Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Revocar un certificado privado
Puede revocar un Autoridad de certificación privada de AWS certificado mediante el AWS CLI comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) o la acción de la API. [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Es posible que sea necesario revocar un certificado antes de su caducidad programada si, por ejemplo, su clave secreta está comprometida o su dominio asociado deja de ser válido. Para que la revocación sea efectiva, el cliente que utilice el certificado necesita una forma de comprobar el estado de la revocación siempre que intente crear una conexión de red segura.
Autoridad de certificación privada de AWS proporciona dos mecanismos totalmente gestionados que permiten comprobar el estado de las revocaciones: el Protocolo de estado de certificados en línea (OCSP) y las listas de revocación de certificados (). CRLs Con el OCSP, el cliente consulta una base de datos de revocaciones autorizada que devuelve un estado en tiempo real. Con una CRL, el cliente compara el certificado con una lista de certificados revocados que descarga y almacena periódicamente. Los clientes se niegan a aceptar certificados que han sido revocados.
Tanto el OCSP como el OCSP CRLs dependen de la información de validación incluida en los certificados. Por este motivo, la CA emisora debe configurarse para admitir uno de estos mecanismos o ambos antes de su emisión. Para obtener información sobre cómo seleccionar e implementar la revocación gestionada mediante Autoridad de certificación privada de AWS, consulte. [Planifique el método de revocación AWS Private CA de su certificado](revocation-setup.md)
Los certificados revocados siempre se registran en los informes de Autoridad de certificación privada de AWS auditoría.
**nota**
En el caso de las personas que llaman desde varias cuentas, los permisos de revocación no están incluidos. `AWSRAMDefaultPermissionCertificateAuthority` Para permitir la revocación por parte de emisores multicuenta, el administrador de CA puede utilizar uno de los siguientes enfoques:
**Permiso administrado por el cliente (recomendado)**: cree un permiso de RAM administrado por el cliente que incluya la `acm-pca:RevokeCertificate` acción junto con otras acciones obligatorias en un único recurso compartido. Para obtener más información, consulte [Permisos gestionados por el cliente en la RAM](pca-cmp.md).
**AWS permisos administrados**: cree dos recursos compartidos de RAM, ambos dirigidos a la misma CA:
Un recurso compartido con el permiso `AWSRAMRevokeCertificateCertificateAuthority`.
Un recurso compartido con el permiso `AWSRAMDefaultPermissionCertificateAuthority`.
**Para revocar un certificado**
Utilice la acción de la [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API o el comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) para revocar un certificado de PKI privado. El número de serie debe estar en formato hexadecimal. Puede recuperar el número de serie llamando al comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). El comando `revoke-certificate` no devuelve ninguna respuesta.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## Certificados y OCSP revocados
Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de CRLs lo que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas de OCSP.
## Certificados revocados en una CRL
Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si por alguna razón se produce un error en la actualización de la CRL, Autoridad de certificación privada de AWS lo intenta de nuevo cada 15 minutos.
Con Amazon CloudWatch, puedes crear alarmas para las métricas `CRLGenerated` y`MisconfiguredCRLBucket`. Para obtener más información, consulta [ CloudWatchMétricas compatibles](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Para obtener más información sobre la creación y la configuración CRLs, consulte[Configura una CRL para AWS Private CA](crl-planning.md).
En el siguiente ejemplo, se muestra un certificado revocado de una lista de revocación de certificados (CRL).
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## Certificados revocados en un informe de auditoría
Todos los certificados, incluidos los que se han revocado, se incluyen en el informe de auditoría de una CA privada. En el ejemplo siguiente, se muestra un informe de auditoría con un certificado emitido y un certificado revocado. Para obtener más información, consulte [Utilice los informes de auditoría con su CA privada](PcaAuditReport.md).
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```