Revocación de un certificado privado - AWS Private Certificate Authority
Certificados y OCSP revocadosCertificados revocados en una CRL Certificados revocados en un informe de auditoría

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revocación de un certificado privado

Puede revocar un Autoridad de certificación privada de AWS certificado mediante el AWS CLI comando revoke-certificate o la acción de la RevokeCertificateAPI. Es posible que sea necesario revocar un certificado antes de su caducidad programada si, por ejemplo, su clave secreta está comprometida o su dominio asociado deja de ser válido. Para que la revocación sea efectiva, el cliente que utilice el certificado necesita una forma de comprobar el estado de la revocación siempre que intente crear una conexión de red segura.

Autoridad de certificación privada de AWS proporciona dos mecanismos totalmente administrados que permiten comprobar el estado de las revocaciones: el Protocolo de estado de los certificados en línea (OCSP) y las listas de revocación de certificados (CRL). Con el OCSP, el cliente consulta una base de datos de revocaciones autorizada que devuelve un estado en tiempo real. Con una CRL, el cliente compara el certificado con una lista de certificados revocados que descarga y almacena periódicamente. Los clientes se niegan a aceptar certificados que han sido revocados.

Tanto el OCSP como las CRL dependen de la información de validación incluida en los certificados. Por este motivo, la CA emisora debe configurarse para admitir uno de estos mecanismos o ambos antes de su emisión. Para obtener información sobre cómo seleccionar e implementar la revocación administrada mediante Autoridad de certificación privada de AWS, consulte Configuración de un método de revocación de certificados.

Los certificados revocados siempre se registran en el informe de auditoría de Autoridad de certificación privada de AWS.

nota

Los emisores de certificados multicuenta necesitan permisos adicionales para revocar los certificados que emiten; de lo contrario, el propietario de la CA debe realizar la revocación. Para permitir la revocación por parte de los emisores de varias cuentas, el administrador de la CA debe crear dos comparticiones de RAM, ambas dirigidas a la misma CA:

  1. Un recurso compartido con el permiso AWSRAMRevokeCertificateCertificateAuthority.

  2. Un recurso compartido con el permiso AWSRAMDefaultPermissionCertificateAuthority.

Para revocar un certificado

Use la acción de la RevokeCertificateAPI o el comando revoke-certificate para revocar un certificado de PKI privado. El número de serie debe estar en formato hexadecimal. Puede recuperar el número de serie llamando al comando get-certificate. El comando revoke-certificate no devuelve ninguna respuesta. 

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

Certificados y OCSP revocados

Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de las CRL, que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas del OCSP.

Certificados revocados en una CRL

Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si, por algún motivo, se produce un error en la actualización de la CRL, la entidad de certificación privada de Autoridad de certificación privada de AWS realizará más intentos cada 15 minutos.

Con Amazon CloudWatch, puedes crear alarmas para las métricas CRLGenerated yMisconfiguredCRLBucket. Para obtener más información, consulta CloudWatchMétricas compatibles. Para obtener más información sobre la creación y configuración de CRL, consulte Planificación de una lista de revocación de certificados (CRL).

En el siguiente ejemplo, se muestra un certificado revocado de una lista de revocación de certificados (CRL).

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

Certificados revocados en un informe de auditoría

Todos los certificados, incluidos los que se han revocado, se incluyen en el informe de auditoría de una CA privada. En el ejemplo siguiente, se muestra un informe de auditoría con un certificado emitido y un certificado revocado. Para obtener más información, consulte Uso de los informes de auditoría con su CA privada. 

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]