Comment utiliser la console ACM pour demander un certificat privé lorsque la validité d'AWS Private CA est inférieure à 13 mois ?

Lecture de 3 minute(s)

J'ai demandé un certificat privé AWS Certificate Manager (ACM) mais j'ai reçu un message d'erreur « Échec » ou le statut du certificat est « Échec ».

Brève description

Vous pouvez utiliser la console ACM pour émettre et gérer des certificats d'une durée de validité d'exactement 395 jours (13 mois). Si vous utilisez la console ACM pour demander un certificat dont la période n'est pas exactement de 395 jours, le message d'erreur « Échec » s'affiche.

Pour résoudre cette erreur, utilisez l'API IssueCertificate, une fonctionnalité d'AWS Private Certificate Authority, pour demander un certificat privé dont la période de validité est plus courte. Importez ensuite le certificat dans ACM pour l'utiliser avec des services intégrés.

Remarque : les certificats ne sont pas visibles dans la console ACM si vous avez utilisé l'API IssueCertificate pour demander un certificat.

Résolution

Utilisez l'API IssueCertificate pour émettre un nouveau certificat privé dont la période de validité est inférieure à la période de validité des autorités de certification

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes via l’interface de ligne de commande AWS (AWS CLI), consultez l’article Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente d’AWS CLI.

Utilisez la commande issue-certificate pour émettre un certificat privé dont la date d'expiration est inférieure à la période de validité des autorités de certification :

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Remarque : vous devez générer votre propre CSR et clé privée pour le certificat privé.

Obtenir le corps et la chaîne du certificat privé auprès d'AWS Private CA et les importer dans ACM

Utilisez la commande get-certificate pour obtenir le corps et la chaîne du certificat privé :

aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

La commande get-certificate affiche le certificat au format PEM codé en base64 et la chaîne de certificats :

-----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

Utilisez les commandes suivantes pour enregistrer le corps du certificat et la chaîne du certificat sous forme de fichiers .pem :

Chaîne du certificat :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

Corps du certificat :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

Utilisez la commande import-certificate pour importer le certificat dans ACM :

Remarque : remplacez certfile.pem, privately.key et certchain.pem par vos noms de fichiers.

aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

Le certificat Amazon Resource Name (ARN) importé est renvoyé avec succès.

Informations connexes

Comment résoudre les erreurs lors de l'émission d'un nouveau certificat ACM-PCA ?

Pourquoi ne puis-je pas importer un certificat SSL/TLS public tiers dans ACM ?

Émission de certificats d'entité finale privés

Sujets

Sécurité, identité et conformité

Balises

AWS Certificate Manager AWS Private Certificate Authority

Langue

Français

Vidéos associées

Regardez la vidéo de Dennis pour en savoir plus (3:31)

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

AWS ACM erreur "le délai de validation a expiré"
Harold
demandé il y a 5 mois
Délai de validation du certificat ACM
Hubert MOKET
demandé il y a un an
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a 6 mois
Comment supprimer des factures la ligne "Amazon Simple Storage Service Requests-Tier1"
karrena
demandé il y a 4 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un an
Quelle est la période de validité maximale de l'AWS Private CA que je peux utiliser lorsque je demande un nouveau certificat privé ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ne puis-je pas voir ma CA partagée lorsque j'installe un certificat de CA subordonnée dans la console AWS Private CA ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment puis-je prolonger la période de validité de mes certificats ACM ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre les erreurs lorsqu'une CA privée émet un nouveau certificat ?
AWS OFFICIELA mis à jour il y a 4 mois