Wie behebe ich Fehler, wenn eine private Zertifizierungsstelle ein neues Zertifikat ausstellt?

Kurzbeschreibung

Überprüfe die folgenden Variablen, um fehlgeschlagene private CA-Zertifikatsanforderungen zu beheben:

• Den pathLenConstraint-Parameter der privaten CA
• Den Status der privaten CA
• Die Signaturalgorithmus-Familie der privaten CA
• Die Gültigkeitsdauer des angeforderten Zertifikats
• Die fehlenden AWS Identity and Access Management (IAM)-Berechtigungen
• Das AWS-Konto
• Die AWS Private CA-Ausnahmefehlermeldungen

Lösung

Den pathLenConstraint-Parameter der privaten CA

Wenn die Pfadlänge der untergeordneten CA größer oder gleich der Pfadlänge der ausstellenden privaten CA ist, wird die folgende Fehlermeldung angezeigt:

"Path length check failed for CA" („Die Pfadlängenprüfung für die CA ist fehlgeschlagen“)

Um dieses Problem zu beheben, erstelle einen pathLenConstraint für die untergeordnete CA, der kleiner als die Pfadlänge der privaten CA ist. Weitere Informationen findest du unter Struktur einer CA-Hierarchie planen.

Den Status der privaten CA

Wenn du die IssueCertificate-API verwendet hast, um ein neues privates CA-Zertifikat mit einer abgelaufenen oder gelöschten privaten CA auszustellen, erhältst du die folgende Fehlermeldung:

"An error occurred (InvalidStateException) when calling the IssueCertificate operation: The certificate authority is not in a valid state for issuing certificates" („Beim Aufruf des Vorgangs IssueCertificate ist ein Fehler aufgetreten (InvalidStateException): Die Zertifizierungsstelle befindet sich nicht in einem gültigen Status für die Ausstellung von Zertifikaten“)

Wenn die signierende CA gelöscht wird, kannst du die private CA trotzdem innerhalb des 7–30-tägigen Wiederherstellungszeitraums wiederherstellen. Wenn der Wiederherstellungszeitraum abgelaufen ist, wird die private CA dauerhaft gelöscht und du kannst sie nicht wiederherstellen.

Wenn die signierende CA abgelaufen ist, stelle die CA erneut mit einem neuen Ablaufdatum aus oder ersetze die abgelaufene CA. Es ist ein bewährtes Verfahren, eine abgelaufene CA durch eine neue CA zu ersetzen. Um die abgelaufene CA zu ersetzen, erstelle eine neue CA und verkette sie dann mit derselben übergeordneten CA. Weitere Informationen findest du unter CA-Folge verwalten.

Die Signaturalgorithmus-Familie der privaten CA

Die Signaturalgorithmusfamilie für RSA oder ECDSA muss mit der Algorithmusfamilie des privaten Schlüssels der CA übereinstimmen. Weitere Informationen findest du unter Unterstützte kryptografische Algorithmen in AWS Private CA.

Die Gültigkeitsdauer des angeforderten Zertifikats

Private Endentitätszertifikate, die AWS Certificate Manager (ACM) ausstellt und verwaltet, sind 13 Monate (395 Tage) gültig. Wenn die Gültigkeitsdauer der übergeordneten CA weniger als 13 Monate beträgt, schlagen private Endentitätszertifikatsanforderungen, die von der ACM-Konsole ausgestellt werden, fehl. Du erhältst die folgende Fehlermeldung:

"The signing certificate for the CA you specified in the request has expired." („Das Signaturzertifikat für die CA, die du in der Anfrage angegeben hast, ist abgelaufen.“)

Hinweis: ACM kann keine von einer privaten CA signierten Zertifikate im kurzlebigen Modus ausstellen.

Wenn die Gültigkeitsdauer des Signaturzertifikats weniger als 13 Monate beträgt, verwende die IssueCertificate-API, um einen benutzerdefinierten Gültigkeitszeitraum anzugeben.

Wenn AWS Private CA versucht, ein Zertifikat mit einer Gültigkeitsdauer auszustellen, die länger ist als die der übergeordneten CA, erhältst du die folgende Fehlermeldung:

"An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity" („Beim Aufruf des Vorgangs IssueCertificate ist ein Fehler aufgetreten (ValidationException): Die angegebene Zertifikatsgültigkeit überschreitet die Gültigkeit der Zertifizierungsstelle“)

Um dieses Problem zu beheben, solltest du die Gültigkeitsdauer des Endentitätszertifikats oder des Zertifikats der untergeordneten Zertifizierungsstelle kürzer oder gleich der Gültigkeitsdauer der übergeordneten Zertifizierungsstelle festlegen.

Weitere Informationen findest du unter Eine private CA in AWS Private CA aktualisieren.

IAM-Berechtigungen

Um IssueCertificate- und RequestCertificate-API-Aufrufe durchzuführen, gewähre deiner IAM-Identität, die private CA-Zertifikate anfordert, die erforderlichen Berechtigungen. Andernfalls schlägt die Anfrage mit einem AccessDenied-Fehler fehl. Es ist eine bewährte Methode, Berechtigungen mit geringsten Rechten anzuwenden. Weitere Informationen findest du unter IAM für AWS Private CA.

AWS-Konto

Wenn AWS Private CA versucht, ein CA-Zertifikat von einem anderen Konto auszustellen, erhältst du eine Fehlermeldung ähnlich der folgenden:

"An error occurred (AccessDeniedException) when calling IssueCertificate because no resource-based policy allows the acm-pca:IssueCertificate action" („Beim Aufruf von IssueCertificate ist ein Fehler aufgetreten (AccessDeniedException), da keine ressourcenbasierte Richtlinie die Aktion acm-pca:IssueCertificate zulässt“)

Um dieses Problem zu beheben, füge dem CA-Zertifikat eine ressourcenbasierte Richtlinie hinzu. Du kannst AWS Resource Access Manager (AWS RAM) auch verwenden, um eine ACM Private CA mit einem anderen Konto zu teilen. Weitere Informationen findest du unter Wie teile ich meine ACM Private CA mit einem anderen AWS-Konto?

AWS Private CA-Ausnahmefehlermeldungen

AWS Private CA kann aus verschiedenen Gründen Ausnahmefehler zurückgeben. Informationen zur Behebung von Ausnahmemeldungen bei AWS Private CA findest du unter Problembehandlung bei Ausnahmemeldungen von AWS Private CA.

Ähnliche Informationen

Wie erstelle ich eine CRL für meine AWS Private CA?

Wie installiere ich Stamm- und untergeordnete CAs von AWS Private CA in verschiedenen Konten oder AWS-Regionen?