Pourquoi ne puis-je pas voir ma CA partagée lorsque j'installe un certificat de CA subordonnée dans la console AWS Private CA ?

Lecture de 5 minute(s)
0

Je n'arrive pas à consulter l'autorité de certification privée AWS partagée dans la console AWS Private CA. Ou, lorsque j'installe une autorité de certification (CA) subordonnée, le message d'erreur suivant s'affiche : « Aucune CA privée appropriée n'a pu être trouvée ».

Résolution

Pour trouver une autorité de certification privée AWS partagée dans la console AWS Private CA, signez la demande de signature de certificat (CSR) pour votre CA privée AWS. Puis, importez le certificat CA signé dans AWS Private CA.

Cette résolution utilise les configurations suivantes :

  • Le compte AWS A possède une CA privée (PCA-A).
  • Le compte AWS B possède une autre CA privée (PCA-B).
  • PCA-A est la CA parente de PCA-B.
  • Le compte A utilise AWS Resource Access Manager (AWS RAM) pour partager PCA-A avec le compte B.
  • Le compte B configure PCA-B.

Obtenir une CSR auprès d'AWS Private CA

Pour obtenir une CSR auprès d'AWS Private CA, utilisez l'interface de ligne de commande AWS (AWS CLI) ou la console AWS Private CA.

AWS CLI

**Remarque :**Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez l’article Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Exécutez la commande get-certificate-authority-csr :

$ aws acm-pca get-certificate-authority-csr \
--certificate-authority ${ARN_PCA_B} \
--output text \
--no-cli-pager

Remarque : Remplacez ${ARN_PCA_B} par l'ARN de votre certificat.

Console AWS Private CA

Procédez comme suit :

  1. Ouvrez la console AWS Private CA.
  2. Sélectionnez votre CA subordonnée.
  3. Sélectionnez Actions, puis Installer le certificat CA.
  4. Pour obtenir la CSR, sélectionnez CA privée externe. La CSR est le texte compris entre BEGIN CERTIFICATE REQUEST et END CERTIFICATE REQUEST.
  5. Enregistrez la CSR au format de fichier texte (csr.txt).

Signer la CSR avec la CA parente pour créer un certificat CA

Utilisez votre CA parente pour signer la CSR de la CA privée. Vous devez spécifier un modèle. Si vous ne spécifiez pas de modèle, vous obtenez un certificat EE (CA:FALSE) que la CA ne peut pas utiliser. Pour plus d'informations, consultez la section Comprendre les modèles de certificat.

Pour signer un certificat qui est CA:TRUE, spécifiez un modèle pour la CA subordonnée, puis exécutez la commande suivante :

$ ARN_CA_TEMPLATE=arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1

$ aws acm-pca issue-certificate \
--certificate-authority-arn ${ARN_PCA_A} \
--csr fileb://csr.txt \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=1825,Type="DAYS" \
--template-arn ${ARN_CA_TEMPLATE}

Dans la commande précédente, remplacez les valeurs suivantes par les vôtres :

  • arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 par votre modèle de CA.
  • ${ARN_PCA_A} par l’ARN de la CA parente.
  • csr.txt par votre fichier texte CSR.
    Remarque : Si vous utilisez la version 1.6.2 ou antérieure de l'AWS CLI, utilisez le préfixe file:// lorsque vous saisissez le fichier d'entrée.
  • SHA256WITHRSA par votre algorithme de signature.
  • 1825 par le nombre de jours pendant lesquels vous souhaitez que le certificat soit valide.
  • ${ARN_CA_TEMPLATE} par l’ARN de votre modèle.

Remarque : Pour signer la CSR avec le compte B, vous pourriez avoir besoin d’autorisations supplémentaires. Utiliser les autorisations gérées par AWS RAM pour le compte A afin d'ajouter AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.

Après avoir signé la CSR, vous recevez la réponse suivante :

{
    "CertificateArn": "${ARN_PCA_A}/certificate/${SERIAL_of_Cert}"
}

Notez l'ARN du certificat CA signé à utiliser à l'étape suivante.

Obtenir le certificat CA

Exécutez la commande suivante :

$ aws acm-pca get-certificate \
--certificate-authority-arn ${ARN_PCA_A} \
--certificate-arn ${ARN_PCA_A}/certificate/${SERIAL_of_Cert} \
--output text \
--no-cli-pager

Remarque : Remplacez $(ARN_PCA_A} par l'ARN de votre CA parente et ${ARN_PCA_A}/certificate/${SERIAL-of-Cert} par l'ARN du certificat CA signé.

Vous recevez le corps du certificat et la chaîne de certificats suivants :

-----BEGIN CERTIFICATE-----
MIIDMDCCAhigAwIBAgIRAOn36lnqs4DTjbdZK3GoRLwwDQYJKoZIhvcNAQELBQAw
IDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1LTExMB4XDTI0MDUxMTA1MjMz
N1oXDTI0MDUxNzA2MjMzN1owHzEdMBsGA1UEAwwUbXktU1VCLUNBLTIwMjQtMDUt
(SNIP)
q02OPtAOrFyWSdrc+5LMZaZzeo6xe0Mw2mJHU8FKl66V2CE+MBbUdwqWN1kOWdTs
U+FhS5IV4KeST0X+lfYh3SkR+0dZBU5arV13w5MATgEYc1D9GajC25MT7Zy4t/NP
zddAJA==
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
MIIDDTCCAfWgAwIBAgIRAMQmowipJbQz3jok7kFkPSswDQYJKoZIhvcNAQELBQAw
IDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1LTExMB4XDTI0MDUxMTA1MTkx
OVoXDTI0MDUxODA2MTkxOVowIDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1
(SNIP)
2wZ6JqUvN/FyWVKTfyNay/KbQkYQZrclrb7N+zmOJ4LTQnI2firIDYqcqmduYuX9
U8F3MFXrVJFECyn5t+4Qxc/BWJPVAoHnEns+jL5tOJfRKblKHs9VAe02gUcr5/p3
qSy6CwOSAA6fkmZCkVjVvYo=
-----END CERTIFICATE-----

Le corps du certificat se situe entre la première ligne BEGIN CERTIFICATE et la première ligne END CERTIFICATE. La chaîne de certificats est comprise entre la deuxième ligne BEGIN CERTIFICATE et la deuxième ligne END CERTIFICATE. Enregistrez le corps du certificat dans un fichier texte nommé cert.txt. Enregistrez la chaîne de certificats dans un fichier texte nommé cert_chain.txt.

Importer et installer le certificat CA signé et le chaîner dans la CA

Pour installer le certificat signé, vous pouvez utiliser l'AWS CLI ou la console AWS Private CA.

AWS CLI

Exécuter la commande suivante et attacher le corps du certificat et la chaîne de certificats :

$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn ${ARN_PCA_B} \
--certificate fileb://cert.txt \
--certificate-chain fileb://cert_chain.txt

Remarque : Remplacez ${ARN_PCA_B} par l'ARN de votre CA privée.

Console AWS Private CA

Procédez comme suit :

  1. Ouvrez la console AWS Private CA.
  2. Sélectionnez votre CA subordonnée.
  3. Sélectionnez Actions, puis Installer le certificat CA.
  4. Choisissez CA privée externe.
  5. Sous Importer une autorité de certification (CA) signée, saisissez les valeurs du corps du certificat et de la chaîne de certificats.

Le statut de la CA subordonnée est maintenant Actif.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 5 mois