Come posso risolvere gli errori durante l'emissione di un nuovo certificato ACM-PCA?

Ultimo aggiornamento: 07/07/2022

Ho provato a richiedere un nuovo certificato privato dell'entità finale o una CA subordinata per Gestione certificati AWS (ACM) e la richiesta non ha avuto esito positivo.

Breve descrizione

Per risolvere i problemi relativi alle richieste di certificati privati, verifica quanto segue:

  • Il parametro pathLenConstraint dell'autorità di certificazione emittente.
  • Lo stato dell'autorità di certificazione emittente.
  • La famiglia di algoritmi di firma dell'autorità di certificazione emittente.
  • Il periodo di validità del certificato richiesto.
  • Le autorizzazioni di AWS Identity and Access Management (IAM).

Risoluzione

Il parametro "pathLenConstraint" dell'autorità di certificazione emittente

La creazione di una CA con una lunghezza del percorso maggiore o uguale alla lunghezza del percorso del relativo certificato CA di emissione restituisce un errore ValidationException. Verifica che la lunghezza di pathLenConstraint per l'emissione di una CA subordinata ACM sia inferiore alla lunghezza del percorso della CA di emissione.

Lo stato dell'autorità di certificazione emittente

L'emissione di un nuovo certificato PCA tramite l'API IssueCertificate con una CA scaduta (che non è in stato Attivo) restituisce un codice di errore InvalidStateException.

Se la CA di firma è scaduta, assicurati di rinnovarla prima di emettere nuovi certificati CA subordinati o certificati privati ACM.

La famiglia di algoritmi di firma dell'autorità di certificazione emittente

La Console di gestione AWS non supporta l'emissione di certificati ECDSA privati, pertanto la CA emittente non è disponibile. Ciò si verifica anche se è già stata creata un'autorità di certificazione subordinata privata ECDSA. Puoi utilizzare la chiamata API IssueCertificate e specificare la variante ECDSA con il flag --signing-algorithm.

Il periodo di validità del certificato richiesto

I certificati emessi e gestiti da ACM (i certificati per i quali ACM genera la chiave privata) hanno un periodo di validità di 13 mesi (395 giorni).

Per una CA privata ACM, puoi utilizzare l'API IssueCertificate per applicare qualsiasi periodo di validità. Tuttavia, se specifichi un periodo di validità del certificato più lungo dell'autorità di certificazione emittente, l'emissione del certificato non riesce.

Una best practice consiste nell'impostare il periodo di validità del certificato CA su un valore da due a cinque volte superiore al periodo dei certificati figlio o dell'entità finale. Per ulteriori informazioni, consulta Scelta dei periodi di validità.

Autorizzazioni IAM

I certificati privati emessi con identità IAM devono disporre delle autorizzazioni richieste altrimenti la richiesta non avrà esito positivo e verrà restituito un errore "AccessDenied". È consigliabile concedere alle proprie identità IAM l'autorizzazione per emettere certificati privati rispettando il principio di concessione del privilegio minimo.

Per ulteriori informazioni, consulta Identity and Access Management per AWS Certificate Manager Private Certificate Authority.