當私有 CA 簽發新憑證時發生錯誤，該如何解決？

簡短說明

若要對私有 CA 憑證請求失敗進行疑難排解，請檢查以下變數：

• 私有 CA 的 pathLenConstraint 參數
• 私有 CA 的狀態
• 私有 CA 的簽署演算法系列
• 所請求憑證的有效期限
• AWS Identity and Access Management (IAM) 權限
• AWS 帳戶
• AWS 私有 CA 例外狀況錯誤訊息

解決方法

私有 CA 的 pathLenConstraint 參數

當次級 CA 的路徑長度大於或等於簽發私有 CA 的路徑長度時，您會收到下列錯誤訊息：

「CA 的路徑長度檢查失敗」

若要解決此問題，請為次級 CA 建立一個小於私有 CA 路徑長度的 pathLenConstraint。有關詳細信息，請參閱規劃 CA 階層結構。

私有 CA 的狀態

如果您使用 IssueCertificate API 透過過期或已刪除的私有 CA 簽發新的私有 CA 憑證，則會收到下列錯誤訊息：

「呼叫 IssueCertificate 作業時發生錯誤 (InvalidStateException)： 憑證認證機構未處於簽發憑證的有效狀態」

如果簽署 CA 已刪除，您仍可在 7-30 天的還原期內還原私有 CA。如果還原期已過，則私有 CA 將永久刪除且無法還原。

如果簽署 CA 已過期，則需要重新簽發 CA 並設定新的到期日期，或更換過期的 CA。最佳做法是用新的 CA 取代過期的 CA。若要取代過期的 CA，請建立新的 CA，然後將其連結到同一父 CA。如需詳細資訊，請參閱管理 CA 繼承。

私有 CA 的簽署演算法系列

RSA 或 ECDSA 的簽署演算法系列必須與 CA 私密金鑰的演算法系列相符。有關更多信息，請參閱 AWS 私有 CA 中支援的加密演算法。

所請求憑證的有效期限

AWS Certificate Manager (ACM) 簽發和管理的私有終端實體憑證有效期限為 13 個月 (395 天)。當父 CA 的有效期限小於 13 個月時，從 ACM 主控台簽發的私有終端實體憑證請求將會失敗。您會收到以下錯誤訊息：

「您在請求中指定的 CA 簽署憑證已過期。」

注意： ACM 無法簽發由私有 CA 使用短期模式簽署的憑證。

如果簽署憑證的有效期限小於 13 個月，則可以使用 IssueCertificate API 來指定自訂有效期限。

當 AWS 私有 CA 嘗試簽發有效期限大於父 CA 的憑證時，您會收到下列錯誤訊息：

「呼叫 IssueCertificate 作業時發生錯誤 (ValidationException)： 指定的憑證有效期限超過憑證簽發機構的有效期限」

若要解決此問題，請將終端實體憑證或子 CA 憑證的有效期限設定為小於或等於父 CA 的有效期限。

如需詳細資訊，請參閱在 AWS 私有 CA 中更新私有 CA。

IAM 權限

若要進行 IssueCertificate 和 RequestCertificate API 呼叫，請向請求私有 CA 憑證的 IAM 身分授予所需的權限。否則，請求將失敗，並顯示 AccessDenied 錯誤。最佳實務是套用最低權限許可。如需詳細資訊，請參閱 AWS 私有 CA 的 IAM。

AWS 帳戶

當 AWS 私有 CA 嘗試從另一個帳戶簽發 CA 憑證時，您會收到類似以下內容的錯誤訊息：

「呼叫 IssueCertificate 時發生錯誤 (AccessDeniedException)，因為沒有以資源為基礎的政策允許 acm-pca:IssueCertificate 動作」

若要解決此問題，請將以資源為基礎的政策附加到 CA 憑證。您也可以使用 AWS Resource Access Manager (AWS RAM) 與其他帳戶共用 ACM 私有 CA。如需詳細資訊，請參閱如何與其他 AWS 帳戶共用我的 ACM 私有 CA？

AWS 私有 CA 例外狀況錯誤訊息

AWS 私有 CA 可能會因為各種原因傳回例外狀況錯誤。若要對 AWS 私有 CA 例外狀況錯誤進行疑難排解，請參閱對 AWS 私有 CA 例外狀況訊息進行疑難排解。

相關資訊

如何為我的 AWS 私有 CA 建立 CRL？

如何在不同帳戶或 AWS 區域中安裝 AWS 私有 CA 根 CA 和次級 CA？