Como uso o console do ACM para solicitar um certificado privado quando a validade do AWS Private CA é inferior a 13 meses?

3 minuto de leitura
0

Solicitei um certificado privado do AWS Certificate Manager (ACM), mas recebi um erro de "Falha" ou o status do certificado é "Falha".

Breve descrição

Você pode usar o console do ACM para emitir e gerenciar certificados com um período de validade de exatamente 395 dias (13 meses). Se você usar o console do ACM para solicitar um certificado com um período que não seja exatamente 395 dias, receberá um erro de "Falha".

Para resolver esse erro, use a API IssueCertificate, um recurso do AWS Private Certificate Authority, para solicitar um certificado privado com um período de validade mais curto. Em seguida, importe o certificado para o ACM para ser usado com serviços integrados.

Observação: Os certificados não estão visíveis no console do ACM se você usou a API IssueCertificate para solicitar um certificado.

Resolução

Use a API IssueCertificate para emitir um novo certificado privado com um período de validade menor do que o período de validade da CA

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Use o comando issue-certificate para emitir um certificado privado com uma data de validade menor que o período de validade da CA:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Observação: Você deve gerar sua própria CSR e chave privada para o certificado privado.

Obtenha o corpo e a cadeia do certificado privado da AWS Private CA e importe-os para o ACM

  1. Use o comando get-certificate para obter o corpo e a cadeia do certificado privado:

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012/\
    certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

    O comando get-certificate mostra o certificado de formato PEM codificado em base64 e a cadeia de certificados:

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
  2. Use os comandos a seguir para salvar o corpo e a cadeia do certificado como arquivos .pem:

    Cadeia de certificados:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    Corpo do certificado:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
  3. Use o comando import-certificate para importar o certificado para o ACM:

    Observação: Substitua certfile.pem, privately.key e certchain.pem pelos nomes dos arquivos.

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

O certificado importado do nome do recurso da Amazon (ARN) é retornado com sucesso.

Informações relacionadas

Como soluciono erros ao emitir um novo certificado ACM-PCA?

Por que não consigo importar um certificado SSL/TLS público de terceiros para o ACM?

Emissão de certificados privados de entidades finais