Comment demander un certificat privé à l'aide de la console ACM lorsque la période de validité ACM-PCA est inférieure à 13 mois ?

Date de la dernière mise à jour : 31/10/2019

J'ai demandé un certificat privé AWS Certificate Manager (ACM) et reçu une erreur « Failed » (Échec) ou le statut du certificat est « Failed ». Comment résoudre cette erreur ?

Brève description

Les certificats ACM sont valides pour une durée de 13 mois. Les autorités de certification privées d'ACM ne peuvent pas émettre de certificat privé si la validité spécifiée dépasse la période de validité de l'autorité de certification.

Solution

Émettez un nouveau certificat privé à partir d'une autorité de certification privée d'ACM avec une date d'expiration supérieure à 13 mois. Ensuite, récupérez le corps et la chaîne du certificat privé, puis importez-le dans ACM.

Important : avant de commencer, il est impératif que l'interface de ligne de commande AWS (CLI AWS) soit installée et configurée.

1.    Utilisez la commande issue-certificate pour émettre un certificat privé à partir d'une autorité de certification avec une date d'expiration supérieure à 13 mois similaire à ce qui suit :

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234

Dans cet exemple, 365 jours sont utilisés, car la validité de l'autorité de certification racine doit être d'au moins un an. Utilisez la même période de validité que votre autorité de certification racine.

2.    Utilisez la commande get-certificate pour récupérer le corps et la chaîne du certificat privé similaires à ce qui suit :

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

La commande get-certificate génère le certificat au format PEM codé en base64 et la chaîne de certificats similaires à ce qui suit :

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

Enregistrez le corps du certificat et la chaîne de certificats sous forme de fichiers .pem à l'aide des commandes suivantes :

Chaîne de certificats :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

Corps du certificat :

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    Ensuite, suivez les instructions de la rubrique Importation de certificats dans AWS Certificate Manager à l'aide de la commande import-certificate similaire à ce qui suit :

Remarque : remplacez certfile.pem, certchain.pem et PrivateKey.pem par vos noms de fichiers.

aws acm import-certificate --certificate file://certfile.pem --certificate-chain file://certchain.pem --private-key file://PrivateKey.pem

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?