Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso risolvere gli errori quando una CA privata emette un nuovo certificato?

4 minuti di lettura
0

Ho provato a richiedere un nuovo certificato privato di un'entità finale o un'autorità di certificazione (CA) subordinata per AWS Private CA e la richiesta non è andata a buon fine.

Breve descrizione

Per risolvere i problemi relativi alle richieste di certificati di CA private non andate a buon fine, controlla le seguenti variabili:

  • Parametro pathLenConstraint della CA privata
  • Stato della CA privata
  • Famiglia di algoritmi di firma della CA privata
  • Periodo di validità del certificato richiesto
  • Autorizzazioni di AWS Identity and Access Management (IAM)
  • Account AWS
  • Messaggi di errore relativi alle eccezioni di AWS Private CA

Risoluzione

Parametro pathLenConstraint della CA privata

Quando la lunghezza del percorso della CA subordinata è maggiore o uguale alla lunghezza del percorso della CA privata emittente, viene visualizzato il seguente messaggio di errore:

"Path length check failed for CA"

Per risolvere questo problema, crea un pathLenConstraint per la CA subordinata inferiore alla lunghezza del percorso della CA privata. Per ulteriori informazioni, consulta Pianifica la struttura di una gerarchia di CA.

Stato della CA privata

Se hai utilizzato l'API IssueCertificate per emettere un nuovo certificato di una CA privata con una CA privata scaduta o eliminata, viene visualizzato il seguente errore:

"An error occurred (InvalidStateException) when calling the IssueCertificate operation: The certificate authority is not in a valid state for issuing certificates"

Se la CA di firma è eliminata, puoi comunque ripristinare la CA privata entro il periodo di ripristino di 7-30 giorni. Se il periodo di ripristino è scaduto, la CA privata è eliminata definitivamente e non è possibile ripristinarla.

Se la CA di firma è scaduta, rinnovala con una nuova data di scadenza o sostituisci la CA scaduta. È consigliabile sostituire una CA scaduta con una nuova CA. Per sostituire la CA scaduta, crea una nuova CA, quindi concatenala alla stessa CA madre. Per ulteriori informazioni, consulta Gestisci la successione di CA.

Famiglia di algoritmi di firma della CA privata

La famiglia di algoritmi di firma per RSA o ECDSA deve corrispondere alla famiglia di algoritmi della chiave privata della CA. Per ulteriori informazioni, consulta Algoritmi crittografici supportati in AWS Private CA.

Periodo di validità del certificato richiesto

I certificati privati di entità finale emessi e gestiti da Gestione certificati AWS (ACM) sono validi per 13 mesi (395 giorni). Quando il periodo di validità della CA madre è inferiore a 13 mesi, le richieste di certificati privati di entità finali emessi dalla console ACM hanno esito negativo. Viene visualizzato il seguente errore:

"The signing certificate for the CA you specified in the request has expired."

Nota: ACM non può emettere certificati firmati da una CA privata di breve durata.

Se il periodo di validità del certificato di firma è inferiore a 13 mesi, utilizza l'API IssueCertificate per specificare un periodo di validità personalizzato.

Quando AWS Private CA tenta di emettere un certificato con un periodo di validità superiore a quello della CA madre, viene visualizzato il seguente messaggio di errore:

"An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity"

Per risolvere questo problema, riduci il periodo di validità del certificato dell’entità finale o della CA figlia rispetto al periodo di validità della CA madre.

Per ulteriori informazioni, consulta Aggiorna una CA privata in AWS Private CA.

Autorizzazioni IAM

Per effettuare chiamate alle API IssueCertificate e RequestCertificate, concedi le autorizzazioni necessarie alla tua identità IAM che richiede certificati di CA private. In caso contrario, la richiesta ha esito negativo e viene visualizzato un errore AccessDenied. È consigliabile applicare le autorizzazioni con privilegi minimi. Per ulteriori informazioni, consulta IAM per AWS Private CA.

Account AWS

Quando AWS Private CA tenta di emettere un certificato CA da un altro account, viene visualizzato un messaggio di errore simile al seguente:

"An error occurred (AccessDeniedException) when calling IssueCertificate because no resource-based policy allows the acm-pca:IssueCertificate action"

Per risolvere questo problema, allega una policy basata sulle risorse al certificato CA. Puoi anche utilizzare AWS Resource Access Manager (AWS RAM) per condividere una CA privata ACM con un altro account. Per ulteriori informazioni, consulta Come posso condividere la mia CA privata ACM con un altro account AWS?

Messaggi di errore di eccezione di AWS Private CA

AWS Private CA potrebbe restituire errori di eccezione per diversi motivi. Per risolvere gli errori di eccezione di AWS Private CA, consulta Risolvi i problemi relativi ai messaggi di eccezione di AWS Private CA.

Informazioni correlate

How do I create a CRL for my AWS Private CA?

How do I install AWS Private CA root and subordinate CAs in different accounts or Regions?

Argomenti
Security, Identity, & Compliance
Tag
AWS Private Certificate Authority
Lingua
Italiano
AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente