Revoca un certificato privato - AWS Private Certificate Authority
Certificati revocati e OCSPCertificati revocati in un CRL Certificati revocati in un report di audit

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revoca un certificato privato

Puoi revocare un CA privata AWS certificato utilizzando il comando revoke-certificate o l'azione AWS CLI . RevokeCertificateAPI Potrebbe essere necessario revocare un certificato prima della scadenza pianificata se, ad esempio, la chiave segreta è compromessa o il dominio associato non è valido. Affinché la revoca sia effettiva, il client che utilizza il certificato deve poter verificare lo stato della revoca ogni volta che tenta di creare una connessione di rete sicura.

CA privata AWS fornisce due meccanismi completamente gestiti per supportare il controllo dello stato di revoca: Online Certificate Status Protocol (OCSP) e gli elenchi di revoca dei certificati (). CRLs ConOCSP, il client interroga un database di revoca autorevole che restituisce uno stato in tempo reale. Con aCRL, il client confronta il certificato con un elenco di certificati revocati che scarica e archivia periodicamente. I client si rifiutano di accettare i certificati che sono stati revocati.

Entrambi CRLs dipendono OCSP dalle informazioni di convalida incorporate nei certificati. Per questo motivo, una CA emittente deve essere configurata per supportare uno o entrambi questi meccanismi prima dell'emissione. Per informazioni sulla selezione e l'implementazione della revoca gestita tramite CA privata AWS, vedere. AWS Private CA Pianifica il tuo metodo di revoca dei certificati

I certificati revocati vengono sempre registrati nei rapporti di CA privata AWS controllo.

Nota

Per chi chiama con più account, è richiesta una condivisione con l'AWSRAMRevokeCertificateCertificateAuthorityautorizzazione. Le autorizzazioni di revoca non sono incluse in. AWSRAMDefaultPermissionCertificateAuthority Per consentire la revoca da parte di emittenti con account diversi, l'amministratore della CA deve creare due RAM condivisioni, entrambe indirizzate alla stessa CA:

  1. Una condivisione con l'autorizzazione. AWSRAMRevokeCertificateCertificateAuthority

  2. Una condivisione con il AWSRAMDefaultPermissionCertificateAuthority permesso.

Per revocare un certificato

Usa il comando RevokeCertificateAPIaction o revoke-certificate per revocare un certificato privato. PKI Il numero di serie deve essere in formato esadecimale. Puoi recuperare il numero di serie chiamando il comando get-certificate. Il comando revoke-certificate non restituisce una risposta. 

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

Certificati revocati e OCSP

OCSPle risposte possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza di quelle CRLs che possono essere memorizzate nella cache dai client per giorni, OCSP le risposte in genere non vengono memorizzate nella cache dai client.

Certificati revocati in un CRL

A CRL viene in genere aggiornato circa 30 minuti dopo la revoca di un certificato. Se per qualsiasi motivo un CRL aggiornamento fallisce, CA privata AWS effettua ulteriori tentativi ogni 15 minuti.

Con Amazon CloudWatch, puoi creare allarmi per le metriche CRLGenerated e. MisconfiguredCRLBucket Per ulteriori informazioni, consulta Metriche supportate CloudWatch. Per ulteriori informazioni sulla creazione e la configurazioneCRLs, consulta. Imposta un per CRL AWS Private CA

L'esempio seguente mostra un certificato revocato in un elenco di revoca dei certificati (). CRL

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

Certificati revocati in un report di audit

Tutti i certificati, inclusi i certificati revocati, sono inclusi nel report di audit per una CA privata. L'esempio seguente mostra un report di audit con un certificato emesso e uno revocato. Per ulteriori informazioni, consulta Utilizza i report di controllo con la tua CA privata. 

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]