New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Como resolvo erros quando uma CA privada emite um novo certificado?
Tentei solicitar um novo certificado privado de entidade final ou autoridade de certificação (CA) subordinada para o AWS Private Certificate Authority, e a solicitação falhou.
Breve descrição
Para solucionar problemas com falhas em solicitações de certificados de CA privada, verifique as seguintes variáveis:
- O parâmetro pathLenConstraint da CA privada
- O status da CA privada
- A família de algoritmos de assinatura da CA privada
- O período de validade do certificado solicitado
- As permissões do AWS Identity and Access Management (AWS IAM)
- A conta da AWS
- As mensagens de erro de exceção da CA privada da AWS
Resolução
O parâmetro pathLenConstraint da CA privada
Quando o comprimento do caminho da CA subordinada é maior ou igual ao comprimento do caminho da CA privada emissora, você recebe a seguinte mensagem de erro:
“Falha na verificação do comprimento do caminho para CA”
Para resolver esse problema, crie um pathLenConstraint para a CA subordinada que seja menor que o comprimento do caminho da CA privada. Para obter mais informações, consulte Planejar a estrutura de uma hierarquia de CA.
O status da CA privada
Se você usou a API IssueCertificate para emitir um novo certificado de CA privada com uma CA privada expirada ou excluída, receberá o seguinte erro:
“Ocorreu um erro (InvalidStateException) ao chamar a operação IssueCertificate: A autoridade de certificação não está em um estado válido para emitir certificados”
Se a CA de assinatura for excluída, você ainda poderá restaurar a CA privada dentro do período de restauração de 7 a 30 dias. Se o período de restauração tiver passado, a CA privada será excluída permanentemente e não será possível restaurá-la.
Se a CA de assinatura expirar, reemita a CA com uma nova data de expiração ou substitua a CA expirada. É uma prática recomendada substituir uma CA expirada por uma nova. Para substituir a CA expirada, crie uma nova CA e, em seguida, conecte-a à mesma CA principal. Para obter mais informações, consulte Gerenciar a sucessão da CA.
A família de algoritmos de assinatura da CA privada
A família de algoritmos de assinatura para RSA ou ECDSA deve corresponder à família de algoritmos da chave privada da CA. Para obter mais informações, consulte Algoritmos criptográficos compatíveis na CA privada da AWS.
O período de validade do certificado solicitado
Os certificados privados de entidades finais que o AWS Certificate Manager (ACM) emite e gerencia são válidos por 13 meses (395 dias). Quando o período de validade da CA principal é inferior a 13 meses, as solicitações privadas de certificados de entidades finais emitidas pelo console do ACM falham. Se você receber a seguinte mensagem de erro:
“O certificado de assinatura da CA que você especificou na solicitação expirou.”
Observação: O ACM não pode emitir certificados assinados por uma CA privada com o modo de vida curta.
Se o período de validade do certificado de assinatura for inferior a 13 meses, use a API IssueCertificate para especificar um período de validade personalizado.
Quando a CA privada da AWS tenta emitir um certificado com um período de validade maior do que a CA principal, você recebe a seguinte mensagem de erro:
“Ocorreu um erro (ValidationException) ao chamar a operação IssueCertificate: A validade do certificado especificada excede a validade da autoridade de certificação”
Para resolver esse problema, defina o período de validade do certificado da entidade final ou do certificado da CA secundária menor ou igual ao período de validade da CA principal.
Para obter mais informações, consulte Atualizar uma CA privada na CA privada da AWS.
Permissões do IAM
Para fazer chamadas às APIs IssueCertificate e RequestCertificate, conceda as permissões necessárias à sua identidade do IAM que solicita certificados de CA privada. Caso contrário, a solicitação falhará com um erro AccessDenied. É uma prática recomendada aplicar permissões com menor privilégio. Para obter mais informações, consulte IAM para CA privada da AWS.
Conta da AWS
Quando a CA privada da AWS tenta emitir um certificado de CA de outra conta, você recebe uma mensagem de erro semelhante à seguinte:
“Ocorreu um erro (AccessDeniedException) ao chamar IssueCertificate porque nenhuma política baseada em recursos permite a ação acm-pca:IssueCertificate”
Para resolver esse problema, anexe uma política baseada em recursos ao certificado de CA. Você também pode usar o AWS Resource Access Manager (AWS RAM) para compartilhar uma Certificate Manager Private Certificate Authority com outra conta. Para obter mais informações, consulte Como compartilho minha Certificate Manager Private Certificate Authority com outra conta da AWS?
Mensagens de erro de exceção da CA privada da AWS
A CA privada da AWS pode retornar erros de exceção por vários motivos. Para solucionar erros de exceção da CA privada da AWS, consulte Solucionar problemas de mensagens de exceção da CA privada da AWS.
Informações relacionadas

Conteúdo relevante
- feita há um mêslg...
- Resposta aceitafeita há um mêslg...
- feita há um mêslg...
- feita há 16 diaslg...
- feita há um mêslg...
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 4 meses