Comment puis-je être averti lorsque mon certificat ACM est sur le point d'être renouvelé ?

Brève description

Pour configurer les notifications de renouvellement de certificats ACM, vérifiez d'abord l'éligibilité du certificat au renouvellement automatique. Puis, effectuez l'une ou plusieurs des actions suivantes :

• Estimer la date de renouvellement de votre certificat
• Configurer la notification préalable avant le renouvellement
• Configurer les notifications en cas d'échec de renouvellement

Résolution

Vérifier l'éligibilité de votre certificat au renouvellement automatique

Procédez comme suit :

1. Ouvrez la console ACM dans la région AWS de votre certificat.
2. Sélectionnez Répertorier les certificats.
3. Sélectionnez l'ID de votre certificat, puis ouvrez la page Détails du certificat.
4. Pour Statut du certificat, vérifiez que le Type est Émis par Amazon ou Privé.
   Remarque : Si le Type est Importé, le certificat n'est pas éligible au renouvellement géré ACM. Pour configurer des notifications pour ce type de certificat, consultez la section Comment puis-je être averti lorsque mes certificats ACM importés sont sur le point d'expirer ?
5. Pour Détails, vérifiez si Éligibilité au renouvellement est Éligible ou Inéligible.

Pour plus d'informations sur les certificats qui ne sont pas éligibles au renouvellement géré, consultez la section Renouvellement géré pour les certificats ACM. Vérifiez si le certificat qui n'est pas éligible au renouvellement géré est associé à une ressource de service AWS qui s'intègre à ACM. Pour les certificats privés délivrés par ACM, associez le certificat à une ressource qui s'intègre à ACM ou exportez-le avec l'API ExportCertificate. Pour les certificats publics délivrés par ACM, associez le certificat à une ressource qui s'intègre à ACM.

Estimer la date de renouvellement de votre certificat

Procédez comme suit :

1. Sur la page Détails de votre certificat, notez la valeur de Pas après qui correspond à la date d'expiration de votre certificat.
2. Pour Domaines, vérifiez la méthode de validation du certificat :
   Si Domaines est Propriétaires enregistrés, il s'agit d'un certificat validé par e-mail. ACM envoie une notification par e-mail dans les 45 jours précédant la date d'expiration qui inclut les mesures que vous devez prendre pour renouveler votre certificat. Si aucune action n’est effectuée, le certificat expire et ne peut plus être renouvelé.
   Si Domaines est Nom CNAME et Valeur CNAME, il s'agit d'un certificat validé par DNS qui se renouvelle automatiquement dans les 60 jours précédant son expiration.
   Si Domaines ne correspond à aucune des valeurs précédentes, vérifiez l'autorité de certification (CA). S'il possède un Amazon Resource Name (ARN), il s'agit d'un certificat privé délivré par l'autorité de certification privée AWS qui se renouvelle automatiquement dans les 60 jours précédant son expiration. Les certificats privés ne nécessitent aucune validation de domaine. À la place, ACM nécessite des autorisations AWS Private CA pour gérer le renouvellement. Pour plus d'informations, consultez la section Attribuer des autorisations de renouvellement de certificat à ACM.
3. Pour les certificats validés par e-mail, calculez la date 45 jours avant l'expiration de votre certificat. Pour les certificats privés et validés par le DNS, calculez la date 60 jours avant l'expiration de votre certificat.

Configurer la notification préalable avant le renouvellement

Pour recevoir des notifications de renouvellement avant les 45 ou 60 jours automatisés, exécutez acm-certificate-expiration-check ou utilisez les métriques DaysToExpiry et une alarme Amazon CloudWatch.

Remarque : La règle acm-certificate-expiration-check vérifie tous les certificats de la région dans laquelle vous créez la règle. Elle utilise la valeur commune de daysToExpiration. Pour surveiller et recevoir des notifications pour un certificat spécifique, utilisez plutôt DaysToExpiry et une alarme CloudWatch.

Exécuter acm-certificate-expiration-check

Procédez comme suit :

1. Ouvrez la console AWS CloudFormation.
2. Sélectionnez Créer une pile.
3. Sélectionnez Choisir un modèle existant.
4. Pour URL Amazon S3, saisissez http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/ACM_CERTIFICATE_EXPIRATION_CHECK.template.
5. Sélectionnez Suivant.
6. Saisissez un Nom de pile, puis pour ** DaysToExpiration**, saisissez le nombre de jours pendant lesquels vous souhaitez être averti avant l'expiration.
7. Sélectionnez Suivant.
8. Confirmez les paramètres de configuration, puis sélectionnez Suivant.
9. Sélectionnez Soumettre.
10. Vérifiez que le Statut de la pile est CREATE_COMPLETE.
11. Ouvrez la console Amazon EventBridge.
12. Sélectionnez Créer une règle.
13. Pour Nom, saisissez un nom de règle.
14. Pour Description, saisissez une description de règle.
15. Sélectionnez Suivant.
16. Pour Modèle d'événement, configurez les paramètres suivants :
    Pour Source de l'événement, sélectionnez AWS.
    Pour Service AWS, sélectionnez Configuration.
    Pour Type d'événement, sélectionnez Changement de conformité des règles de configuration.
    Pour Spécification du type d'événement 1, saisissez ComplianceChangeNotification.
    Pour Spécification du type d'événement 2, saisissez le nom de la règle.
    Remarque : Le nom de la règle de configuration par défaut du modèle CloudFormation est acm-certificate-expiration-check.
17. Sélectionnez Suivant.
18. Pour Sélectionner la ou les cibles, sélectionnez votre cible préférée pour la notification, par exemple : Rubrique SNS dans Service AWS.
19. Sélectionnez Suivant.
20. Validez les paramètres de configuration, puis sélectionnez Créer une règle.

Exemple de règle EventBridge :

{  
  "source": ["aws.config"],  
  "detail-type": ["Config Rules Compliance Change"],  
  "detail": {  
    "messageType": ["ComplianceChangeNotification"],  
    "configRuleName": ["acm-certificate-expiration-check"]  
  }  
}

Utiliser DaysToExpiry et une alarme CloudWatch

Procédez comme suit :

1. Ouvrez la console CloudWatch.
2. Pour Alarmes, sélectionnez Toutes les alarmes.
3. Choisissez Sélectionner une métrique.
4. Dans la zone de recherche, saisissez DaysToExpiry et l'ARN de votre certificat.
5. Dans le résultat de la recherche, sélectionnez CertificateManager > Métriques de certificat.
6. Sélectionnez DaysToExpiry pour votre certificat.
7. Choisissez Sélectionner une métrique.
8. Dans Indiquer la métrique et les conditions, pour Statistiques, sélectionnez Maximum.
9. Pour Conditions, sélectionnez Inférieur ou égal à.
10. Pour À, saisissez le nombre de jours pendant lesquels vous souhaitez être averti avant l'expiration.
11. Sélectionnez Suivant.
12. Pour Configurer des actions, sélectionnez les options correspondant à votre cas d'utilisation.
13. Sélectionnez Suivant.
14. Pour Ajouter un nom et une description, saisissez un nom pour votre alarme, puis sélectionnez Suivant.
15. Confirmez les paramètres de configuration, puis sélectionnez Créer une alarme.

Configurer les notifications en cas d'échec de renouvellement

Utilisez une règle EventBridge pour envoyer une notification lorsqu'ACM invoque un événement ACM Certificate Approaching Expiration.

Procédez comme suit :

1. Ouvrez la console EventBridge.

2. Sélectionnez Créer une règle.

3. Pour Nom, saisissez un nom de règle.

4. Pour Description, saisissez une description de règle.

5. Sélectionnez Suivant.

6. Sous Modèle d'événement, sélectionnez Modifier le modèle.

7. Saisissez le modèle d'événement suivant :

   {
     "source": ["aws.acm"],
     "resources": ["arn:aws:acm:region:account:certificate/CERTIFICATE_ID"],
     "detail-type": ["ACM Certificate Approaching Expiration"]
   }

   Remarque : Remplacez region par votre région, account par votre compte AWS et CERTIFICATE_ID par l'ID de votre certificat.

8. Sélectionnez Suivant.

9. Pour Sélectionner la ou les cibles, choisissez votre cible préférée pour la notification, par exemple : Rubrique SNS dans Service AWS.

10. Sélectionnez Suivant.

11. Confirmez les paramètres de configuration, puis sélectionnez Créer une règle.

Informations connexes

Gestion des échecs lors du renouvellement de certificats gérés

Surveillance et journalisation d'AWS Certificate Manager

Démarrer avec Amazon Simple Notification Service (Amazon SNS)

Prise en charge d'Amazon EventBridge pour ACM