Kann ich ACM verwenden, um private Zertifikate auszustellen, wenn die Gültigkeit der AWS Private CA weniger als 13 Monate beträgt?

Kurzbeschreibung

Private Zertifikate, die Sie in der ACM-Konsole anfordern, sind 13 Monate gültig. ACM kann keine privaten Zertifikate ausstellen, wenn die Gültigkeitsdauer der AWS Private Certificate Authority weniger als 13 Monate beträgt. Wenn Sie die ACM-Konsole verwendet haben, um ein privates Zertifikat anzufordern und die Gültigkeitsdauer der CA weniger als 13 Monate beträgt, schlägt die Anforderung fehl.

Um diesen Fehler zu beheben, verwenden Sie die API IssueCertificate, um ein privates Zertifikat mit einer kürzeren Gültigkeitsdauer anzufordern. Importieren Sie dann das Zertifikat in ACM, damit Sie das Zertifikat mit integrierten Diensten verwenden können.

Behebung

Verwenden Sie die API IssueCertificate, um ein neues privates Zertifikat mit einer kürzeren Gültigkeitsdauer auszustellen

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, findest du weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

Verwenden Sie den Befehl issue-certificate, um ein privates Zertifikat auszustellen, dessen Ablaufdatum früher erreicht wird als die Gültigkeit der CA abläuft:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Hinweis: Sie müssen Ihre eigene Zertifikatsignieranforderung (CSR) und Ihren privaten Schlüssel für das private Zertifikat generieren.

Holen Sie sich den privaten Zertifikatskörper und die Kette von der AWS Private CA und importieren Sie sie dann in ACM

1. Führen Sie den Befehl get-certificate aus, um den Text und die Kette des privaten Zertifikats abzurufen:

   aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012/\
   certificate/6707447683a9b7f4055627ffd55cebcc \
   --output text

   Beispielausgabe mit dem base64-kodierten Zertifikat im PEM-Format und der Zertifikatskette:

   -----BEGIN CERTIFICATE-----...base64-encoded certificate...
   -----END CERTIFICATE----
   -----BEGIN CERTIFICATE-----
   ...base64-encoded certificate...
   -----END CERTIFICATE----
   -----BEGIN CERTIFICATE-----
   ...base64-encoded certificate...
   -----END CERTIFICATE----

2. Führen Sie die folgenden Befehle aus, um den Zertifikatstext und die Zertifikatskette als .pem-Dateien zu speichern:

   Zertifikatskette:

   aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

   Zertifikatstext:

   aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
   

3. Um das private Zertifikat mit integrierten Services zu verwenden, führen Sie den AWS CLI-Befehl import-certificate aus, um das Zertifikat zu importieren:
   Hinweis: Ersetzen Sie certfile.pem, privately.key, und certchain.pem durch Ihre Dateinamen.

   aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem