Cabut sertifikat pribadi - AWS Private Certificate Authority
Sertifikat yang dicabut dan OCSPSertifikat yang dicabut dalam a CRL Sertifikat yang dicabut dalam laporan audit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cabut sertifikat pribadi

Anda dapat mencabut AWS Private CA sertifikat menggunakan perintah pencabutan sertifikat atau tindakan AWS CLI . RevokeCertificateAPI Sertifikat mungkin perlu dicabut sebelum kedaluwarsa yang dijadwalkan jika, misalnya, kunci rahasianya dikompromikan atau domain terkaitnya menjadi tidak valid. Agar pencabutan efektif, klien yang menggunakan sertifikat memerlukan cara untuk memeriksa status pencabutan setiap kali mencoba membangun koneksi jaringan yang aman.

AWS Private CA menyediakan dua mekanisme yang dikelola sepenuhnya untuk mendukung pemeriksaan status pencabutan: Protokol Status Sertifikat Online (OCSP) dan daftar pencabutan sertifikat (). CRLs DenganOCSP, klien menanyakan database pencabutan otoritatif yang mengembalikan status secara real-time. Dengan aCRL, klien memeriksa sertifikat terhadap daftar sertifikat yang dicabut yang diunduh dan disimpan secara berkala. Klien menolak untuk menerima sertifikat yang telah dicabut.

Keduanya OCSP dan CRLs bergantung pada informasi validasi yang disematkan dalam sertifikat. Untuk alasan ini, CA penerbitan harus dikonfigurasi untuk mendukung salah satu atau kedua mekanisme ini sebelum penerbitan. Untuk informasi tentang memilih dan menerapkan pencabutan terkelola melalui AWS Private CA, lihat. Rencanakan metode pencabutan AWS Private CA sertifikat Anda

Sertifikat yang dicabut selalu dicatat dalam laporan AWS Private CA audit.

catatan

Untuk penelepon lintas akun, pembagian dengan AWSRAMRevokeCertificateCertificateAuthority izin diperlukan. Izin pencabutan tidak termasuk dalam. AWSRAMDefaultPermissionCertificateAuthority Untuk mengaktifkan pencabutan oleh penerbit lintas akun, administrator CA harus membuat dua RAM saham, keduanya menunjuk pada CA yang sama:

  1. Berbagi dengan AWSRAMRevokeCertificateCertificateAuthority izin.

  2. Berbagi dengan AWSRAMDefaultPermissionCertificateAuthority izin.

Untuk mencabut sertifikat

Gunakan RevokeCertificateAPItindakan atau perintah pencabutan sertifikat untuk mencabut sertifikat pribadi. PKI Nomor seri harus dalam format heksadesimal. Anda dapat mengambil nomor seri dengan memanggil perintah get-certificate. Perintah revoke-certificate tidak mengembalikan respons. 

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

Sertifikat yang dicabut dan OCSP

OCSPtanggapan dapat memakan waktu hingga 60 menit untuk mencerminkan status baru saat Anda mencabut sertifikat. Secara umum, OCSP cenderung mendukung distribusi informasi pencabutan yang lebih cepat karena, tidak seperti CRLs yang dapat di-cache oleh klien selama berhari-hari, OCSP respons biasanya tidak di-cache oleh klien.

Sertifikat yang dicabut dalam a CRL

A CRL biasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun CRL pembaruan gagal, lakukan AWS Private CA upaya lebih lanjut setiap 15 menit.

Dengan Amazon CloudWatch, Anda dapat membuat alarm untuk metrik CRLGenerated dan. MisconfiguredCRLBucket Untuk informasi selengkapnya, lihat CloudWatchMetrik yang Didukung. Untuk informasi selengkapnya tentang membuat dan mengonfigurasiCRLs, lihatSiapkan CRL untuk AWS Private CA.

Contoh berikut menunjukkan sertifikat yang dicabut dalam daftar pencabutan sertifikat (). CRL

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

Sertifikat yang dicabut dalam laporan audit

Semua sertifikat, termasuk sertifikat yang dicabut, disertakan dalam laporan audit untuk CA privat. Contoh berikut menunjukkan laporan audit dengan satu diterbitkan dan satu sertifikat dicabut. Untuk informasi selengkapnya, lihat Gunakan laporan audit dengan CA pribadi Anda. 

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]