Come posso utilizzare la console ACM per richiedere un certificato privato quando la validità della CA privata AWS è inferiore a 13 mesi?

3 minuti di lettura
0

Ho richiesto un certificato privato di Gestione certificati AWS (ACM), ma ho ricevuto l'errore "Non riuscito", oppure lo stato del certificato è "Non riuscito".

Breve descrizione

Puoi usare la console ACM per emettere e gestire certificati con un periodo di validità di 395 giorni esatti (13 mesi). Se usi la console ACM per richiedere un certificato con un periodo che non è esattamente di 395 giorni, riceverai l'errore "Non riuscito".

Per risolvere l'errore, usa l'API IssueCertificate, una funzionalità dell'Autorità privata per la gestione del certificato AWS, per richiedere un certificato privato con un periodo di validità più breve. Quindi importa il certificato in ACM per l'uso con i servizi integrati.

**Nota:**i certificati non sono visibili nella console ACM se hai usato l'API IssueCertificate per richiedere un certificato.

Soluzione

Usa l'API IssueCertificate per emettere un nuovo certificato privato con un periodo di validità inferiore al periodo di validità della CA

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Utilizza il comando issue-certificate per emettere un certificato privato con una data di scadenza inferiore al periodo di validità della CA:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Nota: devi generare la tua CSR e la tua chiave privata per il certificato privato.

Richiedi il corpo e la catena del certificato privato dalla CA privata AWS, quindi importali in ACM

  1. Usa il comando get-certificate per ottenere il corpo e la catena del certificato privato:

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012/\
    certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

    Il comando get-certificate mostra il certificato in formato PEM con codifica base64 e la catena del certificato:

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
  2. Usa i comandi seguenti per salvare il corpo e la catena del certificato come file .pem:

    Catena del certificato:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    Corpo del certificato:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
  3. Usa il comando import-certificate per importare il certificato in ACM:

    Nota: sostituisci certfile.pem, privately.key e certchain.pem con i nomi dei tuoi file.

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

Il certificato importato nome della risorsa Amazon (ARN) viene restituito correttamente.

Informazioni correlate

Come posso risolvere gli errori di emissione di un nuovo certificato ACM-PCA?

Perché non posso importare un certificato SSL/TLS pubblico di terze parti in ACM?

Emissione di certificati privati di entità finali