Revogar um certificado privado - AWS Private Certificate Authority
Certificados revogados e o OCSPCertificados revogados em uma CRL Certificados revogados em um relatório de auditoria

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Revogar um certificado privado

Você pode revogar um CA privada da AWS certificado usando o AWS CLI comando revoke-certificate ou a ação da API. RevokeCertificate Um certificado talvez precise ser revogado antes de sua expiração programada se, por exemplo, sua chave secreta for comprometida ou o domínio associado se tornar inválido. Para que a revogação seja efetiva, o cliente que usa esse certificado precisa de uma maneira de verificar o status da revogação sempre que tentar criar uma conexão de rede segura.

O CA privada da AWS fornece dois mecanismos totalmente gerenciados para oferecer suporte à verificação do status de revogação: o Online Certificate Status Protocol (OCSP) e listas de revogação de certificados (CRLs). Com o OCSP, o cliente consulta um banco de dados de revogação autoritativo que retorna um status em tempo real. Com uma CRL, o cliente compara o certificado com uma lista de certificados revogados que ele baixa e armazena periodicamente. Clientes se recusam a aceitar certificados que foram revogados.

Tanto o OCSP quanto as CRLs dependem de informações de validação incorporadas em certificados. Por isso, uma CA emissora deve ser configurada para oferecer suporte a um ou a ambos os mecanismos antes da emissão. Para obter informações sobre como selecionar e implementar a revogação gerenciada por meio do CA privada da AWS, consulte Configurar um método de revogação de certificado.

Certificados revogados são sempre registrados em relatórios de auditoria do CA privada da AWS.

nota

Emissores de certificados entre contas precisam de permissões adicionais para revogar os certificados emitidos; caso contrário, o proprietário da CA deverá fazer a revogação. Para permitir a revogação por emissores de várias contas, o administrador da CA deve criar dois compartilhamentos de RAM, ambos apontando para a mesma CA:

  1. Um compartilhamento com a permissão AWSRAMRevokeCertificateCertificateAuthority.

  2. Um compartilhamento com a permissão AWSRAMDefaultPermissionCertificateAuthority.

Para revogar um certificado

Use a ação da RevokeCertificateAPI ou o comando revoke-certificate para revogar um certificado PKI privado. O número de série deve estar no formato hexadecimal. É possível recuperar o número de série chamando o comando get-certificate. O comando revoke-certificate não retorna uma resposta. 

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

Certificados revogados e o OCSP

As respostas do OCSP podem levar até 60 minutos para refletir o novo status quando um certificado é revogado. Em geral, o OCSP tende a oferecer suporte à distribuição mais rápida de informações de revogação pois, ao contrário das CRLs, que podem ser armazenadas em cache pelos clientes por vários dias, as respostas do OCSP normalmente não são armazenadas em cache pelos clientes.

Certificados revogados em uma CRL

Uma CRL normalmente é atualizada aproximadamente 30 minutos depois que um certificado é revogado. Se, por algum motivo, uma atualização da CRL falhar, o CA privada da AWS realizará novas tentativas a cada 15 minutos.

Com a Amazon CloudWatch, você pode criar alarmes para as métricas CRLGenerated e. MisconfiguredCRLBucket Para obter mais informações, consulte CloudWatchMétricas suportadas. Para obter mais informações sobre a criação e a configuração de CRLs, consulte Planejar uma lista de revogação de certificados (CRL).

O exemplo a seguir mostra um certificado revogado em uma lista de revogação de certificados (CRL).

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

Certificados revogados em um relatório de auditoria

Todos os certificados, incluindo certificados revogados, são incluídos no relatório de auditoria de uma CA privada. O exemplo a seguir mostra um relatório de auditoria com um certificado revogado e um emitido. Para ter mais informações, consulte Usar relatórios de auditoria com sua CA privada. 

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]