使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

AWS 私有憑證認證機構的有效期少於 13 個月時,我該如何使用 ACM 主控台申請私有憑證?

2 分的閱讀內容
0

申請 AWS Certificate Manager (ACM) 私有憑證時,我卻收到「失敗」的錯誤訊息或「失敗」的憑證狀態。

簡短描述

您可以使用 ACM 主控台來簽發和管理有效期為 395 天 (13 個月) 的憑證。如果您使用 ACM 主控台申請有效期不是剛好 395 天的憑證,則會收到「失敗」錯誤。

若要解決此錯誤,請使用 AWS 私有憑證認證機構的 IssueCertificate API,以申請有效期較短的私有憑證。然後,將憑證匯入 ACM,以便與整合服務搭配使用。

**注意:**如果您使用 IssueCertificate API 來申請憑證,則 ACM 主控台中不會顯示這些憑證。

解決方法

使用 IssueCertificate API 簽發有效期短於 CA 有效期的全新私有憑證

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱AWS CLI 錯誤疑難排解。此外,請確認您使用的是最新的 AWS CLI 版本

使用 issue-certificate 命令來發行到期日短於 CA 有效期的私有憑證:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

**注意:**您必須為私有憑證產生自己的 CSR 和私有金鑰。

從 AWS 私有憑證認證機構取得私有憑證內文和鏈結,並將其匯入 ACM

  1. 使用 get-certificate 命令來取得私有憑證的內文和鏈結:

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012/\
    certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

    get-certificate 命令會顯示 Base64 編碼 PEM 格式的憑證和憑證鏈結:

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
  2. 使用下列命令將憑證內文和憑證鏈結儲存為 .pem 檔案:

    憑證鏈結:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    憑證內文:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
  3. 使用 import-certificate 命令將憑證匯入 ACM

    注意:使用您的檔案名稱來取代 certfile.pem、privately.keycertchain.pem

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

已成功傳回匯入憑證 Amazon Resource Name (ARN)

相關資訊

如何解決簽發新的 ACM-PCA 憑證時的錯誤?

為什麼我無法將第三方公有 SSL/TLS 憑證匯入 ACM?

簽發私有終端實體憑證