Wie kann ich über die ACM-Konsole ein privates Zertifikat anfordern, wenn die ACM-PCA-Gültigkeitsdauer weniger als 13 Monate beträgt?

Kurzbeschreibung

Private Zertifikate, die mit der ACM-Konsole angefordert werden, sind 13 Monate gültig. Private ACM-CAs können kein privates Zertifikat ausstellen, wenn die Gültigkeit die Gültigkeitsdauer der CA überschreitet. Wenn die Gültigkeitsdauer der CA weniger als 13 Monate beträgt, erhalten Sie bei der Anforderung eines privaten Zertifikats mit der ACM-Konsole die Fehlermeldung „Failed“.

Um diesen Fehler zu beheben, fordern Sie mithilfe der IssueCertificate-API ein privates Zertifikat mit einer kürzeren Gültigkeitsdauer an. Importieren Sie dann das Zertifikat in ACM, um es mit integrierten Services zu verwenden.

Behebung

Verwenden der IssueCertificate-API, um ein neues privates Zertifikat auszustellen, dessen Gültigkeitsdauer kürzer als die Gültigkeitsdauer der CA ist

Hinweis: Wenn beim Ausführen von Befehlen in AWS Command Line Interface (AWS CLI) Fehler auftreten, stellen Sie sicher, dass Sie die neueste Version von AWS CLI verwenden.

Verwenden Sie den Befehl issue-certificate, um ein privates Zertifikat auszustellen, dessen Ablaufdatum früher erreicht wird als die Gültigkeit der CA abläuft:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

**Hinweis:**Sie müssen für das private Zertifikat Ihre eigene CSR und Ihren eigenen privaten Schlüssel generieren.

Erhalten von Zertifikatstext und Zertifikatskette für das private Zertifikat von ACM PCA und Import beider in ACM

1.Verwenden Sie den Befehl get-certificate, um den Text und die Kette des privaten Zertifikats abzurufen:

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

Der Befehl get-certificate gibt das base64-codierte Zertifikat im PEM-Format und die Zertifikatskette aus:

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

2.Speichern Sie Zertifikatstext und -kette anhand der folgenden Befehle als .pem-Dateien:

Zertifikatskette:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

Zertifikatstext:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.Um das private Zertifikat mit integrierten Services zu verwenden, folgen Sie den Anweisungen zum Importieren eines Zertifikats mit dem Befehl import-certificate:

**Hinweis:**Ersetzen Sie certfile.pem, privately.key und certchain.pem durch Ihre Dateinamen.

aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem