Como soluciono erros ao emitir um novo certificado do ACM-PCA?

Data da última atualização: 07/07/2022

Tentei solicitar um novo certificado de entidade final privada ou CA subordinada para o AWS Certificate Manager (ACM), e a solicitação falhou.

Breve descrição

Para solucionar problemas de solicitações de certificados privados com falha, verifique o seguinte:

  • O parâmetro pathLenConstraint da autoridade de certificação emissora.
  • O status da autoridade certificadora emissora.
  • A família de algoritmos de assinatura da autoridade de certificação emissora.
  • O período de validade do certificado solicitado.
  • Permissões do AWS Identity and Access Management (IAM).

Resolução

O parâmetro "pathLenConstraint" da autoridade de certificação emissora

A criação de uma CA com um comprimento de caminho maior que ou igual ao comprimento do caminho do seu certificado de CA emissora retorna um erro ValidationException. Certifique-se de que pathLenConstraint para emitir uma CA subordinada do ACM seja menor que o comprimento do caminho da CA emissora.

O status da autoridade certificadora emissora

A emissão de um novo certificado PCA usando a API IssueCertificate com uma CA expirada (que não está no status Ativo) retorna um código de falha InvalidStateException.

Se a CA de assinatura tiver expirado, certifique-se de renová-la antes de emitir novos certificados de CA subordinada ou certificados privados do ACM.

A família de algoritmos de assinatura da autoridade de certificação emissora

O Console de Gerenciamento da AWS não oferece suporte à emissão de certificados ECDSA privados e, portanto, a CA emissora não está disponível. Isso ocorre mesmo que uma autoridade de certificação subordinada privada ECDSA já tenha sido criada. Você pode usar a chamada de API IssueCertificate e especificar a variante ECDSA com o sinalizador --signing-algorithm.

O período de validade do certificado solicitado

Certificados emitidos e gerenciados pelo ACM (certificados para os quais o ACM gera a chave privada) têm um período de validade de 13 meses (395 dias).

Para o ACM Private CA, você pode usar a API IssueCertificate para aplicar qualquer período de validade. No entanto, se você especificar o período de validade do certificado maior que o da autoridade de certificação emissora, a emissão do certificado falhará.

É uma prática recomendada definir o período de validade do certificado de CA como um valor que seja de duas a cinco vezes maior que o período dos certificados filho ou de entidade final. Para obter mais informações, consulte Escolher períodos de validade.

Permissões do IAM

Os certificados privados emitidos com identidades do IAM devem ter as permissões necessárias, ou a solicitação falhará com um erro “AccessDenied”. É uma prática recomendada conceder permissão às suas identidades do IAM para emitir certificados privados e, ao mesmo tempo, aderir ao princípio de concessão de privilégios mínimos.

Para obter mais informações, consulte Identity and Access Management (IAM) para o AWS Certificate Manager Private Certificate Authority.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?