Widerrufen Sie ein privates Zertifikat - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Widerrufen Sie ein privates Zertifikat

Sie können ein AWS Private CA Zertifikat mit dem AWS CLI Befehl revoke-certificate oder der RevokeCertificateAPI-Aktion widerrufen. Ein Zertifikat muss möglicherweise vor seinem geplanten Ablauf gesperrt werden, wenn beispielsweise sein geheimer Schlüssel kompromittiert wurde oder die zugehörige Domain ungültig wird. Damit der Widerruf wirksam ist, muss der Client, der das Zertifikat verwendet, bei jedem Versuch, eine sichere Netzwerkverbindung aufzubauen, den Sperrstatus überprüfen können.

AWS Private CA bietet zwei vollständig verwaltete Mechanismen zur Unterstützung der Überprüfung des Sperrstatus: Online Certificate Status Protocol (OCSP) und Zertifikatssperrlisten (CRLs). Mit OCSP fragt der Client eine autoritative Sperrdatenbank ab, die in Echtzeit einen Status zurückgibt. Bei einer CRL überprüft der Client das Zertifikat anhand einer Liste widerrufener Zertifikate, die er regelmäßig herunterlädt und speichert. Clients lehnen es ab, gesperrte Zertifikate zu akzeptieren.

Sowohl OCSP als auch sind von den in Zertifikaten eingebetteten Validierungsinformationen CRLs abhängig. Aus diesem Grund muss eine ausstellende Zertifizierungsstelle vor der Ausstellung so konfiguriert werden, dass sie einen oder beide dieser Mechanismen unterstützt. Informationen zur Auswahl und Implementierung der verwalteten Sperrung durch finden Sie AWS Private CA unterPlanen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten.

Widerrufene Zertifikate werden immer in AWS Private CA Prüfberichten aufgezeichnet.

Anmerkung

Für kontoübergreifende Anrufer ist ein Share mit entsprechender AWSRAMRevokeCertificateCertificateAuthority Genehmigung erforderlich. Sperrberechtigungen sind nicht in enthalten. AWSRAMDefaultPermissionCertificateAuthority Um den Widerruf durch kontoübergreifende Emittenten zu ermöglichen, muss der CA-Administrator zwei RAM-Shares erstellen, die beide auf dieselbe CA verweisen:

  1. Eine Aktie mit der AWSRAMRevokeCertificateCertificateAuthority entsprechenden Genehmigung.

  2. Eine Aktie mit der AWSRAMDefaultPermissionCertificateAuthority Genehmigung.

Um ein Zertifikat zu widerrufen

Verwenden Sie die RevokeCertificateAPI-Aktion oder den Befehl revoke-certificate, um ein privates PKI-Zertifikat zu widerrufen. Die Seriennummer muss im Hexadezimalformat vorliegen. Sie können die Seriennummer abrufen, indem Sie den Befehl get-certificate aufrufen. Der Befehl revoke-certificate gibt keine Antwort zurück.

$ aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ --certificate-serial serial_number \ --revocation-reason "KEY_COMPROMISE"

Widerrufene Zertifikate und OCSP

Bei OCSP-Antworten kann es bis zu 60 Minuten dauern, bis der neue Status angezeigt wird, wenn Sie ein Zertifikat widerrufen. Im Allgemeinen unterstützt OCSP tendenziell eine schnellere Verteilung von Sperrinformationen, da OCSP-Antworten im Gegensatz zu solchen, CRLs die von Clients tagelang zwischengespeichert werden können, in der Regel nicht von Clients zwischengespeichert werden.

Widerrufene Zertifikate in einer Zertifikatssperrliste

Eine Zertifikatssperrliste wird in der Regel etwa 30 Minuten nach Widerrufen eines Zertifikats aktualisiert. Falls eine CRL-Aktualisierung aus irgendeinem Grund fehlschlägt, werden alle 15 Minuten weitere AWS Private CA Versuche unternommen.

Mit Amazon CloudWatch können Sie Alarme für die Metriken CRLGenerated und erstellenMisconfiguredCRLBucket. Weitere Informationen finden Sie unter Unterstützte CloudWatch Metriken. Weitere Informationen zum Erstellen und Konfigurieren finden CRLs Sie unterRichten Sie eine CRL ein für AWS Private CA.

Das folgende Beispiel zeigt ein widerrufenes Zertifikat in einer Zertifikatssperrliste (Certificate Revocation List, (CRL)).

Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com Last Update: Jan 10 19:28:47 2018 GMT Next Update: Jan 8 20:28:47 2028 GMT CRL extensions: X509v3 Authority key identifier: keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67 X509v3 CRL Number: 1515616127629 Revoked Certificates: Serial Number: B17B6F9AE9309C51D5573BCA78764C23 Revocation Date: Jan 9 17:19:17 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76: 99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42: f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f: 98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f: 2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e: 54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5: 1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b: 58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28: f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9: d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a: 43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51: a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29: 5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87: 65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85: 0e:81:b2:76

Widerrufene Zertifikate in einem Auditbericht

Alle Zertifikate, einschließlich der widerrufenen Zertifikate, werden in den Auditbericht für eine private Zertifizierungsstelle aufgenommen. Das folgende Beispiel zeigt einen Auditbericht mit einem ausgestellten und einem widerrufenen Zertifikat. Weitere Informationen finden Sie unter Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle.

[ { "awsAccountId":"account", "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID", "serial":"serial_number", "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore":"2018-02-26T18:39:57+0000", "notAfter":"2019-02-26T19:39:57+0000", "issuedAt":"2018-02-26T19:39:58+0000", "revokedAt":"2018-02-26T20:00:36+0000", "revocationReason":"KEY_COMPROMISE" }, { "awsAccountId":"account", "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID", "serial":"serial_number", "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US", "notBefore":"2018-01-22T20:10:49+0000", "notAfter":"2019-01-17T21:10:49+0000", "issuedAt":"2018-01-22T21:10:49+0000" } ]