Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencabut sertifikat privat
Anda dapat mencabut AWS Private CA sertifikat menggunakan AWS CLI perintah revoke-certificate atau tindakan API. RevokeCertificate Sertifikat mungkin perlu dicabut sebelum kedaluwarsa yang dijadwalkan jika, misalnya, kunci rahasianya dikompromikan atau domain terkaitnya menjadi tidak valid. Agar pencabutan efektif, klien yang menggunakan sertifikat memerlukan cara untuk memeriksa status pencabutan setiap kali mencoba membangun koneksi jaringan yang aman.
AWS Private CAmenyediakan dua mekanisme yang dikelola sepenuhnya untuk mendukung pemeriksaan status pencabutan: Protokol Status Sertifikat Online (OCSP) dan daftar pencabutan sertifikat (CRL). Dengan OCSP, klien menanyakan database pencabutan otoritatif yang mengembalikan status secara real-time. Dengan CRL, klien memeriksa sertifikat terhadap daftar sertifikat yang dicabut yang diunduh dan disimpan secara berkala. Klien menolak untuk menerima sertifikat yang telah dicabut.
Baik OCSP dan CRL bergantung pada informasi validasi yang tertanam dalam sertifikat. Untuk alasan ini, CA penerbitan harus dikonfigurasi untuk mendukung salah satu atau kedua mekanisme ini sebelum penerbitan. Untuk informasi tentang memilih dan menerapkan pencabutan terkelola melaluiAWS Private CA, lihat. Menyiapkan metode pencabutan sertifikat
Sertifikat yang dicabut selalu dicatat dalam laporan AWS Private CA audit.
catatan
Penerbit sertifikat lintas akun memerlukan izin tambahan untuk mencabut sertifikat yang mereka terbitkan; jika tidak, pemilik CA harus melakukan pencabutan. Untuk mengaktifkan pencabutan oleh penerbit lintas akun, administrator CA harus membuat dua saham RAM, keduanya menunjuk pada CA yang sama:
-
Berbagi dengan
AWSRAMRevokeCertificateCertificateAuthorityizin. -
Berbagi dengan
AWSRAMDefaultPermissionCertificateAuthorityizin.
Untuk mencabut sertifikat
Gunakan tindakan RevokeCertificateAPI atau perintah pencabutan sertifikat untuk mencabut sertifikat PKI pribadi. Nomor seri harus dalam format heksadesimal. Anda dapat mengambil nomor seri dengan memanggil perintah get-certificate. Perintah revoke-certificate tidak mengembalikan respons.
$aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --certificate-serialserial_number\ --revocation-reason "KEY_COMPROMISE"
Sertifikat dan OCSP yang dicabut
Tanggapan OCSP dapat memakan waktu hingga 60 menit untuk mencerminkan status baru saat Anda mencabut sertifikat. Secara umum, OCSP cenderung mendukung distribusi informasi pencabutan yang lebih cepat karena, tidak seperti CRL yang dapat di-cache oleh klien selama berhari-hari, respons OCSP biasanya tidak di-cache oleh klien.
Sertifikat yang dicabut di CRL
CRL biasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun pembaruan CRL gagal, lakukan AWS Private CA upaya lebih lanjut setiap 15 menit.
Dengan Amazon CloudWatch, Anda dapat membuat alarm untuk metrik CRLGenerated dan. MisconfiguredCRLBucket Untuk informasi selengkapnya, lihat CloudWatchMetrik yang Didukung. Untuk informasi selengkapnya tentang membuat dan mengonfigurasi CRL, lihat Merencanakan daftar pencabutan sertifikat (CRL).
Contoh berikut menunjukkan sertifikat yang dicabut dalam daftar pencabutan sertifikat (CRL).
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76Sertifikat yang dicabut dalam laporan audit
Semua sertifikat, termasuk sertifikat yang dicabut, disertakan dalam laporan audit untuk CA privat. Contoh berikut menunjukkan laporan audit dengan satu diterbitkan dan satu sertifikat dicabut. Untuk informasi selengkapnya, lihat Menggunakan laporan audit dengan CA privat Anda.
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]