J'utilise les e-mails pour valider la propriété du domaine, et j'ai des certificats AWS Certificate Manager (ACM) qui utilisent des caractères génériques et des sous-domaines. Comment le renouvellement géré par ACM fonctionne-t-il avec les certificats qui utilisent des caractères génériques et des sous-domaines ?

Si les certificats génériques émis par ACM doivent être renouvelés et sont associés aux services intégrés avec AWS Certificate Manager, ACM tente de renouveler automatiquement les certificats. Pour illustrer le processus de renouvellement des certificats émis par ACM qui sont associés à plus d'une ressource AWS, considérez les scénarios suivants. Ces scénarios supposent que :

  • Vos domaines sont déployés sur deux équilibreurs de charge Elastic (ELB, Elastic Load Balancing) : équilibreur de charge A et équilibreur de charge B
  • Vous avez configuré le basculement actif-passif de Route53 entre les deux équilibreurs de charge.
  • Vous avez configuré l'équilibreur de charge A comme ressource primaire et l'équilibreur de charge B comme ressource secondaire, lequel est en veille au cas où la ressource primaire deviendrait indisponible.
  • Vous avez associé les certificats ACM (Certificat 1 et Certificat 2) à chaque équilibreur de charge, et les certificats sont à 60 jours de l'expiration.

Note : Ces scénarios ne s'appliquent pas si vous utilisez les DNS pour valider la propriété du domaine.

Scénario un

  • Le domaine test.example.com est déployé sur les deux équilibreurs de charge : - équilibreur de charge A : test.example.com - équilibreur de charge B : test.example.com
  • Le nom de domaine sur le Certificat 1 est test.example.com, et le certificat est associé à l'équilibreur de charge A
  • Le nom de domaine sur le Certificat 2 est test.example.com, et le certificat est associé à l'équilibreur de charge B

Avant que le certificat ACM n'expire, ACM essaie de valider le nom de domaine dans chaque certificat. Pour valider le domaine test.example.com, ACM envoie des requêtes HTTPS périodiques à www.test.example.com et test.example.com. Pour plus d’informations, consultez Comment fonctionne la validation automatique de domaine. Si ACM établit avec succès une connexion HTTPS avec l'un ou l'autre domaine, et si le certificat 1 est renvoyé dans la réponse, alors le domaine test.example.com est validé. Le domaine test.example.com est validé et le certificat est renouvelé. Le certificat 1 est toujours renvoyé en réponse aux demandes HTTPS d'ACM pour valider le domaine, car l'équilibreur de charge A est actif et, par conséquent, la validation automatique du certificat 2 échoue. Le 45e jour à compter de l'expiration du certificat 2, ACM essaie de valider le certificat 2 en envoyant :

Scénario deux

  • Le domaine www.example.com est déployé sur deux équilibreurs de charge : - équilibreur de charge A : www.example.com - équilibreur de charge B : www.example.com
  • Le nom de domaine sur le Certificat 1 est www.example.com, et le certificat est associé à l'équilibreur de charge A.
  • Le nom de domaine sur le Certificat 2 est *.example.com, et le certificat est associé à l'équilibreur de charge B.

Bien que les noms de domaine sur chacun des certificats soient différents, les demandes de connexion HTTPS périodiques sont envoyées à www.example.com et example.com. Si une demande de connexion HTTPS est acceptée, le domaine est validé. ACM renouvelle le Certificat 1 qui est associé à l'équilibreur de charge A : www.example.com. Le renouvellement du certificat 2 échoue et le certificat 2 doit être renouvelé manuellement. Pour plus d'informations, consultez Quand la validation automatique échoue.

Scénario trois

  • Le domaine test.example.com est déployé sur deux équilibreurs de charge : équilibreur de charge A : test.example.com, et équilibreur de charge B : test.example.com.
  • Le nom de domaine sur le Certificat 1 est *.example.com, et le certificat est associé à l'équilibreur de charge A.
  • Le nom de domaine sur le Certificat 2 est *.example.com, et le certificat est associé à l'équilibreur de charge B.

ACM envoie des requêtes HTTPS périodiques à example.com et www.example.com, ce qui est différent du domaine hébergé derrière ces équilibreurs de charge (Load balancer A : test.example.com et Load balancer B : test.example.com). La validation automatique du domaine échoue et les deux certificats ne sont pas renouvelés. Les deux domaines doivent être validés manuellement pour renouveler les certificats. Pour plus d'informations, consultez Quand la validation automatique échoue.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 17/05/2018