¿Cómo soluciono los errores al emitir un nuevo certificado ACM-PCA?

Última actualización: 07-07-2022

He intentado solicitar un nuevo certificado de entidad final privada o una CA subordinada para AWS Certificate Manager (ACM) y la solicitud ha fallado.

Descripción breve

Para solucionar problemas de solicitudes de certificados privados con errores, compruebe lo siguiente:

  • El parámetro pathLenConstraint de la entidad emisora de certificados.
  • El estado de la autoridad de certificación emisora.
  • La familia de algoritmos de la firma de la entidad emisora de certificados.
  • El período de validez del certificado solicitado.
  • Los permisos de AWS Identity and Access Management (IAM).

Resolución

El parámetro “pathLenConstraint” de la entidad emisora de certificados

La creación de una CA con una longitud de ruta mayor o igual a la longitud de ruta de su certificado de CA emisor devuelve un error de ValidationException. Asegúrese de que el valor de pathLenConstraint para emitir una CA subordinada de ACM sea inferior a la longitud de la ruta de la CA emisora.

El estado de la autoridad de certificación emisora

La emisión de un nuevo certificado de PCA mediante la API IssueCertificate con una CA caducada (que no está en estado Activo) devuelve un código de error InvalidStateException.

Si la CA firmante ha caducado, asegúrese de renovarla antes de emitir nuevos certificados de CA subordinada o certificados privados de ACM.

La familia de algoritmos de firma de la entidad emisora de certificados

La consola de administración de AWS no admite la emisión de certificados ECDSA privados, por lo que la CA emisora no está disponible. Esto ocurre incluso si ya se ha creado una autoridad de certificación subordinada privada ECDSA. Puede usar la llamada a la API IssueCertificate y especificar la variante de ECDSA con la marca --signing-algorithm.

El período de validez del certificado solicitado

Los certificados emitidos y gestionados por ACM (aquellos certificados para los que ACM genera la clave privada) tienen un período de validez de 13 meses (395 días).

Para ACM Private CA, puede usar la API IssueCertificate para aplicar cualquier período de validez. Sin embargo, si especifica un período de validez del certificado más largo que el de la entidad emisora de certificados, la emisión del certificado no se realizará correctamente.

Se recomienda establecer el período de validez del certificado de CA en un valor que sea de dos a cinco veces mayor que el período de los certificados secundarios o de entidad final. Para obtener más información, consulte Choosing validity periods (Elegir períodos de validez).

Permisos de IAM

Los certificados privados emitidos con identidades de IAM deben tener los permisos necesarios o, de lo contrario, se producirá un error de “AccessDenied”. Se recomienda conceder a sus identidades de IAM permiso para emitir certificados privados respetando el principio deconcesión de privilegios mínimos.

Para obtener más información, consulte Identity and Access Management for AWS Certificate Manager Private Certificate Authority (Administración de acceso e identidad para la autoridad de certificación privada de AWS Certificate Manager).


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?