本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 撤銷私有憑證
<a name="PcaRevokeCert"></a>

您可以使用 [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 命令或 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 動作來撤銷 AWS 私有 CA 憑證。例如，如果憑證的私密金鑰遭到入侵或其相關聯的網域變成無效，則憑證可能需要在排程過期之前撤銷。為了讓撤銷生效，使用憑證的用戶端需要一種方法來檢查每次嘗試建置安全網路連線時的撤銷狀態。

AWS 私有 CA 提供兩種完全受管的機制來支援撤銷狀態檢查：線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單 (CRLs)。使用 OCSP，用戶端會查詢授權撤銷資料庫，以即時傳回狀態。使用 CRL 時，用戶端會根據其定期下載和存放的已撤銷憑證清單來檢查憑證。用戶端拒絕接受已撤銷的憑證。

OCSP 和 CRLs都取決於內嵌在憑證中的驗證資訊。因此，發行 CA 必須設定為在發行之前支援其中一個或兩個機制。如需透過 選取和實作受管撤銷的資訊 AWS 私有 CA，請參閱 [規劃您的 AWS 私有 CA 憑證撤銷方法](revocation-setup.md)。

撤銷的憑證一律會記錄在 AWS 私有 CA 稽核報告中。

**注意**  
對於跨帳戶發起人，撤銷許可不包含在 中`AWSRAMDefaultPermissionCertificateAuthority`。若要啟用跨帳戶發行者撤銷，CA 管理員可以使用下列其中一種方法：  
**客戶受管許可 （建議）** – 建立 RAM 客戶受管許可，在單一資源共享中包含 `acm-pca:RevokeCertificate`動作和其他必要的動作。如需詳細資訊，請參閱[RAM 中的客戶受管許可](pca-cmp.md)。
**AWS 受管許可** – 建立兩個 RAM 共用，兩者都指向相同的 CA：  
具有 `AWSRAMRevokeCertificateCertificateAuthority`許可的共用。
具有 `AWSRAMDefaultPermissionCertificateAuthority`許可的共用。

**撤銷憑證**  
使用 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 動作或 [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) 命令來撤銷私有 PKI 憑證。序號必須為十六進位格式。您可以透過呼叫 [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 命令來擷取序號。`revoke-certificate` 命令不會傳回回應。

```
$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"
```

## 撤銷的憑證和 OCSP
<a name="PcaRevokeOcsp"></a>

當您撤銷憑證時，OCSP 回應最多可能需要 60 分鐘才能反映新狀態。一般而言，OCSP 傾向於支援更快速的撤銷資訊分發，因為與用戶端可以快取數天CRLs 不同，用戶端通常不會快取 OCSP 回應。

## CRL 中的已撤銷憑證
<a name="PcaRevokeCrl"></a>

CRL 通常在憑證撤銷後約 30 分鐘更新。如果 CRL 更新因任何原因失敗， AWS 私有 CA 會每 15 分鐘進一步嘗試一次。

使用 Amazon CloudWatch，您可以為 `CRLGenerated` 和 `MisconfiguredCRLBucket` 指標建立警示。如需詳細資訊，請參閱[支援的 CloudWatch 指標](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html)。如需建立及設定 CRL 的詳細資訊，請參閱 [設定 的 CRL AWS 私有 CA](crl-planning.md)。

以下範例會示範憑證撤銷清單 (CRL) 中的已撤銷憑證。

```
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76
```

## 稽核報告中的已撤銷憑證
<a name="PcaRevokeAuditReport"></a>

所有憑證 (包括撤銷的憑證) 皆包含在私有 CA 的稽核報告中。以下範例會示範具有一個已發行憑證和一個已撤銷憑證的稽核報告。如需詳細資訊，請參閱[將稽核報告與私有 CA 搭配使用](PcaAuditReport.md)。

```
[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]
```