Comment fonctionne le processus de renouvellement géré ACM avec les certificats validés par e-mail qui utilisent des caractères génériques et des sous-domaines ?

Date de la dernière mise à jour : 08/07/2019

J'utilise les e-mails pour valider la propriété du domaine et je dispose de certificats AWS Certificate Manager (ACM) qui utilisent des caractères génériques et des sous-domaines. Comment le renouvellement géré par ACM fonctionne-t-il avec les certificats qui utilisent des caractères génériques et des sous-domaines ?

Brève description

Si les certificats génériques émis par ACM doivent être renouvelés et sont associés aux services intégrés avec AWS Certificate Managerer, ACM tente de renouveler automatiquement les certificats. Pour illustrer le processus de renouvellement des certificats émis par ACM qui sont associés à plusieurs ressources AWS, tenez compte des scénarios suivants.

Ces scénarios supposent que :

  • Les domaines sont déployés sur deux équilibreurs de charge Elastic Load Balancing (ELB) : équilibreur de charge A et équilibreur de charge B.
  • Vous avez configuré le basculement actif-passif d'Amazon Route 53 entre les deux équilibreurs de charge.
  • Vous avez configuré l'équilibreur de charge A comme ressource primaire et l'équilibreur de charge B comme ressource secondaire, lequel est en veille au cas où la ressource primaire deviendrait indisponible.
  • Vous avez associé les certificats ACM (certificat 1 et certificat 2) à chaque équilibreur de charge, et les certificats sont à 60 jours de l'expiration.

Remarque : ces scénarios ne s'appliquent pas si vous utilisez DNS pour valider la propriété du domaine.  

Résolution

Scénario 1

  • Le domaine test.exemple.com est déployé sur les deux équilibreurs de charge : équilibreur de charge A : test.exemple.com - équilibreur de charge B : test.exemple.com.
  • Le nom de domaine dans le certificat 1 est test.exemple.com, et le certificat est associé à l'équilibreur de charge A.
  • Le nom de domaine dans le certificat 2 est test.exemple.com, et le certificat est associé à l'équilibreur de charge B.

Avant que le certificat ACM n'expire, ACM essaie de valider le nom de domaine dans chaque certificat. Pour valider le domaine test.exemple.com, ACM envoie régulièrement des demandes HTTPS à www.test.exemple.com et test.exemple.com. Pour plus d'informations, consultez la section Présentation de la validation automatique de domaine. Si ACM établit avec succès une connexion HTTPS et que le certificat 1 est renvoyé dans la réponse, le domaine test.exemple.com est validé. Le domaine test.exemple.com est validé et le certificat est renouvelé. Le certificat 1 est renvoyé en réponse aux demandes HTTPS d'ACM pour valider le domaine, car l'équilibreur de charge A est actif. La validation automatique pour le certificat 2 échoue. Le 45e jour à compter de l'expiration du certificat 2, ACM essaie de valider le certificat 2 en envoyant ce qui suit :

Scénario 2

  • Le domaine www.exemple.com est déployé sur deux équilibreurs de charge : équilibreur de charge A : www.exemple.com, équilibreur de charge B : www.exemple.com.
  • Le nom de domaine dans le certificat 1 est www.exemple.com, et le certificat est associé à l'équilibreur de charge A.
  • Le nom de domaine dans le certificat 2 est *.exemple.com, et le certificat est associé à l'équilibreur de charge B.

Bien que les noms de domaine dans chaque certificat soient différents, les demandes de connexion régulières HTTPS sont envoyées à www.exemple.com et exemple.com. Si une demande de connexion HTTPS est acceptée, le domaine est validé. ACM renouvelle le certificat 1 associé à l'équilibreur de charge A : www.exemple.com. Le renouvellement du certificat 2 échoue, et ce dernier doit être renouvelé manuellement. Pour plus d'informations, consultez la section Quand le renouvellement automatique de certificat échoue.

Scénario 3

  • Le domaine test.exemple.com est déployé sur deux équilibreurs de charge : équilibreur de charge A : test.exemple.com, et équilibreur de charge B : test.exemple.com.
  • Le nom de domaine dans le certificat 1 est *.exemple.com, et le certificat est associé à l'équilibreur de charge A.
  • Le nom de domaine dans le certificat 2 est *.exemple.com, et le certificat est associé à l'équilibreur de charge B.

ACM envoie régulièrement des demandes HTTPS à exemple.com et www.exemple.com, ce qui est différent du domaine hébergé derrière ces équilibreurs de charge (équilibreur de charge A : test.exemple.com et équilibreur de charge B : test.exemple.com). La validation automatique du domaine échoue, et les deux certificats ne sont pas renouvelés. Les deux domaines doivent être validés manuellement pour renouveler les certificats.