Solicitei um certificado privado do AWS Certificate Manager (ACM), mas recebi um erro de "Falha" ou o status do certificado é "Falha".
Breve descrição
Você pode usar o console do ACM para emitir e gerenciar certificados com um período de validade de exatamente 395 dias (13 meses). Se você usar o console do ACM para solicitar um certificado com um período que não seja exatamente 395 dias, receberá um erro de "Falha".
Para resolver esse erro, use a API IssueCertificate, um recurso do AWS Private Certificate Authority, para solicitar um certificado privado com um período de validade mais curto. Em seguida, importe o certificado para o ACM para ser usado com serviços integrados.
Observação: Os certificados não estão visíveis no console do ACM se você usou a API IssueCertificate para solicitar um certificado.
Resolução
Use a API IssueCertificate para emitir um novo certificado privado com um período de validade menor do que o período de validade da CA
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Use o comando issue-certificate para emitir um certificado privado com uma data de validade menor que o período de validade da CA:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
Observação: Você deve gerar sua própria CSR e chave privada para o certificado privado.
Obtenha o corpo e a cadeia do certificado privado da AWS Private CA e importe-os para o ACM
-
Use o comando get-certificate para obter o corpo e a cadeia do certificado privado:
aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text
O comando get-certificate mostra o certificado de formato PEM codificado em base64 e a cadeia de certificados:
-----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-
Use os comandos a seguir para salvar o corpo e a cadeia do certificado como arquivos .pem:
Cadeia de certificados:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
Corpo do certificado:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
-
Use o comando import-certificate para importar o certificado para o ACM:
Observação: Substitua certfile.pem, privately.key e certchain.pem pelos nomes dos arquivos.
aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
O certificado importado do nome do recurso da Amazon (ARN) é retornado com sucesso.
Informações relacionadas
Como soluciono erros ao emitir um novo certificado ACM-PCA?
Por que não consigo importar um certificado SSL/TLS público de terceiros para o ACM?
Emissão de certificados privados de entidades finais