申請 AWS Certificate Manager (ACM) 私有憑證時,我卻收到「失敗」的錯誤訊息或「失敗」的憑證狀態。
簡短描述
您可以使用 ACM 主控台來簽發和管理有效期為 395 天 (13 個月) 的憑證。如果您使用 ACM 主控台申請有效期不是剛好 395 天的憑證,則會收到「失敗」錯誤。
若要解決此錯誤,請使用 AWS 私有憑證認證機構的 IssueCertificate API,以申請有效期較短的私有憑證。然後,將憑證匯入 ACM,以便與整合服務搭配使用。
**注意:**如果您使用 IssueCertificate API 來申請憑證,則 ACM 主控台中不會顯示這些憑證。
解決方法
使用 IssueCertificate API 簽發有效期短於 CA 有效期的全新私有憑證
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱AWS CLI 錯誤疑難排解。此外,請確認您使用的是最新的 AWS CLI 版本。
使用 issue-certificate 命令來發行到期日短於 CA 有效期的私有憑證:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
**注意:**您必須為私有憑證產生自己的 CSR 和私有金鑰。
從 AWS 私有憑證認證機構取得私有憑證內文和鏈結,並將其匯入 ACM
-
使用 get-certificate 命令來取得私有憑證的內文和鏈結:
aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text
get-certificate 命令會顯示 Base64 編碼 PEM 格式的憑證和憑證鏈結:
-----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-
使用下列命令將憑證內文和憑證鏈結儲存為 .pem 檔案:
憑證鏈結:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
憑證內文:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
-
使用 import-certificate 命令將憑證匯入 ACM:
注意:使用您的檔案名稱來取代 certfile.pem、privately.key 和 certchain.pem。
aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
已成功傳回匯入憑證 Amazon Resource Name (ARN)。
相關資訊
如何解決簽發新的 ACM-PCA 憑證時的錯誤?
為什麼我無法將第三方公有 SSL/TLS 憑證匯入 ACM?
簽發私有終端實體憑證