Comment charger et importer un certificat SSL vers AWS Identity and Access Management (IAM) ?

Date de la dernière mise à jour : 12/08/2020

Comment charger et importer un certificat SSL vers AWS Identity and Access Management (IAM) ?

Brève description

Il est conseillé de charger les certificats SSL vers AWS Certificate Manager (ACM). Si vous utilisez des algorithmes et des tailles de clés qui ne sont pas actuellement pris en charge par ACM ou les ressources AWS associées, vous pouvez également charger un certificat SSL vers IAM en utilisant l’interface de ligne de commande AWS (CLI AWS).

Pour pouvoir importer un certificat SSL vers IAM :

  • Le certificat doit être valide au moment de son chargement. Vous ne pouvez pas charger un certificat avant le début de sa période de validité ou après son expiration.
  • Le certificat, la clé privée et la chaîne de certificats doivent être codés PEM. Pour plus d'informations, consultez Exemple de chaîne de certificats codées PEM dans Utilisation des certificats de serveur.

Après avoir vérifié que le certificat répond à ces critères, veillez à ce que la chaîne de certificats soit dans le bon ordre, puis chargez le certificat.

Solution

Vérifier que la chaîne de certificats est dans l’ordre correct

La chaîne de certificats doit commencer par le certificat généré par votre autorité de certification (CA) et se terminer par le certificat racine de cette dernière.

Remarque : si l'ordre de la chaîne de certificats n'est pas correct, vous pouvez recevoir le message d'erreur « An error occurred (MalformedCertificate) when calling the UploadServerCertificate operation: Unable to validate certificate chain (Une erreur s'est produite (MalformedCertificate) lors de l'appel de l'opération UploadServerCertificate : Impossible de valider la chaîne de certificats). The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1). » (Une erreur s'est produite (MalformedCertificate) lors de l'appel de l'opération UploadServerCertificate : Impossible de valider la chaîne de certificats. La chaîne de certificats doit commencer par le certificat de signature immédiat, suivi des intermédiaires dans l'ordre. L’indice dans la chaîne de certificats non valide est -1).

La chaîne de certificats codée PEM doit commencer par « -----BEGIN CERTIFICATE----- » et se terminer par « -----END CERTIFICATE----- », comme suit :  

-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Optional: Base64-encoded Root certificate
-----END CERTIFICATE-----

Remarque : vérifiez que le certificat ne contient pas d'espaces de début ou de fin.

Charger le certificat

Chargez le certificat en exécutant la commande suivante :

$ aws iam upload-server-certificate --server-certificate-name ExampleCertificate --certificate-body file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

Remarque : remplacez les noms de fichier et ExampleCertificate par les noms de vos fichiers chargés et votre certificat. Pour plus d'informations, consultez la section Charge un certificat serveur.

Une fois le certificat chargé, la commande renvoie des métadonnées sur ce dernier, notamment son nom ARN (Amazon Resource Name), son nom convivial, son identificateur (ID) et sa date d'expiration. Vous pouvez afficher le certificat chargé en exécutant la commande suivante :

aws iam list-server-certificates

Remarque : si vous chargez un certificat serveur à utiliser avec Amazon CloudFront, vous devez spécifier un chemin d'accès en utilisant - path. Le chemin doit commencer par /cloudfront et contenir une barre oblique de fin, par exemple, /cloudfront/test/. Pour plus d’informations, consultez Comment résoudre les problèmes liés à l’utilisation d’un certificat SSL personnalisé pour ma distribution CloudFront ?


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?