本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
撤銷私有憑證
您可以使用 revoke-certificate 命令或 動作來撤銷 AWS CLI AWS 私有 CA 憑證。 RevokeCertificate API例如,如果憑證的秘密金鑰遭到入侵或其相關聯的網域變成無效,則可能需要在排程過期之前撤銷憑證。為了使撤銷生效,使用憑證的用戶端需要一種方法來檢查撤銷狀態,以便其嘗試建立安全網路連線。
AWS 私有 CA 提供兩種完全受管的機制以支援撤銷狀態檢查:線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單 ()CRLs。透過 OCSP,用戶端會查詢權威撤銷資料庫,以即時傳回狀態。透過 CRL,用戶端會根據其定期下載和儲存的已撤銷憑證清單檢查憑證。用戶端拒絕接受已撤銷的憑證。
OCSP 和 都CRLs取決於內嵌在憑證中的驗證資訊。因此,發行 CA 必須設定為在發行之前支援其中一個或兩個機制。如需透過 選取和實作受管撤銷的相關資訊 AWS 私有 CA,請參閱 規劃您的 AWS Private CA 憑證撤銷方法。
撤銷的憑證一律會記錄在 AWS 私有 CA 稽核報告中。
注意
對於跨帳戶呼叫者,需要具有 AWSRAMRevokeCertificateCertificateAuthority許可的共用。撤銷許可不包含在 中AWSRAMDefaultPermissionCertificateAuthority。若要啟用跨帳戶發行者的撤銷,CA 管理員必須建立兩個RAM共用,兩個共用都指向相同的 CA:
-
具有
AWSRAMRevokeCertificateCertificateAuthority許可的共用。 -
具有
AWSRAMDefaultPermissionCertificateAuthority許可的共用。
若要撤銷憑證
使用 RevokeCertificateAPI動作或 revoke-certificate 命令來撤銷私有PKI憑證。序號必須為十六進位格式。您可以透過呼叫 get-certificate 命令來擷取序號。revoke-certificate 命令不會傳回回應。
$aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --certificate-serialserial_number\ --revocation-reason "KEY_COMPROMISE"
已撤銷憑證和 OCSP
OCSP 當您撤銷憑證時,回應最多可能需要 60 分鐘才能反映新狀態。一般而言, OCSP傾向於支援更快的撤銷資訊分發,因為與用戶端CRLs可以快取 天不同,用戶端通常不會快取OCSP回應。
在 中撤銷的憑證 CRL
通常CRL在撤銷憑證後約 30 分鐘更新 。如果因任何原因CRL更新失敗, AWS 私有 CA 會每 15 分鐘進一步嘗試一次。
透過 Amazon CloudWatch,您可以為指標 CRLGenerated和 建立警示MisconfiguredCRLBucket。如需詳細資訊,請參閱支援的 CloudWatch指標 。如需建立和設定 的詳細資訊CRLs,請參閱 設定 CRL的 AWS Private CA。
下列範例顯示憑證撤銷清單中的撤銷憑證 (CRL)。
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76稽核報告中的已撤銷憑證
所有憑證 (包括撤銷的憑證) 皆包含在私有 CA 的稽核報告中。以下範例會示範具有一個已發行憑證和一個已撤銷憑證的稽核報告。如需詳細資訊,請參閱將稽核報告與私有 CA 搭配使用。
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]