本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
吊销私有证书
您可以使用 revoke -c AWS 私有 CA ertificate AWS CLI 命令或操作吊销证书。RevokeCertificateAPI例如,如果证书的密钥泄露或其关联的域失效,则可能需要在证书的预定到期之前将其吊销。为了使吊销生效,使用证书的客户端在尝试建立安全的网络连接时需要一种方法来检查吊销状态。
AWS 私有 CA 提供了两种完全托管的机制来支持吊销状态检查:在线证书状态协议 (OCSP) 和证书吊销列表 (CRLs)。使用OCSP,客户端可以查询权威撤销数据库,该数据库会实时返回状态。使用 aCRL,客户端会根据其定期下载和存储的已吊销证书列表检查证书。客户端拒绝接受已吊销的证书。
两者OCSP兼而有之,都CRLs取决于证书中嵌入的验证信息。因此,在颁发之前,必须将颁发 CA 配置为支持其中一种或两种机制。有关通过选择和实施托管撤销的信息 AWS 私有 CA,请参阅规划您的 AWS Private CA 证书吊销方法。
已撤销的证书始终记录在 AWS 私有 CA 审计报告中。
注意
对于跨账户来电者,需要拥有该AWSRAMRevokeCertificateCertificateAuthority
权限的共享。中AWSRAMDefaultPermissionCertificateAuthority
不包括撤销权限。要允许跨账户发行人撤销,CA 管理员必须创建两个指向同一 CA 的RAM共享:
-
具有
AWSRAMRevokeCertificateCertificateAuthority
权限的共享。 -
具有
AWSRAMDefaultPermissionCertificateAuthority
权限的共享。
吊销证书
使用RevokeCertificateAPI操作或吊销证书命令吊销私有证书。PKI序列号必须使用十六进制格式。您可以通过调用 get-certificate 命令来检索序列号。revoke-certificate
命令不返回响应。
$
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --certificate-serialserial_number
\ --revocation-reason "KEY_COMPROMISE
"
已吊销的证书和 OCSP
OCSP当您吊销证书时,响应最多可能需要 60 分钟才能反映出新的状态。通常,OCSP倾向于支持更快地分发撤销信息,因为与客户端CRLs可以缓存数天的撤销信息不同,客户端通常不会缓存OCSP响应。
已在 a 中吊销的证书 CRL
A CRL 通常在证书被吊销后大约 30 分钟更新。如果由于任何原因CRL更新失败, AWS 私有 CA 则每 15 分钟再尝试一次。
借助 Amazon CloudWatch,您可以为指标创建警报,CRLGenerated
以及MisconfiguredCRLBucket
。有关更多信息,请参阅支持的 CloudWatch指标。有关创建和配置的更多信息CRLs,请参阅设置一个 fo CRL r AWS Private CA。
以下示例显示了证书吊销列表 () CRL 中已吊销的证书。
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
审核报告中的已吊销证书
包括已吊销证书在内的所有证书都包含在私有 CA 的审核报告中。以下示例显示包含一个已颁发证书和一个已吊销证书的审核报告。有关更多信息,请参阅 将审计报告与您的私有 CA 一起使用。
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]