¿Cómo puedo utilizar la consola de ACM para solicitar un certificado privado cuando la validez de AWS Private CA es inferior a 13 meses?

3 minutos de lectura
0

He solicitado un certificado privado de AWS Certificate Manager (ACM), pero he recibido el error "Failed" (Error) o el estado del certificado es «Failed» (Error).

Descripción breve

Puede usar la consola de ACM para emitir y administrar certificados con un periodo de validez de exactamente 395 días (13 meses). Si utiliza la consola de ACM para solicitar un certificado con un periodo que no sea exactamente de 395 días, recibirá el error "Failed" (Error).

Para resolver este error, utilice la API IssueCertificate, una característica de AWS Private Certificate Authority, para solicitar un certificado privado con un periodo de validez más corto. A continuación, importe el certificado a ACM para usarlo con servicios integrados.

Nota: Los certificados no están visibles en la consola de ACM si se ha usado la API IssueCertificate para solicitar un certificado.

Resolución

Uso de la API IssueCertificate para emitir un nuevo certificado privado con un período de validez inferior al de la CA

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Troubleshoot AWS CLI errors. Además, asegúrese de utilizar la versión más reciente de AWS CLI.

Utilice el comando issue-certificate para emitir un certificado privado con una fecha de vencimiento anterior al fin del periodo de validez de las CA:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Nota: Debe generar su propia CSR y su clave privada para el certificado privado.

Obtención de la cadena y el cuerpo del certificado privado de AWS Private CA e importación a ACM

  1. Utilice el comando get-certificate para obtener la cadena y el cuerpo del certificado privado:

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012/\
    certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

    El comando get-certificate muestra la cadena del certificado y el certificado en formato PEM codificado en base64:

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
  2. Use los siguientes comandos para guardar el cuerpo y la cadena del certificado como archivos .pem:

    Cadena del certificado:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    Cuerpo del certificado:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
  3. Utilice el comando import-certificate para importar el certificado a ACM:

    Nota: Sustituya certfile.pem, privately.key y certchain.pem por los nombres de sus archivos.

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

El nombre de recurso de Amazon (ARN) del certificado importado se devuelve correctamente.

Información relacionada

¿Cómo soluciono los errores al emitir un nuevo certificado ACM-PCA?

¿Por qué no puedo importar un certificado SSL/TLS público de terceros a AWS Certificate Manager (ACM)?

Issuing private end-entity certificates