Como faço para carregar e importar um certificado SSL para o AWS Identity and Access Management (IAM)?

4 minuto de leitura

Breve descrição

A prática recomendada é fazer upload dos certificados SSL para o AWS Certificate Manager (ACM). Se você estiver usando algoritmos e tamanhos de chave de certificados que atualmente não são suportados pelo ACM ou pelos recursos associados da AWS, também poderá carregar um certificado SSL para o IAM usando a AWS Command Line Interface (AWS CLI).

Antes de importar um certificado SSL para o IAM:

O certificado deve ser válido no momento do upload. Não é possível fazer o upload de um certificado antes do início do seu período de validade ou depois que ele expirar.
O certificado, a chave privada e a cadeia de certificados devem ser codificados por PEM. Para mais informações, consulte a seção Example PEM–encoded certificate chain (Exemplo de cadeia de certificados codificada por PEM) em Working with server certificates (Trabalhar com certificados de servidor).

Depois de confirmar que seu certificado atende aos critérios, verifique se a cadeia de certificados está na ordem correta e, em seguida, faça o upload do certificado.

Resolução

Confirmar se a cadeia de certificados está na ordem correta

Observação: Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

A cadeia de certificados deve começar com o certificado gerado pela sua autoridade de certificação (CA) e terminar com o certificado raiz da sua CA.

Observação: se a cadeia de certificados não estiver na ordem correta, você poderá receber a seguinte mensagem de erro: "Ocorreu um erro (MalformedCertificate) ao chamar a operação UploadServerCertificate: Não é possível validar a cadeia de certificados. A cadeia de certificados deve começar com o certificado de assinatura imediata, seguido por quaisquer intermediários na ordem. O índice dentro da cadeia do certificado inválido é: -1"

A cadeia de certificados codificada por PEM deve começar com "-----BEGIN CERTIFICATE-----" e terminar com "-----END CERTIFICATE-----", semelhante ao seguinte:

-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 2
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 1
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Optional: Base64-encoded Root certificate
-----END CERTIFICATE-----

Observação: verifique se que o certificado não tenha espaços à esquerda ou à direita e não contenha um prefixo ou sufixo além dos blocos BEGIN e END.

A chave codificada PEM deve usar o seguinte formato para evitar a mensagem de erro "MalformedCertificate": Não é possível analisar a chave privada":

-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----

Carregue o certificado

Faça upload do certificado executando o comando upload-server-certificate da AWS CLI semelhante ao seguinte:

$ aws iam upload-server-certificate --server-certificate-name YourCertificate --certificate-body file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

Observação:

substitua os nomes dos arquivos e YourCertificate pelos nomes dos arquivos e certificados carregados.
Especifique o prefixo "file://" nos parâmetros do corpo do certificado, da cadeia do certificado e da chave privada na solicitação da API. Caso contrário, a solicitação apresentará a mensagem de erro “MalformedCertificate”: Desconhecido".

Depois que o certificado é carregado, o comando upload-server-certificate da AWS retorna metadados sobre ele, incluindo o nome de recurso da Amazon (ARN), o nome amigável, o identificador (ID) e a data de validade do certificado.

Para visualizar o certificado carregado, execute o comando list-server-certificates da AWS CLI:

aws iam list-server-certificates

Observação: se você fizer upload de um certificado de servidor para uso com o Amazon CloudFront, deverá especificar um caminho usando --path. O caminho deve começar com /cloudfront e incluir uma barra ao final, por exemplo, /cloudfront/test/. Para mais informações, consulte How can I troubleshoot issues with using a custom SSL certificate for my CloudFront distribution? (Como faço para solucionar problemas no uso de um certificado SSL personalizado para minha distribuição do CloudFront?)

Para excluir o certificado, execute o comando delete-server-certificate da AWS CLI semelhante ao seguinte:

$ aws iam delete-server-certificate --server-certificate-name YourCertificate

Informações relacionadas

Serviços integrados ao AWS Certificate Manager

Certificado e formato de chave para importação

Tópicos

Segurança, identidade e conformidade

Vídeos relacionados

Assista ao vídeo de Shree para saber mais (6:36)

AWS OFICIALAtualizada há 2 anos

Conteúdo relevante

Como faço o upload dos certificados SSL para meu Classic Load Balancer a fim de evitar que os clientes recebam erros de “certificado não confiável”?
AWS OFICIALAtualizada há 10 meses
Como posso usar o AWS Identity and Access Management (IAM) para permitir o acesso do usuário aos recursos?
AWS OFICIALAtualizada há 3 anos
Como fazer upload de certificados de APNs para minha aplicação Amazon Pinpoint usando a AWS CLI?
AWS OFICIALAtualizada há 3 anos
Como posso importar um certificado TLS/SSL emitido por terceiros para o ACM?
AWS OFICIALAtualizada há 2 anos