Wie behebe ich Fehler bei der Ausstellung eines neuen ACM-PCA-Zertifikats?

Lesedauer: 2 Minute
0

Ich habe versucht, ein neues privates Endentitätszertifikat oder eine untergeordnete CA für AWS Certificate Manager (ACM) anzufordern, und die Anfrage ist fehlgeschlagen.

Kurzbeschreibung

Zur Fehlerbehebung bei fehlgeschlagenen private Zertifikatsanforderungen überprüfen Sie Folgendes:

  • Der pathLenConstraint-Parameter der ausstellenden Zertifizierungsstelle.
  • Der Status der ausstellenden Zertifizierungsstelle.
  • Die Signaturalgorithmusfamilie der ausstellenden Zertifizierungsstelle.
  • Die Gültigkeitsdauer des angeforderten Zertifikats.
  • AWS Identity and Access Management (IAM) – Berechtigungen.

Auflösung

Der Parameter „pathLenConstraint“ der ausstellenden Zertifizierungsstelle

Beim Erstellen einer Zertifizierungsstelle mit einer Pfadlänge, die größer oder gleich der Pfadlänge des ausstellenden CA-Zertifikats ist, wird ein ValidationException-Fehler zurückgegeben. Stellen Sie sicher, dass die pathLenConstraint für die Ausgabe einer untergeordneten ACM-Zertifizierungsstelle kleiner ist als die Pfadlänge der ausstellenden CA.

Der Status der ausstellenden Zertifizierungsstelle

Das Ausstellen eines neuen PCA-Zertifikats mithilfe der IssueCertificate-API mit einer abgelaufenen Zertifizierungsstelle (die sich nicht im Status Aktiv befindet) gibt einen InvalidStateException-Fehlercode zurück.

Wenn die signierende Zertifizierungsstelle abgelaufen ist, stellen Sie sicher, dass Sie sie zuerst erneuern, bevor Sie neue untergeordnete CA-Zertifikate oder private ACM-Zertifikate ausstellen.

Die Signaturalgorithmusfamilie der ausstellenden Zertifizierungsstelle

Die AWS-Managementkonsole unterstützt die Ausstellung privater ECDSA-Zertifikate nicht, sodass die ausstellende Zertifizierungsstelle nicht verfügbar ist. Dies tritt auch dann auf, wenn bereits eine private untergeordnete ECDSA-Zertifizierungsstelle erstellt wurde. Sie können den API-Aufruf IssueCertificate verwenden und die ECDSA-Variante mit dem -- signing-algorithmus-Flag angeben.

Die Gültigkeitsdauer des angeforderten Zertifikats

Von ACM ausgestellte und verwaltete Zertifikate (die Zertifikate, für die ACM den privaten Schlüssel generiert) haben eine Gültigkeitsdauer von 13 Monaten (395 Tagen).

Für ACM Private CA können Sie die IssueCertificate-API verwenden, um einen beliebigen Gültigkeitszeitraum anzuwenden. Wenn Sie jedoch die Gültigkeitsdauer des Zertifikats angeben, die länger ist als die ausstellende Zertifizierungsstelle, schlägt die Zertifikatsausstellung fehl.

Es hat sich bewährt, die Gültigkeitsdauer von Zertifizierungsstellenzertifikaten auf einen Wert festzulegen, der zwei- bis fünfmal so groß ist wie der Zeitraum von untergeordneten Zertifikaten oder Entitätszertifikaten. Weitere Informationen finden Sie unter Auswählen von Gültigkeitszeiträumen.

IAM-Berechtigungen

Private Zertifikate, die mit IAM-Identitäten ausgestellt wurden, müssen über die erforderlichen Berechtigungen verfügen. Andernfalls schlägt die Anforderung mit dem Fehler „AccessDenied“ fehl. Es ist eine bewährte Methode, Ihren IAM-Identitäten die Berechtigung zur Ausstellung privater Zertifikate zu erteilen und dabei den Grundsatz der Gewährung geringster Privilegien einzuhalten.

Weitere Informationen finden Sie unter Identitäts- und Zugriffsmanagement für AWS Certificate Manager Private Certificate Authority.


AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren