AWS Certificate Manager (ACM) の新しいプライベートエンドエンティティ証明書または下位 CA をリクエストしようとしましたが、リクエストが失敗しました。
簡単な説明
失敗したプライベート証明書リクエストをトラブルシューティングするには、次を確認してください。
- 発行元の証明機関の pathLenConstraint パラメータ。
- 発行元の証明機関のステータス。
- 発行元の認証機関の署名アルゴリズムファミリー。
- リクエストされた証明書の有効期間。
- AWS Identity and Access Management (IAM) 許可。
解決方法
発行元の認証機関の「pathLenConstraint」パラメータ
発行元の CA 証明書のパス長以上のパス長で CA を作成すると、ValidationException エラーが返されます。ACM 下位 CA を発行するための pathLenConstraint が、発行元 CA のパス長よりも短いことを確認してください。
発行元の認証機関のステータス
失効した CA (ステータスがアクティブでない) で IssueCertificate API を使用して新しい PCA 証明書を発行すると、InvalidStateException エラーコードが返されます。
署名 CA が失効している場合は、新しい下位 CA 証明書または ACM プライベート証明書を発行する前に、まずそれを更新してください。
発行元の認証機関の署名アルゴリズムファミリー
AWS マネジメントコンソールはプライベート ECDSA 証明書の発行をサポートしていないため、発行元の CA は使用できません。これは、ECDSA プライベート下位認証機関が既に作成されている場合でも発生します。IssueCertificate API コールで、--signing-algorithm フラグを使用して ECDSA バリアントを指定できます。
リクエストされた証明書の有効期間
ACM によって発行および管理される証明書 (ACM がプライベートキーを生成する証明書) の有効期間は 13 か月間 (395 日間) です。
ACM プライベート CA では、IssueCertificate API を使用して任意の有効期間を適用できます。ただし、発行元の認証機関よりも長い証明書の有効期間を指定すると、証明書の発行は失敗します。
CA 証明書の有効期間は、子証明書またはエンドエンティティ証明書の 2~5 倍の値に設定するのがベストプラクティスです。詳細については、「Choosing validity periods」(有効期間の選択) を参照してください。
IAM 許可
IAM アイデンティティで発行されたプライベート証明書には、必須の許可が必要です。これがない場合、リクエストは「AccessDenied」エラーで失敗します。最小特権の付与の原則に従いながら、プライベート証明書を発行するための許可を IAM アイデンティティに付与するのがベストプラクティスです。
詳細については、「Identity and Access Management for AWS Certificate Manager Private Certificate Authority」(AWS Certificate Manager プライベート認証機関のアイデンティティとアクセス管理) を参照してください。