 驗證的憑證，AWS Support 可能會聯絡您，在 DNS 資料庫中新增唯一的 TXT 記錄以驗證網域擁有權。

收到要求的資訊並確認網域擁有權後，AWS Support 會撤銷此公有憑證。

確認已使用 OpenSSL 撤銷 ACM 公有憑證

**注意：**如果您在執行 AWS CLI 命令時收到錯誤，請確保您使用的是最新版 AWS CLI。

1.    取得網域的憑證檔案資訊，並將輸出儲存至 .pem 檔案：

$ openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > example.pem

2.    檢查憑證是否具有線上憑證狀態通訊協定 (OCSP) URI：

$ openssl x509 -noout -ocsp_uri -in example.pem

Output:
http://ocsp.rootca1.amazontrust.com

3.    擷取憑證鏈：

$ openssl s_client -connect example.com:443 -showcerts 2>&1 < /dev/null

4.    儲存 .pem 檔案。

5.    傳送類似下列內容的 OCSP 要求：

openssl ocsp -issuer chain.pem -cert example.pem -url http://ocsp.rootca1.amazontrust.com

Output:
Response verify OK
example.pem: revoked
This Update: Apr 9 03:02:45 2014 GMT
Next Update: Apr 10 03:02:45 2014 GMT
Revocation Time: Mar 25 15:45:55 2014 GMT

在輸出中，請注意回應被撤銷。

---

相關資訊

最佳實務