本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 撤銷 AWS Certificate Manager 公有憑證
<a name="revoke-certificate"></a>

您可以使用 ACM 主控台 AWS CLI或 API 動作撤銷可 AWS Certificate Manager 匯出的公有憑證。

**警告**  
撤銷憑證之後，您就無法重複使用憑證。撤銷憑證是永久的。

您可能需要撤銷憑證，以符合組織的政策或緩解金鑰洩露。撤銷憑證時需要一個原因。可使用下列原因：
+ 未指定
+ 關聯已變更
+ 已取代
+ 停止操作

若要進一步了解，請參閱 [Amazon Trust Services 憑證訂閱者協議](https://www.amazontrust.com/repository/sa-1.3.pdf)和 [Amazon Trust Service](https://www.amazontrust.com/repository/)。

AWS 提供兩種檢查憑證撤銷的服務：線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單。使用 OCSP，用戶端會查詢授權撤銷資料庫，以即時傳回狀態。OCSP 取決於內嵌在憑證中的驗證資訊。

## 考量事項
<a name="revoke-considerations"></a>

以下是撤銷憑證前的考量事項：
+ 您只能撤銷先前匯出的憑證。
+ 您無法撤銷[不可匯出的公有憑證](acm-exportable-certificates.md)。如果您不再需要這些憑證，您應該改為[將其刪除](gs-acm-delete.md)。
+ 如果您不再需要憑證，您應該[刪除憑證](gs-acm-delete.md)，而不是撤銷憑證。
+ 憑證撤銷程序是全域的。您選擇撤銷的所有有效憑證都會與其相關聯的 ARNs一併撤銷。
+ 憑證撤銷是永久的。您無法擷取撤銷的憑證以重複使用。
+ 憑證撤銷最多可能需要 24 小時才會生效。

## 撤銷憑證 （主控台）
<a name="revoke-certificate-console"></a>

下列程序會逐步解說如何撤銷 ACM 公有或私有憑證。

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 開啟 ACM 主控台。

1. 選擇**列出憑證**，然後選取您要撤銷之憑證的核取方塊。

   1. 或者，您可以選取憑證。在憑證詳細資訊頁面中，選取**撤銷**。

1. 選擇**更多動作**，然後選擇**撤銷**。

1. 出現對話方塊，您必須提供撤銷原因，輸入 **revoke**，然後選擇**撤銷**。

## 撤銷憑證 (AWS CLI)
<a name="revoke-certificate-cli"></a>

使用 [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 命令或 [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html) API 動作來撤銷 ACM 公有或私有憑證。您可以呼叫 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)命令來擷取憑證的 ARN。

```
$ aws acm revoke-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
    --revocation-reason "UNSPECIFIED"
```

**警告**  
撤銷憑證之後，您就無法重複使用憑證。撤銷憑證是永久的。

以下是 `revoke-certificate`命令的輸出。

```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```