當 ACM-PCA 有效期少於 13 個月時,如何使用 ACM 主控台請求私有憑證?
1 分的閱讀內容
0
請求 AWS Certificate Manager (ACM) 私有憑證時,我卻收到「失敗」的錯誤訊息或「失敗」的憑證狀態。如何解決此問題?
簡短說明
透過 ACM 主控台請求的私有憑證有效期為 13 個月。如果有效性超過 CA 有效期,ACM 私有 CA 無法發行私有憑證。如果 CA 有效期少於 13 個月,您會收到「失敗」的錯誤訊息,要求透過 ACM 主控台請求私有憑證。
若要解決此錯誤,請使用 IssueCertificate API 請求有效期較短的私有憑證。然後,將憑證匯入 ACM,以便與整合服務搭配使用。
解決方法
使用 IssueCertificate API 發行有效期短於 CA 有效期的全新私有憑證
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 指令時收到錯誤訊息,請確認您使用的是最新的 AWS CLI 版本。
使用 issue-certificate 指令來發行到期日短於 CA 有效期的私有憑證:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
**注意:**您必須為私有憑證產生自己的 CSR 和私有金鑰。
從 ACM PCA 取得私有憑證內文和鏈結,並將其匯入 ACM
1. 使用 get-certificate 指令來取得私有憑證的內文和鏈結:
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output text
get-certificate 指令會輸出 Base64 編碼 PEM 格式的憑證和憑證鏈結:
-----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE----
2. 使用下列指令將憑證內文和憑證鏈結儲存為 .pem 檔案:
憑證鏈結:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
憑證內文:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
3. 若要將私有憑證與整合服務搭配使用,請依照說明使用 **import-certificate **指令匯入憑證:
注意:使用您的檔案名稱來取代 certfile.pem、privately.key 和 certchain.pem。
aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem
沒有評論
相關內容
AWS 官方已更新 2 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 9 個月前