プライベート証明書の取り消し

AWS Private CA 証明書は、revoke-certificate コマンドまたは API アクションを使用して取り消すことができます。 AWS CLI RevokeCertificateたとえば、シークレットキーが漏洩したり、関連するドメインが無効になったりした場合、予定されている有効期限が切れる前に証明書を取り消す必要がある場合があります。失効を有効にするには、証明書を使用するクライアントが、安全なネットワーク接続を構築しようとするたびに失効状態を確認する方法が必要です。

AWS Private CA には、失効ステータスの確認をサポートする 2 つの完全管理メカニズムが用意されています。オンライン証明書ステータスプロトコル (OCSP) と証明書失効リスト (CRLs) です OCSP では、クライアントは権限のある失効データベースをクエリして、リアルタイムでステータスを返します。CRL を使用すると、クライアントは証明書を、定期的にダウンロードおよび保存される失効した証明書のリストと照合します。クライアントは、失効した証明書の受け入れを拒否します。

OCSP と CRL はどちらも、証明書に埋め込まれた検証情報に依存します。このため、発行前に、発行元の CA がこれらのメカニズムのいずれかまたは両方をサポートするように設定する必要があります。AWS Private CA を通してのマネージド型失効の選択と実装については、「証明書失効方法の設定」を参照してください。

取り消された証明書は常に AWS Private CA 監査レポートに記録されます。

注記

クロスアカウント証明書の発行者には、発行する証明書を取り消すための追加の権限が必要です。それ以外の場合は、CA 所有者が失効を行う必要があります。クロスアカウント発行者による失効を有効にするには、CA 管理者は同じ CA を指す 2 つの RAM 共有を作成する必要があります。

1. AWSRAMRevokeCertificateCertificateAuthority 権限による共有。

2. AWSRAMDefaultPermissionCertificateAuthority 権限による共有。

証明書を取り消すには

RevokeCertificate API アクションまたは revoke-certificate コマンドを使用して、プライベート PKI 証明書を取り消します。シリアル番号は 16 進形式である必要があります。get-certificate コマンドを呼び出して、シリアル番号を取得できます。revoke-certificate コマンドはレスポンスを返しません。

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE" 

失効した証明書と OCSP

証明書を取り消すと、OCSP レスポンスに新しいステータスが反映されるまでに最大 60 分かかることがあります。一般に、OCSP は失効情報の配信が速い傾向があります。これは、クライアントが数日間キャッシュすることがある CRL とは異なり、OCSP レスポンスは通常クライアントによってキャッシュされないためです。

CRL で取り消された証明書

CRL は通常、証明書が取り消された約 30 分後に更新されます。何らかの理由で CRL の更新に失敗した場合、AWS Private CA は 15 分ごとに試行を行います。

Amazon では CloudWatch、メトリクス CRLGeneratedおよび のアラームを作成できますMisconfiguredCRLBucket。詳細については、「サポートされているメトリクス CloudWatch」を参照してください。CRL の作成と設定の詳細については、「証明書失効リスト (CRL) の計画」を参照してください。

以下の例には、証明書失効リスト (CRL) の取り消された証明書を示しています。

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

監査レポートの取り消された証明書

取り消した証明書を含むすべての証明書には、プライベート CA の監査レポートが含まれます。次の例では、1 つの発行証明書および 1 つの取り消した証明書の監査レポートを示しています。詳細については、「プライベート CA での監査レポートの使用」を参照してください。

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]