Pourquoi ne puis-je pas importer un certificat SSL/TLS public tiers dans AWS Certificate Manager (ACM) ?

Date de la dernière mise à jour : 17/08/2021

J'ai reçu un message d'erreur lorsque j'ai essayé d'importer un certificat SSL/TLS tiers dans AWS Certificate Manager (ACM). Pourquoi ne puis-je pas importer mon certificat dans ACM ?

Brève description

J'ai essayé d'importer un certificat SSL/TLS tiers dans ACM et j'ai reçu un message d'erreur similaire à l'un des exemples suivants :

  • Vous avez atteint le nombre maximal de certificats. Supprimez les certificats qui ne sont pas actuellement utilisés ou contactez AWS Support pour demander à augmenter leur nombre.
  • Le champ du certificat contient plus d'un certificat. Vous pouvez indiquer un seul certificat dans ce champ.
  • Impossible de valider la chaîne de certificats. La chaîne de certificats doit commencer par le certificat de signature immédiat, suivi des intermédiaires éventuels, dans cet ordre. L'index dans la chaîne des certificats non valides est 0.
  • Impossible de valider le certificat avec la chaîne de certificats.
  • La longueur de clé privée n'est pas prise en charge pour l'algorithme de clés.
  • Le corps ou la chaîne de certificats fourni n'est pas dans un format PEM valide, Erreur interne ou Impossible d'analyser le certificat. Assurez-vous que le certificat est dans un format PEM.
  • La clé privée n'est pas prise en charge.
  • Le certificat qui n'est pas un certificat auto-signé valide.

Solution

Suivez les instructions correspondant au message d'erreur.

Remarque :

« You have reached the maximum number of certificates. Delete certificates that are not in use, or contact AWS Support to request an increase. » (« Vous avez atteint le nombre maximal de certificats. Supprimez les certificats qui ne sont pas actuellement utilisés ou contactez AWS Support pour demander à augmenter leur nombre. »)

Par défaut, vous pouvez importer jusqu'à 1 000 certificats dans ACM, mais les nouveaux comptes AWS peuvent commencer avec des limites inférieures. Si vous dépassez cette limite, demandez une augmentation du quota d'ACM.

Si vous recevez ce message d’erreur sans avoir dépassé 1 000 certificats dans votre compte, vous avez peut-être dépassé la limite de certificats que vous pouvez importer en un an. Par défaut, vous pouvez importer deux fois la valeur de la limite de votre compte par an. Par exemple, si votre limite est de 100 certificats, vous pouvez importer jusqu'à 200 certificats par an. Cela inclut les certificats que vous avez importés et supprimés dans les 365 derniers jours. Si vous avez atteint votre limite, contactez AWS Support pour demander à l'augmenter. Pour plus d'informations, consultez la section Quotas du Manuel de l'utilisateur ACM.

« The certificate field contains more than one certificate. You can specify only one certificate in this field. » (« Le champ du certificat contient plusieurs certificats. Vous pouvez indiquer un seul certificat dans ce champ. »)

Si vous essayez d'importer un certificat, ne téléchargez pas la totalité de la chaîne de certificats pour le champ Corps du certificat. Si vous recevez un groupe de fichiers de certificats, il peut contenir un certificat de serveur et la chaîne de certificats de l’autorité de certification (AC). Séparez chaque fichier (le certificat, la chaîne de certificats avec les certificats racine et intermédiaires, ainsi que la clé privée) qui est créé lors de la génération de la demande de signature du certificat à partir du groupe, modifiez le format du fichier en PEM, puis chargez les fichiers individuellement sur ACM. Pour convertir un groupe de certificats au format PEM, consultez la section Troubleshooting.

« Unable to validate certificate chain. La chaîne de certificats doit commencer par le certificat de signature immédiate, suivi des intermédiaires dans l'ordre. L'index dans la chaîne du certificat non valide est : 0"

Lors de l'importation d'un certificat dans ACM, n'incluez pas le certificat dans la chaîne de certificats. La chaîne de certificats doit contenir uniquement les certificats racine et intermédiaires. La chaîne de certificats doit être dans l'ordre, en commençant par les certificats intermédiaires, pour finir par le certificat racine.

« Could not validate the certificate with the certificate chain. » (« Impossible de valider le certificat avec la chaîne de certificats. »)

Si ACM ne peut pas faire correspondre le certificat et la chaîne de certificats fournie, vérifiez que la chaîne de certificats est associée à votre certificat. Il peut être nécessaire de contacter votre fournisseur de certificats pour obtenir son aide.

« La longueur de clé privée <longueur_clé> n’est pas prise en charge pour l’algorithme de clé. »

Lorsque vous créez une demande de certificat ou un certificat X.509, vous spécifiez l'algorithme et la taille de clé en bits utilisés pour la paire de clés privées/publiques. Assurez-vous que votre clé de certificat répond aux Conditions préalables à l'importation de certificats. Si votre clé ne répond pas aux exigences de taille ou d'algorithme, demandez à votre fournisseur de certificat d'émettre le certificat à nouveau, avec une taille et un algorithme de clé pris en charge.

« The certificate body/chain provided is not in a valid PEM format » (« Le corps ou la chaîne de certificats fourni n'est pas dans un format PEM valide »), « InternalFailure » (« Erreur interne ») ou « Unable to parse certificate. Please ensure the certificate is in PEM format. » (« Impossible d'analyser le certificat. Assurez-vous que le certificat est au format PEM. »)

Si le corps du certificat, la clé privée ou la chaîne de certificats ne sont pas dans un format PEM, vous devez convertir le fichier. Si le fichier de certificat ne comprend pas le corps de certificat adéquat, vous devez convertir le fichier. Pour convertir un certificat ou une chaîne de certificats du format DER à PEM, consultez Dépannage.

« The private key is not supported. » (« La clé privée n'est pas prise en charge. »)

Si vous importez un certificat dans ACM à l'aide de la CLI AWS, vous transmettez le contenu de vos fichiers de certificat (corps du certificat, clé privée et chaîne de certificats) sous la forme d'une chaîne. Vous devez indiquer le certificat, la chaîne de certificats et la clé privée par leurs noms de fichier précédés par file://. Pour plus d’informations, consultez import-certificate.

Remarque : assurez-vous d'utiliser le chemin d'accès file://key.pem pour votre clé et file://certificate.pem pour votre certificat. Si vous n'incluez pas le chemin d'accès, vous pouvez recevoir les messages d'erreur suivants : « The private key is not supported » (« La clé privée n'est pas prise en charge. ») ou « The certificate is not valid » (« Le certificat n'est pas valide »).

« Provided certificate is not a valid self signed. Please provide either a valid self-signed certificate or certificate chain. » (« Le certificat fourni n'est pas un certificat auto-signé valide. Veuillez fournir un certificat auto-signé ou une chaîne de certificats valide. »)

Le certificat que vous avez essayé d'importer n'est pas un certificat auto-signé. Pour les certificats auto-signés, vous devez inclure la chaîne de certificats. Assurez-vous que la chaîne de certificats est associée au certificat. Il peut être nécessaire de contacter votre fournisseur de certificats pour obtenir son aide.