Comment puis-je importer un certificat TLS/SSL émis par un tiers dans ACM ?

Solution

Pour importer un certificat TLS/SSL émis par un tiers dans ACM, vous devez fournir le certificat, sa clé privée et la chaîne de certificats. Votre certificat doit également inclure les conditions préalables à l'importation de certificats.

Vous avez besoin des fichiers suivants pour importer au format codé PEM similaire au suivant :

Certificat codé PEM :

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Chaîne de certificats codée PEM : (Cet exemple montre une chaîne dans laquelle deux autorités de certification subordonnées/intermédiaires sont présentes. L'ordre donné ici est de conserver l'autorité de certification racine comme dernière entrée):

-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----

Clés privées codées en PEM :

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Pour plus d'informations et d'exemples, voirFormat de clé et de certificat pour l'importation.

Convertissez le bundle de certificats de PKCS #12 (PFX) en PEM à l'aide d'OpenSSL

1.    Copiez le fichier PFX ou P12 au même emplacement que votre outil OpenSSL, ou spécifiez l'emplacement dans la ligne de commande.

2.    Entrez la commande OpenSSL suivante et remplacez PKCS12file par votre fichier de certificat :

$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt

Vous obtenez une sortie similaire à ce qui suit :

Enter Import Password:(this is the password that was used when the PKCS12 file was created)

Enter PEM pass phrase:(this is the private key password)

Verifying - Enter PEM pass phrase: (confirm the private key password)

3.    Entrez le mot de passe et la phrase secrète requis. Le certificat, la clé privée et la chaîne de certificats (racine ou intermédiaire) sont analysés et placés dans le fichier Cert_Chain_Key.txt.

Remarque : La clé privée est toujours cryptée au format suivant :

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----

Déchiffrer la clé privée

1.    Copiez la clé privée du fichier Cert_Chain_Key.txt dans votre répertoire OpenSSL ou spécifiez l'emplacement dans la ligne de commande.

2.    Entrez la commande OpenSSL suivante et remplacez Encrypted.key par votre fichier de clé privée cryptée :

$openssl rsa -in Encrypted.key -out UnEncrypted.key

3.    Entrez la phrase secrète. Le fichier UnEncrypted.key est désormais la clé privée décryptée. Pour vérifier cela, ouvrez le fichier UnEncrypted.key à l'aide d'un éditeur de texte et affichez les en-têtes au format suivant :

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Vous pouvez désormais importer le certificat avec succès dans ACM. Pour obtenir des instructions, consultez Importation d'un certificat SSL/TLS.

---

Informations connexes

Pourquoi ne puis-je pas importer un certificat SSL/TLS public tiers dans AWS Certificate Manager (ACM) ?

Comment utiliser le même certificat SSL pour mon instance Amazon EC2 et mon équilibreur de charge ?

Comment importer des certificats au format PFX dans AWS Certificate Manager à l'aide d'OpenSSL