Comment résoudre les erreurs lors de l'émission d'un nouveau certificat ACM-PCA ?

Dernière mise à jour: 2022-07-07

J'ai essayé de demander un nouveau certificat d'entité finale privée ou une autorité de certification subordonnée pour AWS Certificate Manager (ACM) et la demande a échoué.

Brève description

Pour résoudre les échecs des demandes de certificat privé, vérifiez les éléments suivants :

  • Le paramètre PathLenConstraint de l'autorité de certification émettrice.
  • Statut de l'autorité de certification émettrice.
  • Famille d'algorithmes de signature de l'autorité de certification émettrice.
  • La période de validité du certificat demandé.
  • Autorisations AWS Identity and Access Management (IAM).

Solution

Le paramètre « PathLenConstraint » de l'autorité de certification émettrice

La création d'une autorité de certification dont la longueur de chemin est supérieure ou égale à celle de son certificat d'autorité de certification émetteur renvoie une erreur ValidationException. Assurez-vous que la PathLenConstraint pour émettre une autorité de certification subordonnée ACM est inférieure à la longueur du chemin de l'autorité de certification émettrice.

Le statut de l'autorité de certification émettrice

L'émission d'un nouveau certificat PCA à l'aide de l'API IssueCertificate avec une autorité de certification a expiré (qui n'a pas le statut Actif) renvoie un code d'erreur InvalidStateException.

Si l'autorité de certification signataire a expiré, assurez-vous de la renouveler avant d'émettre de nouveaux certificats d'autorité de certification subordonnée ou des certificats privés ACM.

Famille d'algorithmes de signature de l'autorité de certification émettrice

AWS Management Console ne prend pas en charge l'émission de certificats ECDSA privés, de sorte que l'autorité de certification émettrice n'est pas disponible. Cela se produit même si une autorité de certification subordonnée privée ECDSA a déjà été créée. Vous pouvez utiliser l'appel d'API IssueCertificate et spécifier la variante ECDSA avec l'indicateur —signing-algorithm.

La période de validité du certificat demandé

Les certificats émis et gérés par ACM (les certificats pour lesquels ACM génère la clé privée) ont une période de validité de 13 mois (395 jours).

Pour ACM Private CA, vous pouvez utiliser l'API IssueCertificate pour appliquer n'importe quelle période de validité. Toutefois, si vous spécifiez une période de validité du certificat plus longue que celle de l'autorité de certification émettrice, l'émission du certificat échoue.

Il est recommandé de définir la période de validité du certificat de l'autorité de certification sur une valeur deux à cinq fois supérieure à celle des certificats enfant ou d'entité finale. Pour plus d'informations, consultez la section Choix des périodes de validité.

Autorisations IAM

Les certificats privés émis avec des identités IAM doivent disposer des autorisations requises, sinon la demande échoue avec une erreur « AccessDenied ». Il est recommandé d'accorder à vos identités IAM l'autorisation d'émettre des certificats privés tout en respectant le principe du moindre privilège.

Pour plus d'informations, consultez Identity and Access Management for AWS Certificate Manager Private Certificate Authority.