Share Your AWS re:Post Experience - Quick 3 Question Survey

Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.

Wie verwende ich die ACM-Konsole, um ein privates Zertifikat anzufordern, wenn die Gültigkeit der AWS Private CA weniger als 13 Monate beträgt?

Lesedauer: 3 Minute

Ich habe ein privates Zertifikat von AWS Certificate Manager (ACM) angefordert, aber die Fehlermeldung „Failed“ erhalten oder der Zertifikatsstatus lautet „Failed“.

Kurzbeschreibung

Sie können die ACM-Konsole verwenden, um Zertifikate mit einer Gültigkeitsdauer von genau 395 Tagen (13 Monaten) auszustellen und zu verwalten. Wenn Sie die ACM-Konsole verwenden, um ein Zertifikat mit einem Zeitraum anzufordern, der nicht genau 395 Tage beträgt, erhalten Sie die Fehlermeldung „Fehlgeschlagen“.

Zur Behebung dieses Fehlers verwenden Sie die IssueCertificate-API, ein Feature der AWS Private Certificate Authority, um ein privates Zertifikat mit einer kürzeren Gültigkeitsdauer anzufordern. Importieren Sie dann das Zertifikat in ACM, um es mit integrierten Services zu verwenden.

Hinweis: Zertifikate sind in der ACM-Konsole nicht sichtbar, wenn Sie die IssueCertificate-API verwendet haben, um ein Zertifikat anzufordern.

Lösung

Verwenden der IssueCertificate-API, um ein neues privates Zertifikat auszustellen, dessen Gültigkeitsdauer kürzer als die Gültigkeitsdauer der CA ist

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

Verwenden Sie den Befehl issue-certificate, um ein privates Zertifikat mit einem Ablaufdatum auszustellen, das vor dem Gültigkeitsende der Zertifizierungsstelle (CA) liegt:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

**Hinweis:**Sie müssen für das private Zertifikat Ihre eigene CSR und Ihren eigenen privaten Schlüssel generieren.

Holen Sie den privaten Zertifikatstext und die Zertifikatskette von AWS Private CA und importieren Sie sie in ACM

Verwenden Sie den Befehl get-certificate, um den Text und die Kette des privaten Zertifikats zu holen:

aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

Der Befehl get-certificate zeigt das base64-codierte Zertifikat im PEM-Format und die Zertifikatskette an:

-----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

Verwenden Sie die folgenden Befehle, um den Zertifikatstext und die Zertifikatskette als .pem-Dateien zu speichern:

Zertifikatskette:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

Zertifikatstext:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

Verwenden Sie den Befehl import-certificate, um das Zertifikat in ACM zu importieren:

**Hinweis:**Ersetzen Sie certfile.pem, privately.key und certchain.pem durch Ihre Dateinamen.

aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

Das importierte Zertifikat Amazon-Ressourcenname (ARN) wurde erfolgreich zurückgegeben.

Ähnliche Informationen

Wie behebe ich Fehler bei der Ausstellung eines neuen ACM-PCA-Zertifikats?

Warum kann ich kein öffentliches SSL/TLS-Zertifikat eines Drittanbieters in ACM importieren?

Ausstellung von privaten End-Entity-Zertifikaten

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Was ist die maximale Gültigkeitsdauer von AWS Private CA, die ich verwenden kann, wenn ich ein neues privates Zertifikat anfordere?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Fehler, wenn eine private Zertifizierungsstelle ein neues Zertifikat ausstellt?
AWS OFFICIALAktualisiert vor 2 Monaten
Wie widerrufe ich ein privates Zertifikat von AWS Private CA?
AWS OFFICIALAktualisiert vor 4 Monaten
Wie erstelle ich einen Client-VPN-Endpunkt und stelle eine Verbindung zu ihm her, indem ich private Zertifikate für die gegenseitige Authentifizierung mit AWS Certificate Manager verwende?
AWS OFFICIALAktualisiert vor 2 Jahren