Comment puis-je demander un certificat privé via la console ACM lorsque la période de validité de l'autorité de certification privée ACM est inférieure à 13 mois ?

Brève description

Les certificats privés demandés avec la console ACM sont valides pendant 13 mois. Les autorités de certification privées d'ACM ne peuvent pas émettre de certificat privé si la validité dépasse la période de validité de l'autorité de certification. Si la période de validité de l'autorité de certification est inférieure à 13 mois, vous recevez un message d'erreur « Failed » (Échec) en demandant un certificat privé avec la console ACM.

Pour résoudre cette erreur, demandez un certificat privé avec une période de validité plus courte à l'aide de l'API IssueCertificate. Importez ensuite le certificat dans ACM pour l'utiliser avec les services intégrés.

Résolution

Utilisez l'API IssueCertificate pour émettre un nouveau certificat privé dont la période de validité est inférieure à la période de validité de l'autorité de certification

Remarque : Si vous recevez des messages d'erreurs lors de l'exécution de commandes AWS Command Line Interface (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

Utilisez la commande issue-certificate pour émettre un certificat privé dont la date d'expiration est inférieure à la période de validité des autorités de certification :

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Remarque : Vous devez générer votre propre CSR et votre propre clé privée pour le certificat privé.

Obtenez le corps et la chaîne du certificat privé à partir d'ACM PCA, puis importez-les dans ACM

1.    Utilisez la commande get-certificate pour récupérer le corps et la chaîne du certificat privé :

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

La commande get-certificate génère le certificat au format PEM codé en base64 et la chaîne de certificats :

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

2.    Enregistrez le corps du certificat et la chaîne de certificats sous forme de fichiers .pem à l'aide des commandes suivantes :

Chaîne de certificats :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

Corps du certificat :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    Pour utiliser le certificat privé avec des services intégrés, suivez les instructions pour importer un certificat à l'aide de la commande import-certificate :

Remarque : remplacez certfile.pem, privately.key et certchain.pem par vos noms de fichiers.

aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem