Como posso importar um certificado TLS/SSL emitido por terceiros para o ACM?

Data da última atualização: 24/06/2022

Quero importar um certificado TLS/SSL emitido por terceiros para o AWS Certificate Manager (ACM).

Resolução

Para importar para o ACM um certificado TLS/SSL emitido por terceiros, você deve fornecer o certificado, a chave privada e a cadeia de certificação. O certificado também deve incluir os pré-requisitos para a importação de certificados.

Você precisa dos seguintes arquivos para importar no formato codificado em PEM, semelhante ao seguinte:

Certificado codificado em PEM:

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Cadeia de certificação codificada em PEM: (este exemplo mostra uma cadeia em que duas CAs subordinadas/intermediárias estão presentes. A ordem dada aqui é manter a CA raiz como a última entrada):

-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----

Chaves privadas codificadas em PEM:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Para obter mais informações e exemplos, consulte Formato de certificado e chave para importação.

Converta o pacote do certificado de PKCS #12 (PFX) para PEM usando OpenSSL

1.    Copie o arquivo PFX ou P12 para o mesmo local da ferramenta OpenSSL ou especifique o local na linha de comando.

2.    Insira o seguinte comando OpenSSL e substitua PKCS12file pelo arquivo do certificado:

$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt

Você recebe solicitações semelhantes às seguintes:

Enter Import Password:(this is the password that was used when the PKCS12 file was created)

Enter PEM pass phrase:(this is the private key password)

Verifying - Enter PEM pass phrase: (confirm the private key password)

3.    Insira a senha e a frase-senha necessárias. O certificado, a chave privada e a cadeia de certificação (raiz ou intermediária) são analisados e colocados no arquivo Cert_Chain_Key.txt.

Observação: a chave privada ainda está criptografada no seguinte formato:

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----

Descriptografar a chave privada

1.    Copie a chave privada do arquivo Cert_Chain_Key.txt para o diretório OpenSSL ou especifique o local na linha de comando.

2.    Insira o seguinte comando OpenSSL e substitua Encrypted.key pelo arquivo de chave privada criptografado:

$openssl rsa -in Encrypted.key -out UnEncrypted.key

3.    Insira a frase-senha. O arquivo UnEncrypted.key agora é a chave privada descriptografada. Para verificar isso, abra o arquivo UnEncrypted.key usando um editor de texto e visualize os cabeçalhos em um formato semelhante ao seguinte:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Agora você pode importar o certificado com êxito para o ACM. Para obter instruções, consulte Importar um certificado.