Quelle est la période de validité maximale de l'AWS Private CA que je peux utiliser lorsque je demande un nouveau certificat privé ?

Solution

ACM Private CA définit la date « Pas avant » dans le champ de validité comme une date et une heure moins 60 minutes. Cela permet de compenser les décalages de temps entre les systèmes de 60 minutes ou moins.

Vous pouvez calculer la période de validité maximale en obtenant le format de temps d'époque pour la date « Pas après ». Calculez ensuite le nombre de jours entre la date d'émission du certificat d'entité finale et la date d'expiration de l'autorité de certification.

Remarque : si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente de l'AWS CLI.

1.    Exécutez la commande AWS CLI describe-certificate-authority similaire à la suivante :

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

Exemple de sortie :

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    Calculez le nombre de jours entre l'émission du certificat d'entité finale et la date d'expiration de l'autorité de certification. Vous pouvez utiliser le calculateur de jours sur le site web Time and Date AS. Dans cet exemple, la date du certificat de l'entité finale est le mardi 22 octobre 2019 et la date d'expiration de l'autorité de certification est le lundi 22 octobre 2029.

Le résultat est de 3 252 jours. Le nombre maximum de jours que vous pouvez définir pour --validity (validité) auprès de l'autorité de certification est de 3 251 jours.

Remarque : si vous utilisez une valeur égale ou supérieure à 3 252 jours, la sortie de la commande AWS CLI renvoie une erreur « ValidationException » similaire à ce qui suit :

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

Pour plus d'informations, consultez la section Gestion du cycle de vie de l'autorité de certification privée.

Informations connexes

Comment demander un certificat privé via la console ACM lorsque la période de validité de l'ACM PCA est inférieure à 13 mois ?