Come posso richiedere un certificato privato utilizzando la console ACM quando il periodo di validità ACM-PCA è inferiore a 13 mesi?
Ho richiesto un certificato privato AWS Certificate Manager (ACM), ma ho ricevuto un errore “Operazione non riuscita” o lo stato del certificato è “Non riuscito”. Come posso risolvere questo problema?
Breve descrizione
I certificati privati richiesti per la console ACM sono validi 13 mesi. Le CA private ACM non possono emettere un certificato privato se la validità supera il periodo di validità della CA. Se il periodo di validità della CA è inferiore a 13 mesi, quando si richiede un certificato privato tramite la console ACM viene visualizzato un errore "Operazione non riuscita".
Per risolvere il problema, richiedi un certificato privato con un periodo di validità più breve utilizzando l'API IssueCertificate. Quindi, importa il certificato in ACM per utilizzarlo con i servizi integrati.
Soluzione
Usa l'API IssueCertificate per emettere un nuovo certificato privato con un periodo di validità inferiore al periodo di validità della CA
Nota: se si verificano errori durante l'esecuzione dei comandi dell’interfaccia della riga di comando AWS, assicurati di utilizzare la versione più recente di AWS CLI.
Utilizza il comando issue-certificate per emettere un certificato privato con una data di scadenza inferiore al periodo di validità della CA:
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
Nota: devi generare la CSR e la chiave privata del certificato privato.
Richiedi il corpo e la catena del certificato privato da ACM PCA, quindi importali in ACM
1. Usa il comandoget-certificate per ottenere il corpo e la catena del certificato privato:
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output text
Il comando get-certificate emette il certificato in formato PEM con codifica base64 e la catena del certificato:
-----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE----
2. Salva il corpo e la catena del certificato come file.pem utilizzando i seguenti comandi:
Catena del certificato:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
Corpo del certificato:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
3. Per utilizzare il certificato privato con i servizi integrati, segui le istruzioni per importare un certificato utilizzando il comando import-certificate:
Nota: sostituisci certfile.pem, privately.key e certchain.pem con i tuoi nomi di file.
aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa