¿Cómo soluciono los errores cuando una CA privada emite un certificado nuevo?

Descripción corta

Para solucionar problemas en las solicitudes de certificados de CA privadas fallidas, compruebe las siguientes variables:

• El parámetro pathLenConstraint de la CA privada
• El estado de la CA privada
• La familia de algoritmos de firma de la CA privada
• El período de validez del certificado solicitado
• Los permisos de AWS Identity and Access Management (IAM)
• La cuenta de AWS
• Los mensajes de error de excepción de AWS Private CA

Resolución

El parámetro pathLenConstraint de la CA privada

Cuando la longitud de la ruta de la CA subordinada es mayor o igual que la longitud de la ruta de la CA privada emisora, recibirá el siguiente mensaje de error:

«Path length check failed for CA»

Para resolver este problema, cree un pathLenConstraint para la CA subordinada que sea inferior a la longitud de ruta de la CA privada. Para obtener más información, consulte Planificación de la estructura de una jerarquía de CA.

El estado de la CA privada

Si usó la API IssueCertificate para emitir un nuevo certificado de CA privado con una CA privada caducada o eliminada, recibirá el siguiente error:

«An error occurred (InvalidStateException) when calling the IssueCertificate operation: The certificate authority is not in a valid state for issuing certificates»

Si se elimina la CA firmante, aún puede restaurar la CA privada dentro del período de restauración de 7 a 30 días. Si el período de restauración ha pasado, la CA privada se elimina de forma permanente y no puede restaurarla.

Si la CA firmante ha caducado, vuelva a emitir la CA con una nueva fecha de caducidad o sustituya la CA caducada. Se recomienda reemplazar una CA caducada por una nueva. Para sustituir la CA caducada, cree una nueva CA y encadénela a la misma CA principal. Para obtener más información, consulte Administración de la sucesión de CA.

La familia de algoritmos de firma de la CA privada

La familia de algoritmos de firma para RSA o ECDSA debe coincidir con la familia de algoritmos de la clave privada de la CA. Para obtener más información, consulte Algoritmos criptográficos compatibles en AWS Private CA.

El período de validez del certificado solicitado

Los certificados de entidades finales privadas que AWS Certificate Manager (ACM) emite y administra son válidos durante 13 meses (395 días). Cuando el período de validez de la CA principal es inferior a 13 meses, las solicitudes de certificados de entidad final privadas que se emiten desde la consola de ACM fallan. Recibe el siguiente mensaje de error:

«The signing certificate for the CA you specified in the request has expired».

Nota: ACM no puede emitir certificados firmados por una CA privada en modo efímero.

Si el período de validez del certificado de firma es inferior a 13 meses, use la API IssueCertificate para especificar un período de validez personalizado.

Cuando AWS Private CA intenta emitir un certificado con un período de validez superior al de la CA principal, recibe el siguiente mensaje de error:

«An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity»

Para resolver este problema, haga que el período de validez del certificado de la entidad final o del certificado de la CA secundaria sea inferior o igual al período de validez de la CA principal.

Para obtener más información, consulte Actualización de una CA privada en AWS Private CA.

Permisos de IAM

Para realizar llamadas a las API IssueCertificate y RequestCertificate, conceda los permisos necesarios a la identidad de IAM que solicita certificados de CA privados. De lo contrario, se produce un error AccessDenied en la solicitud. Es una práctica recomendada aplicar los permisos con privilegios mínimos. Para obtener más información, consulte IAM para AWS Private CA.

Cuenta de AWS

Cuando AWS Private CA intenta emitir un certificado de CA desde otra cuenta, recibe un mensaje de error similar al siguiente:

«An error occurred (AccessDeniedException) when calling IssueCertificate because no resource-based policy allows the acm-pca:IssueCertificate action»

Para resolver este problema, adjunte una política basada en recursos al certificado de la CA. También puede usar AWS Resource Access Manager (AWS RAM) para compartir una CA privada de ACM con otra cuenta. Para obtener más información, consulte ¿Cómo comparto mi CA privada de ACM con otra cuenta de AWS?

Mensajes de error de excepción de AWS Private CA

AWS Private CA puede devolver errores de excepción por varios motivos. Para solucionar los errores de excepción de AWS Private CA, consulte Solución de problemas de los mensajes de excepción de AWS Private CA.

Información relacionada

¿Cómo creo una CRL para mi AWS Private CA?

¿Cómo instalo las CA raíz y subordinadas de AWS Private CA en diferentes cuentas o regiones de AWS?