Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment puis-je résoudre les erreurs lorsqu'une CA privée émet un nouveau certificat ?

Lecture de 5 minute(s)
0

J'ai essayé de demander un nouveau certificat d'entité finale privée ou une autorité de certification (CA) subordonnée pour AWS Private Certificate Authority, mais la requête a échoué.

Brève description

Pour résoudre les problèmes liés à l'échec des requêtes de certificat CA privé, vérifiez les variables suivantes :

  • Le paramètre pathLenConstraint de la CA privée
  • Le statut de la CA privée
  • La famille d'algorithmes de signature de la CA privée
  • La période de validité du certificat demandé
  • Les autorisations AWS Identity and Access Management (IAM) manquantes
  • Le compte AWS
  • Les messages d'erreur d'exception AWS Private CA

Résolution

Le paramètre pathLenConstraint de la CA privée

Lorsque la longueur de chemin de la CA subordonnée est supérieure ou égale à la longueur de chemin de la CA privée émettrice, le message d'erreur suivant s'affiche :

« Path length check failed for CA »

Pour résoudre ce problème, créez un paramètre pathLenConstraint pour la CA subordonnée dont la longueur est inférieure à la longueur de chemin de la CA privée. Pour plus d'informations, consultez la section Planifier la structure d'une hiérarchie de CA.

Le statut de la CA privée

Si vous avez utilisé l'API IssueCertificate pour émettre un nouveau certificat de CA privée avec une CA privée expirée ou supprimée, le message d'erreur suivant s'affiche :

« An error occurred (InvalidStateException) when calling the IssueCertificate operation: The certificate authority is not in a valid state for issuing certificates »

Si la CA signataire est supprimée, vous pouvez toujours restaurer la CA privée dans le délai de restauration de 7 à 30 jours. Si la période de restauration est écoulée, la CA privée est définitivement supprimée et vous ne pouvez pas la restaurer.

Si la CA signataire a expiré, réémettez-la avec une nouvelle date d'expiration ou remplacez la CA expirée. Il est recommandé de remplacer une CA expirée par une nouvelle autorité de certification. Pour remplacer la CA expirée, créez une nouvelle CA, puis chaînez-la à la même CA parente. Pour plus d'informations, consultez la section Gérer la succession des CA.

La famille d'algorithmes de signature de la CA privée

La famille d'algorithmes de signature pour RSA ou ECDSA doit correspondre à la famille d'algorithmes de la clé privée de la CA. Pour plus d'informations, consultez la section Algorithmes cryptographiques pris en charge dans AWS Private CA.

La période de validité du certificat demandé

Les certificats d'entité finale privés qu'AWS Certificate Manager (ACM) émet et gère sont valides pendant 13 mois (395 jours). Lorsque la période de validité de la CA parente est inférieure à 13 mois, les requêtes de certificat d'entité finale privée émises depuis la console ACM échouent. Vous recevez le message d’erreur suivant :

« The signing certificate for the CA you specified in the request has expired. »

Remarque : ACM ne peut pas émettre de certificats signés par une CA privée en mode courte durée.

Si la période de validité du certificat de signature est inférieure à 13 mois, utilisez l'API IssueCertificate pour spécifier une période de validité personnalisée.

Lorsqu'AWS Private CA essaie d'émettre un certificat dont la période de validité est supérieure à celle de la CA parente, le message d'erreur suivant s'affiche :

« An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity »

Pour résoudre ce problème, faites en sorte que la période de validité du certificat d'entité finale ou du certificat de CA enfant soit inférieure ou égale à la période de validité de la CA parente.

Pour plus d'informations, consultez la section Mettre à jour une CA privée dans AWS Private CA.

Autorisations IAM

Pour effectuer des appels d'API IssueCertificate et RequestCertificate, accordez les autorisations requises à votre identité IAM qui demande des certificats CA privés. Dans le cas contraire, la requête échoue avec une erreur AccessDenied. Il est recommandé d'appliquer les autorisations de moindre privilège . Pour plus d'informations, consultez la section IAM pour AWS Private CA.

Compte AWS

Lorsqu'AWS Private CA essaie d'émettre un certificat CA à partir d'un autre compte, vous recevez un message d'erreur similaire au suivant :

« An error occurred (AccessDeniedException) when calling IssueCertificate because no resource-based policy allows the acm-pca:IssueCertificate action »

Pour résoudre ce problème, associez une stratégie basée sur les ressources au certificat CA. Vous pouvez également utiliser AWS Resource Access Manager (AWS RAM) pour partager une CA privée ACM avec un autre compte. Pour plus d'informations, consultez la section Comment puis-je partager ma CA privée ACM avec un autre compte AWS ?

Messages d'erreur d’exception AWS Private CA

AWS Private CA peut renvoyer des erreurs d'exception pour plusieurs raisons. Pour résoudre les erreurs d'exception d'AWS Private CA, consultez la section Résoudre les messages d'exception d'AWS Private CA.

Informations connexes

Comment puis-je créer une CRL pour ma CA privée AWS ?

Comment puis-je installer les CA racine et subordonnées d'AWS Private CA dans différents comptes ou régions AWS ?

Sujets
Security, Identity, & Compliance
Balises
AWS Private Certificate Authority
Langue
Français
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents