Come posso utilizzare la console ACM per richiedere un certificato privato quando la validità della CA privata AWS è inferiore a 13 mesi?
Ho richiesto un certificato privato di Gestione certificati AWS (ACM), ma ho ricevuto l'errore "Non riuscito", oppure lo stato del certificato è "Non riuscito".
Breve descrizione
Puoi usare la console ACM per emettere e gestire certificati con un periodo di validità di 395 giorni esatti (13 mesi). Se usi la console ACM per richiedere un certificato con un periodo che non è esattamente di 395 giorni, riceverai l'errore "Non riuscito".
Per risolvere l'errore, usa l'API IssueCertificate, una funzionalità dell'Autorità privata per la gestione del certificato AWS, per richiedere un certificato privato con un periodo di validità più breve. Quindi importa il certificato in ACM per l'uso con i servizi integrati.
**Nota:**i certificati non sono visibili nella console ACM se hai usato l'API IssueCertificate per richiedere un certificato.
Soluzione
Usa l'API IssueCertificate per emettere un nuovo certificato privato con un periodo di validità inferiore al periodo di validità della CA
Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Utilizza il comando issue-certificate per emettere un certificato privato con una data di scadenza inferiore al periodo di validità della CA:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
Nota: devi generare la tua CSR e la tua chiave privata per il certificato privato.
Richiedi il corpo e la catena del certificato privato dalla CA privata AWS, quindi importali in ACM
-
Usa il comando get-certificate per ottenere il corpo e la catena del certificato privato:
aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output text
Il comando get-certificate mostra il certificato in formato PEM con codifica base64 e la catena del certificato:
-----BEGIN CERTIFICATE-----...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE----
-
Usa i comandi seguenti per salvare il corpo e la catena del certificato come file .pem:
Catena del certificato:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
Corpo del certificato:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
-
Usa il comando import-certificate per importare il certificato in ACM:
Nota: sostituisci certfile.pem, privately.key e certchain.pem con i nomi dei tuoi file.
aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
Il certificato importato nome della risorsa Amazon (ARN) viene restituito correttamente.
Informazioni correlate
Come posso risolvere gli errori di emissione di un nuovo certificato ACM-PCA?
Perché non posso importare un certificato SSL/TLS pubblico di terze parti in ACM?
Video correlati
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa