Certificats révoqués et OCSP Certificats révoqués dans un CRL Certificats révoqués dans un rapport d'audit

Révoquer un certificat privé

Vous pouvez révoquer un Autorité de certification privée AWS certificat à l'aide de la AWS CLI commande revoke-certificate ou de l'action. RevokeCertificateAPI Il peut être nécessaire de révoquer un certificat avant son expiration prévue si, par exemple, sa clé secrète est compromise ou si le domaine associé devient invalide. Pour que la révocation soit effective, le client utilisant le certificat doit pouvoir vérifier l'état de la révocation chaque fois qu'il tente d'établir une connexion réseau sécurisée.

Autorité de certification privée AWS fournit deux mécanismes entièrement gérés pour prendre en charge le contrôle de l'état de révocation : le protocole d'état des certificats en ligne (OCSP) et les listes de révocation de certificats (CRLs). AvecOCSP, le client interroge une base de données de révocation faisant autorité qui renvoie un statut en temps réel. Avec unCRL, le client compare le certificat à une liste de certificats révoqués qu'il télécharge et stocke périodiquement. Les clients refusent d'accepter les certificats révoqués.

Les deux CRLs dépendent OCSP des informations de validation intégrées dans les certificats. Pour cette raison, une autorité de certification émettrice doit être configurée pour prendre en charge l'un de ces mécanismes ou les deux avant l'émission. Pour plus d'informations sur la sélection et la mise en œuvre de la révocation gérée via Autorité de certification privée AWS, consultezPlanifiez la méthode de révocation de votre AWS Private CA certificat.

Les certificats révoqués sont toujours enregistrés dans les rapports Autorité de certification privée AWS d'audit.

Note

Pour les appels intercomptes, un partage avec AWSRAMRevokeCertificateCertificateAuthority autorisation est requis. Les autorisations de révocation ne sont pas incluses dans. AWSRAMDefaultPermissionCertificateAuthority Pour permettre la révocation par les émetteurs multicomptes, l'administrateur de l'autorité de certification doit créer deux RAM actions, toutes deux pointant vers la même autorité de certification :

Un partage avec l'AWSRAMRevokeCertificateCertificateAuthorityautorisation.
Un partage avec l'AWSRAMDefaultPermissionCertificateAuthorityautorisation.

Pour révoquer un certificat

Utilisez la commande RevokeCertificateAPIaction ou revoke-certificate pour révoquer un certificat privé. PKI Le numéro de série doit être au format hexadécimal. Vous pouvez récupérer le numéro de série en appelant la commande get-certificate. La commande revoke-certificate ne renvoie aucune réponse.


$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

Certificats révoqués et OCSP

OCSPles réponses peuvent prendre jusqu'à 60 minutes pour refléter le nouveau statut lorsque vous révoquez un certificat. En général, OCSP tend à favoriser une diffusion plus rapide des informations de révocation car, contrairement aux informations CRLs qui peuvent être mises en cache par les clients pendant des jours, les OCSP réponses ne sont généralement pas mises en cache par les clients.

Certificats révoqués dans un CRL

A CRL est généralement mis à jour environ 30 minutes après la révocation d'un certificat. Si, pour une raison quelconque, une CRL mise à jour échoue Autorité de certification privée AWS , effectuez de nouvelles tentatives toutes les 15 minutes.

Avec Amazon CloudWatch, vous pouvez créer des alarmes pour les métriques CRLGenerated etMisconfiguredCRLBucket. Pour plus d'informations, consultez la section CloudWatchMesures prises en charge. Pour plus d'informations sur la création et la configurationCRLs, consultezConfigurez un CRL pour AWS Private CA.

L'exemple suivant montre un certificat révoqué dans une liste de révocation de certificats ()CRL.


Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

Certificats révoqués dans un rapport d'audit

Tous les certificats, y compris les certificats révoqués, sont inclus dans le rapport d'audit d'une autorité de certification privée. L'exemple suivant illustre un rapport d'audit avec un certificat émis et un certificat révoqué. Pour de plus amples informations, veuillez consulter Utiliser les rapports d'audit avec votre autorité de certification privée.


[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exporter un certificat

Automatiser l'exportation