¿Cómo puedo solicitar un certificado privado mediante la consola de ACM cuando el período de validez de ACM PCA es inferior a 13 meses?
He solicitado un certificado privado de AWS Certificate Manager (ACM), pero he recibido el mensaje «Error» o el estado del certificado es «Error». ¿Cómo puedo solucionar este problema?
Breve descripción
Los certificados privados solicitados con la consola de ACM tienen una validez de 13 meses. Las CA privadas de ACM no pueden emitir un certificado privado si su validez supera el período de validez de la CA. Si el período de validez de la CA es inferior a 13 meses, recibirá el mensaje «Error» cuando solicite un certificado privado con la consola de ACM.
Para solucionar este error, solicite un certificado privado con un período de validez más corto mediante la API IssueCertificate. A continuación, importe el certificado a ACM para usarlo con servicios integrados.
Solución
Uso de la API IssueCertificate para emitir un nuevo certificado privado con un período de validez inferior al de la CA
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.
Utilice el comando issue-certificate para emitir un certificado privado con una fecha de vencimiento anterior al fin del período de validez de las CA:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
Nota: Debe generar su propia CSR y su clave privada para el certificado privado.
Obtención de la cadena y el organismo del certificado privado de ACM PCA y posterior importación a ACM
1. Utilice el comando get-certificate para obtener la cadena y el organismo del certificado privado:
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output text
El comando get-certificate genera la cadena de certificados y el certificado en formato PEM codificado en base64:
-----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE----
2. Guarde la cadena y el organismo del certificado como archivos**.pem** con los siguientes comandos:
Cadena de certificados:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
Organismo de certificación:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
3. Para usar el certificado privado con servicios integrados, siga las instrucciones para importar un certificado mediante el comando import-certificate:
Nota: Sustituya certfile.pem, privately.key y certchain.pem por los nombres de sus archivo.
aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años