本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 吊销 AWS Certificate Manager 公共证书 吊销证书 您可以使用 ACM 控制台或 API 操作吊销可 AWS Certificate Manager 导出的公共证书。 AWS CLI **警告** 证书被吊销后,您将无法重复使用该证书。吊销证书是永久性的。 您可能需要吊销证书,以遵守贵组织的政策或减少密钥泄露风险。吊销证书时需要说明理由。可以使用以下原因: + 未指定 + 从属关系已更改 + Superseded + 停止操作 要了解更多信息,请参阅[《亚马逊信托服务证书订阅用户协议》](https://www.amazontrust.com/repository/sa-1.3.pdf)和[《亚马逊信任服务》](https://www.amazontrust.com/repository/)。 AWS 提供两种检查证书吊销的服务:在线证书状态协议 (OCSP) 和证书吊销列表。使用 OCSP,客户端可以查询实时返回状态的权威吊销数据库。OCSP 依赖于证书中嵌入的验证信息。 ## 注意事项 以下是吊销证书之前的注意事项: + 您只能吊销之前导出的证书。 + 您不能吊销[不可导出的公有证书](acm-exportable-certificates.md)。如果您不再需要这些证书,则应[将其删除](gs-acm-delete.md)。 + 如果您不再需要该证书,则应[删除证书](gs-acm-delete.md),而不是吊销证书。 + 证书吊销过程是全局性的。您选择吊销的所有有效证书及其关联证书都将被吊销。 ARNs + 证书吊销是永久性的。您无法检索已吊销的证书供重复使用。 + 吊销证书最长可能需要 24 小时才会生效。 ## 吊销证书(控制台) 以下过程将引导您了解如何吊销 ACM 公有证书或私有证书。 1. 登录 AWS 管理控制台 并打开 ACM 控制台,网址为。[https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 1. 选择**列出证书**,然后选中要吊销的证书的复选框。 1. 或者,您可以选择证书。在证书详细信息页面中,选择**吊销**。 1. 选择**更多操作**,然后选择**吊销**。 1. 将出现一个对话框,您必须在其中提供吊销原因,输入 **revoke**,然后选择**吊销**。 ## 吊销证书 (AWS CLI) 使用[https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 命令或 [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html)API 操作吊销 ACM 公有或私有证书。您可以通过调用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html) 命令来检索证书的 ARN。 ``` $ aws acm revoke-certificate \ --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \ --revocation-reason "UNSPECIFIED" ``` **警告** 证书被吊销后,您将无法重复使用该证书。吊销证书是永久性的。 下面是 `revoke-certificate` 命令的输出。 ``` arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 ```