As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Revogar um certificado privado
Você pode revogar um CA privada da AWS certificado usando o AWS CLI comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) ou a ação da API. [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Um certificado talvez precise ser revogado antes de sua expiração programada se, por exemplo, sua chave secreta for comprometida ou o domínio associado se tornar inválido. Para que a revogação seja efetiva, o cliente que usa esse certificado precisa de uma maneira de verificar o status da revogação sempre que tentar criar uma conexão de rede segura.
CA privada da AWS fornece dois mecanismos totalmente gerenciados para suportar a verificação do status de revogação: Online Certificate Status Protocol (OCSP) e listas de revogação de certificados (). CRLs Com o OCSP, o cliente consulta um banco de dados de revogação autoritativo que retorna um status em tempo real. Com uma CRL, o cliente compara o certificado com uma lista de certificados revogados que ele baixa e armazena periodicamente. Clientes se recusam a aceitar certificados que foram revogados.
Tanto o OCSP quanto o OCSP CRLs dependem das informações de validação incorporadas nos certificados. Por isso, uma CA emissora deve ser configurada para oferecer suporte a um ou a ambos os mecanismos antes da emissão. Para obter informações sobre como selecionar e implementar a revogação gerenciada por meio de CA privada da AWS, consulte. [Planeje seu método CA Privada da AWS de revogação de certificado](revocation-setup.md)
Os certificados revogados são sempre registrados nos relatórios CA privada da AWS de auditoria.
**nota**
Para chamadores de várias contas, as permissões de revogação não estão incluídas em. `AWSRAMDefaultPermissionCertificateAuthority` Para permitir a revogação por emissores de várias contas, o administrador da CA pode usar uma das seguintes abordagens:
**Permissão gerenciada pelo cliente (recomendada)** — Crie uma permissão gerenciada pelo cliente de RAM que inclua a `acm-pca:RevokeCertificate` ação junto com outras ações necessárias em um único compartilhamento de recursos. Para obter mais informações, consulte [Permissões gerenciadas pelo cliente na RAM](pca-cmp.md).
**AWS permissões gerenciadas** — Crie dois compartilhamentos de RAM, ambos apontando para a mesma CA:
Um compartilhamento com a permissão `AWSRAMRevokeCertificateCertificateAuthority`.
Um compartilhamento com a permissão `AWSRAMDefaultPermissionCertificateAuthority`.
**Para revogar um certificado**
Use a ação da [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API ou o comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) para revogar um certificado PKI privado. O número de série deve estar no formato hexadecimal. É possível recuperar o número de série chamando o comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). O comando `revoke-certificate` não retorna uma resposta.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## Certificados revogados e o OCSP
As respostas do OCSP podem levar até 60 minutos para refletir o novo status quando um certificado é revogado. Em geral, o OCSP tende a oferecer suporte à distribuição mais rápida de informações de revogação porque, ao contrário do CRLs que pode ser armazenado em cache pelos clientes por dias, as respostas do OCSP normalmente não são armazenadas em cache pelos clientes.
## Certificados revogados em uma CRL
Uma CRL normalmente é atualizada aproximadamente 30 minutos depois que um certificado é revogado. Se por algum motivo uma atualização da CRL falhar, CA privada da AWS faça novas tentativas a cada 15 minutos.
Com a Amazon CloudWatch, você pode criar alarmes para as métricas `CRLGenerated` e. `MisconfiguredCRLBucket` Para obter mais informações, consulte [ CloudWatchMétricas suportadas](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Para obter mais informações sobre criação e configuração CRLs, consulte[Configure uma CRL para CA Privada da AWS](crl-planning.md).
O exemplo a seguir mostra um certificado revogado em uma lista de revogação de certificados (CRL).
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## Certificados revogados em um relatório de auditoria
Todos os certificados, incluindo certificados revogados, são incluídos no relatório de auditoria de uma CA privada. O exemplo a seguir mostra um relatório de auditoria com um certificado revogado e um emitido. Para obter mais informações, consulte [Use relatórios de auditoria com sua CA privada](PcaAuditReport.md).
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```