跳至内容
使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post
关于 re:Post

当 AWS 私有 CA 的有效期低于 13 个月时,我能否使用 ACM 颁发私有证书?

1 分钟阅读
0

我申请了 AWS Certificate Manager (ACM)私有证书,但收到了“失败”错误。或者,证书状态为“失败”

简短描述

您在 ACM 控制台中申请的私有证书的有效期为 13 个月。如果 AWS 私有证书颁发机构的有效期少于 13 个月,ACM 无法颁发私有证书。如果您使用 ACM 控制台申请私有证书,并且 CA 有效期少于 13 个月,则请求会失败。

要解决此错误,请使用 IssueCertificate API 申请有效期较短的私有证书。然后,将证书导入 ACM,以便您可以将该证书与集成服务一起使用。

解决方法

使用 IssueCertificate API 颁发有效期较短的新私有证书

**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,确保您使用的是最新版本的 AWS CLI

运行 issue-certificate AWS CLI 命令来颁发到期日小于 CA 有效期的私有证书:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

**注意:**您必须为私有证书生成自己的证书签名请求(CSR)和私钥。

从 AWS 私有 CA 获取私有证书正文和链,然后将其导入 ACM

  1. 运行 get-certificate 命令来获取私有证书的正文和链:

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

    使用 base64 编码的 PEM 格式证书和证书链的示例输出:

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

  2. 运行以下命令将证书正文和证书链另存为 .pem 文件:

    证书链:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    证书正文:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

  3. 要将私有证书与集成服务一起使用,请运行 import-certificate AWS CLI 命令来导入证书
    **注意:**将 certfile.pemprivately.keycertchain.pem 替换为你的文件名。

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
主题
Security, Identity, & Compliance
标签
AWS Certificate Manager
语言
中文 (简体)
AWS 官方已更新 2 年前
没有评论

相关内容