Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Revoca un certificato privato
<a name="PcaRevokeCert"></a>

Puoi revocare un CA privata AWS certificato utilizzando il comando [revoke-certificate o l'azione API](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI . [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Potrebbe essere necessario revocare un certificato prima della scadenza pianificata se, ad esempio, la chiave segreta è compromessa o il dominio associato non è valido. Affinché la revoca sia effettiva, il client che utilizza il certificato deve poter verificare lo stato della revoca ogni volta che tenta di creare una connessione di rete sicura.

CA privata AWS fornisce due meccanismi completamente gestiti per supportare il controllo dello stato di revoca: Online Certificate Status Protocol (OCSP) e gli elenchi di revoca dei certificati (). CRLs Con OCSP, il client interroga un database di revoca autorevole che restituisce uno stato in tempo reale. Con un CRL, il client confronta il certificato con un elenco di certificati revocati che scarica e archivia periodicamente. I client si rifiutano di accettare i certificati che sono stati revocati. 

Sia OCSP che OCSP CRLs dipendono dalle informazioni di convalida incorporate nei certificati. Per questo motivo, una CA emittente deve essere configurata per supportare uno o entrambi questi meccanismi prima dell'emissione. Per informazioni sulla selezione e l'implementazione della revoca gestita tramite CA privata AWS, vedere. [AWS Private CA Pianifica il tuo metodo di revoca dei certificati](revocation-setup.md)

I certificati revocati vengono sempre registrati nei rapporti di CA privata AWS controllo. 

**Nota**  
Per chi chiama con più account, le autorizzazioni di revoca non sono incluse in. `AWSRAMDefaultPermissionCertificateAuthority` Per consentire la revoca da parte degli emittenti con più account, l'amministratore della CA può utilizzare uno dei seguenti approcci:  
**Autorizzazione gestita dal cliente (consigliata)**: crea un'autorizzazione RAM gestita dal cliente che includa l'`acm-pca:RevokeCertificate`azione insieme ad altre azioni richieste in un'unica condivisione di risorse. Per ulteriori informazioni, consulta [Autorizzazioni gestite dal cliente nella RAM](pca-cmp.md).
**AWS autorizzazioni gestite**: crea due condivisioni RAM, entrambe rivolte alla stessa CA:  
Una condivisione con l'autorizzazione. `AWSRAMRevokeCertificateCertificateAuthority`
Una condivisione con il `AWSRAMDefaultPermissionCertificateAuthority` permesso.

**Per revocare un certificato**  
Utilizza l'azione [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API o il comando [revoke-certificate per revocare un certificato](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) PKI privato. Il numero di serie deve essere in formato esadecimale. Puoi recuperare il numero di serie chiamando il comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). Il comando `revoke-certificate` non restituisce una risposta. 

```
$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"
```

## Certificati revocati e OCSP
<a name="PcaRevokeOcsp"></a>

Le risposte OCSP possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza di quelle CRLs che possono essere memorizzate nella cache dai client per giorni, le risposte OCSP in genere non vengono memorizzate nella cache dai client.

## Certificati revocati in un CRL
<a name="PcaRevokeCrl"></a>

Generalmente un CRL viene aggiornato circa 30 minuti dopo che un certificato viene revocato. Se per qualsiasi motivo un aggiornamento del CRL fallisce, CA privata AWS effettua ulteriori tentativi ogni 15 minuti.

Con Amazon CloudWatch, puoi creare allarmi per le metriche `CRLGenerated` e. `MisconfiguredCRLBucket` Per ulteriori informazioni, consulta Metriche [supportate CloudWatch](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Per ulteriori informazioni sulla creazione e la configurazione CRLs, consulta. [Imposta un CRL per AWS Private CA](crl-planning.md) 

L'esempio seguente mostra un certificato revocato in un elenco di revoche di certificati (CRL).

```
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76
```

## Certificati revocati in un report di audit
<a name="PcaRevokeAuditReport"></a>

Tutti i certificati, inclusi i certificati revocati, sono inclusi nel report di audit per una CA privata. L'esempio seguente mostra un report di audit con un certificato emesso e uno revocato. Per ulteriori informazioni, consulta [Utilizza i report di controllo con la tua CA privata](PcaAuditReport.md). 

```
[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]
```