Como faço para solicitar um certificado privado usando o console do ACM quando o período de validade do ACM-PCA é inferior a 13 meses?
Solicitei um certificado privado do AWS Certificate Manager (ACM), mas recebi um erro “Falha” ou o status do certificado é “Falha”. Como faço para resolver isso?
Breve descrição
Os certificados privados solicitados com o console do ACM são válidos por 13 meses. As CAs privadas do ACM não podem emitir um certificado privado se a validade exceder o período de validade da CA. Se o período de validade da CA for inferior a 13 meses, você receberá um erro “Failed” solicitando um certificado privado com o console do ACM.
Para resolver esse erro, solicite um certificado privado com um período de validade mais curto usando a API IssueCertificate. Em seguida, importe o certificado para o ACM para ser usado com serviços integrados.
Resolução
Use a API IssueCertificate para emitir um novo certificado privado com um período de validade menor do que o período de validade da CA
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.
Use o comando issue-certificate para emitir um certificado privado com uma data de validade menor que o período de validade da CA:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
Observação: você deve gerar sua própria CSR e chave privada para o certificado privado.
Obtenha o corpo e a cadeia do certificado privado do ACM PCA e, em seguida, importe-os para o ACM
1. Use o comando get-certificate para obter o corpo e a cadeia do certificado privado:
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output text
O comando get-certificate gera o certificado de formato PEM codificado em base64 e a cadeia de certificados:
-----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE----
2. Salve o corpo e a cadeia do certificado como arquivos .pem usando os seguintes comandos:
Cadeia de certificados:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
Corpo do certificado:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
3. Para usar o certificado privado com serviços integrados, siga as instruções para importar um certificado usando o comando import-certificate:
Observação: substitua certfile.pem, privately.key e certchain.pem pelos nomes dos arquivos.
aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos