Pourquoi ne puis-je pas importer un certificat SSL/TLS public tiers dans AWS Certificate Manager (ACM) ?

Date de la dernière mise à jour : 09/07/2019

J'ai reçu un message d'erreur lorsque j'ai essayé d'importer un certificat SSL/TLS tiers dans AWS Certificate Manager (ACM). Pourquoi ne puis-je pas importer mon certificat dans ACM ?

Brève description

J'ai essayé d'importer un certificat SSL/TLS tiers dans ACM et j'ai reçu un message d'erreur similaire à l'un des exemples suivants :

  • Vous avez atteint le nombre maximal de certificats. Supprimez les certificats qui ne sont pas actuellement utilisés ou contactez AWS Support pour demander à augmenter leur nombre.
  • Le champ du certificat contient plus d'un certificat. Vous pouvez indiquer un seul certificat dans ce champ.
  • Impossible de valider la chaîne de certificats. La chaîne de certificats doit commencer par le certificat de signature immédiate, suivi des intermédiaires dans l'ordre. L'index dans la chaîne des certificats non valides est 0.
  • Impossible de valider le certificat avec la chaîne de certificats.
  • La longueur de clé privée <key_length> n'est pas prise en charge pour l'algorithme de clés.
  • « The certificate body/chain provided is not in a valid PEM format » (« Le corps ou la chaîne de certificats fournis ne sont pas dans un format PEM valide »), InternalFailure (Erreur interne) ou Unable to parse certificate (Impossible d'analyser le certificat). Assurez-vous que le certificat est dans un format PEM.
  • La clé privée n'est pas pris en charge.

Résolution

Suivez les instructions correspondant au message d'erreur.

Remarque : vous pouvez importer des certificats SSL/TLS tiers et intégrer des certificats avec les services AWS. Assurez-vous que votre certificat répond aux Conditions préalables à l'importation de certificats.

« You have reached the maximum number of certificates. Delete certificates that are not in use, or contact AWS Support to request an increase. » (« Vous avez atteint le nombre maximal de certificats. Supprimez les certificats qui ne sont pas actuellement utilisés ou contactez AWS Support pour demander à augmenter leur nombre. »)

Par défaut, vous pouvez importer jusqu'à 1 000 certificats dans ACM, mais les nouveaux comptes AWS peuvent commencer avec des limites inférieures. Si vous dépassez cette limite, contactez AWS Support pour demander à l'augmenter.

Si ce message d'erreur s'affiche et que votre compte possède moins de 1 000 certificats, cela signifie que vous avez peut-être dépassé la limite du nombre de certificats que vous pouvez importer en une année. Par défaut, vous pouvez importer deux fois la valeur de la limite de votre compte par an. Par exemple, si votre limite est de 100 certificats, vous pouvez importer jusqu'à 200 certificats par an. Cela inclut les certificats que vous avez importés et supprimés dans les 365 derniers jours. Si vous avez atteint votre limite, contactez AWS Support pour demander à l'augmenter. Pour plus d'informations, consultez la section Limites dans le Guide de l'utilisateur ACM.

« The certificate field contains more than one certificate. You can specify only one certificate in this field. » (« Le champ du certificat contient plus d'un certificat. Vous pouvez indiquer un seul certificat dans ce champ. »)

Si vous importez un certificat, ne chargez pas la chaîne de certificats complète pour le champ Certificate body (Corps du certificat). Si vous recevez un groupe de certificats, celui-ci peut contenir le certificat du serveur et la chaîne de certificats de l'autorité de certification. Séparez chaque fichier (le certificat, la chaîne de certificats avec les certificats racine et intermédiaires, ainsi que la clé privée) qui est créé lors de la génération de la demande de signature du certificat à partir du groupe, modifiez le format du fichier en PEM, puis chargez les fichiers individuellement sur ACM. Pour convertir un groupe de certificats au format PEM, consultez la section Résolution des problèmes.

« Unable to validate certificate chain. La chaîne de certificats doit commencer par le certificat de signature immédiate, suivi des intermédiaires dans l'ordre. The index within the chain of the invalid certificate is: 0 » (« Impossible de valider la chaîne de certificats. La chaîne de certificats doit commencer par le certificat de signature immédiate, suivi des intermédiaires dans l'ordre. L'index dans la chaîne du certificat non valide est 0. »)

Lors de l'importation d'un certificat dans ACM, n'incluez pas le certificat dans la chaîne de certificats. La chaîne de certificats doit contenir uniquement les certificats racine et intermédiaires. La chaîne de certificats doivent être présentée dans l'ordre, en commençant par les certificats intermédiaires, puis en terminant par le certificat racine.

« Could not validate the certificate with the certificate chain. » (« Impossible de valider le certificat avec la chaîne de certificats. »)

Si ACM ne parvient pas à faire correspondre le certificat à la chaîne de certificats fournie, vérifiez que la chaîne en question est associée à votre certificat. Vous devrez peut-être contacter votre fournisseur de certificats pour obtenir de l'aide.

« The private key length <key_length> is not supported for key algorithm. » (« La longueur de clé privée <key_length> n'est pas prise en charge pour l'algorithme de clés. »)

Lorsque vous créez un certificat X.509 ou une demande de certificat, vous spécifiez l'algorithme et la taille de bits de clés qui doivent être utilisés pour créer la paire de clés privée-publique. Assurez-vous que la clé de votre certificat répond aux Conditions préalables à l'importation de certificats. Si votre clé ne répondent aux exigences en matière de taille de clé ou d'algorithme, demandez à votre fournisseur de certificats de renouveler le certificat à l'aide d'un algorithme et d'une taille de clé pris en charge.

« The certificate body/chain provided is not in a valid PEM format » (« Le corps ou la chaîne de certificats fournis ne sont pas dans un format PEM valide »), « InternalFailure » (« Erreur interne ») ou « Unable to parse certificate. Please ensure the certificate is in PEM format. » (« Impossible d'analyser le certificat. Assurez-vous que le certificat est au format PEM. »)

Si le corps du certificat, la clé privée ou la chaîne de certificats ne sont pas dans un format PEM, vous devez convertir le fichier. Si le fichier du certificat ne contient pas le corps de certificat approprié, vous devez convertir le fichier. Pour convertir un certificat ou une chaîne de certificats et passer du format DER à PEM, consultez la section Résolution des problèmes.

« The private key is not supported. » (« La clé privée n'est pas prise en charge. »)

Si vous importez un certificat dans ACM à l'aide de l'interface de ligne de commande AWS (CLI AWS), vous transmettez le contenu de vos fichiers de certificat (corps du certificat, clé privée et chaîne de certificats) sous la forme d'une chaîne. Vous devez indiquer le certificat, la chaîne de certificats et la clé privée par leurs noms de fichier précédés par file://. Pour plus d'informations, consultez import-certificate.

Remarque : assurez-vous d'utiliser le chemin d'accès file://key.pem pour votre clé et file://certificate.pem pour votre certificat. Si vous n'incluez pas le chemin d'accès, vous pourriez recevoir les messages d'erreur suivants : « The private key is not supported » (« La clé privée n'est pas prise en charge. ») ou « The certificate is not valid » (« Le certificat n'est pas valide »).