為什麼無法將第三方公有 SSL/TLS 憑證匯入 AWS Certificate Manager (ACM)？

簡短描述

我嘗試將第三方 SSL/TLS 憑證匯入 ACM，但收到類似於以下其中之一的錯誤訊息：

• 您已達到憑證數量上限。請刪除未使用的憑證，或聯絡 AWS Support 請求提高數量上限。
• 憑證欄位包含多個憑證。您只能在這個欄位中指定一個憑證。
• 無法驗證憑證鏈。憑證鏈必須以直接簽署憑證開頭，後面接著按順序排列的任何中繼憑證。無效憑證鏈內的索引為 0。
• 無法使用憑證鏈驗證憑證。
• 金鑰演算法不支援私有金鑰長度。
• 提供的憑證內文/鏈不是有效的 PEM 格式、內部失敗或無法剖析憑證。請確定憑證為 PEM 格式。
• 不支援私有金鑰。
• 憑證不是有效的自我簽署憑證。

解決方案

按照與錯誤訊息相符的指示進行操作。

注意事項：

• 如果在執行 AWS Command Line Interface (AWS CLI) 指令時收到錯誤訊息，請確定您使用的是最新版本的 AWS CLI。
• 您可以匯入第三方 SSL/TLS 憑證和與 ACM 整合的服務。請確定您的憑證符合匯入憑證的先決條件。

「您已達到憑證數量上限。請刪除未使用的憑證，或聯絡 AWS Support 請求提高數量上限。」

根據預設，您最多可以將 1000 個憑證匯入 ACM，但是新的 AWS 帳戶一開始時的數量限制可能較低。如果超過此限制，需請求增加 ACM 配額。

如果您收到此錯誤訊息，但帳戶的憑證數量並未超過 1000 個，則表示您可能超過一年內可匯入的憑證數量限制。根據預設，每年可匯入的數量為帳戶限制值的兩倍。例如，如果帳戶限制為 100 個憑證，則每年最多可以匯入 200 個憑證。這包括在過去 365 天內匯入和刪除的憑證。如果達到此限制，請聯絡 AWS Support 請求提高限制。如需相關資訊，請參閱《ACM 使用者指南》中的「配額」。

「憑證欄位包含多個憑證。您只能在這個欄位中指定一個憑證。」

如果您要匯入憑證，請勿針對「憑證內文」欄位上傳完整的憑證鏈。如果您收到憑證組合，該組合可能包含伺服器憑證和來自憑證授權機構 (CA) 的憑證鏈。將產生憑證簽署請求 (CSR) 時建立的每個檔案 (憑證、含有中繼憑證和根憑證的憑證鏈，以及私有金鑰) 從組合包中分離出來。然後，將檔案變更為 PEM 格式，並將其分別上傳到 ACM。若要將憑證組合轉換為 PEM 格式，請參閱疑難排解。

「無法驗證憑證鏈。憑證鏈必須以直接簽署憑證開頭，後面接著按順序排列的任何中繼憑證。無效憑證鏈內的索引為： 0」

將憑證匯入 ACM 時，請勿將憑證包含在憑證鏈中。憑證鏈必須只包含中繼憑證和根憑證。憑證鏈必須按順序排列，以中繼憑證開頭，然後以根憑證結尾。

「無法使用憑證鏈驗證憑證。」

如果 ACM 無法將憑證與提供的憑證鏈相配，請驗證憑證鏈是否與您的憑證相關聯。您可能需要聯絡憑證提供者以尋求進一步協助。

「金鑰演算法不支援私有金鑰長度 <key_length>。」

建立 X.509 憑證或憑證請求時，請指定建立私有公開金鑰配對必須使用的演算法和金鑰位元大小。請確定您的憑證金鑰符合匯入憑證的先決條件。如果您的金鑰確實符合金鑰大小或演算法的要求，請要求憑證提供者以支援的金鑰大小和演算法重新發行憑證。

「提供的憑證內文/鏈不是有效的 PEM 格式」、「內部失敗」或「無法剖析憑證。請確保憑證為 PEM 格式。」

如果憑證內文、私有金鑰或憑證鏈不是 PEM 格式，則您必須轉換檔案。如果憑證檔案未包含適當的憑證內文，則您必須轉換檔案。若要將憑證或憑證鏈從 DER 轉換為 PEM 格式，請參閱疑難排解。

「不支援私有金鑰。」

如果您使用 AWS CLI 將憑證匯入 ACM，請將憑證檔案的內容 (憑證內文、私有金鑰和憑證鏈) 作為字串傳遞。您必須在檔案名稱前面加上 file:// 來指定憑證、憑證鏈和私有金鑰。如需相關資訊，請參閱 import-certificate。

**注意事項：**請務必將檔案路徑 file://key.pem 用於金鑰，並將 file://certificate.pem 用於憑證。如果未包含檔案路徑，則可能會收到下列錯誤訊息： 「不支援私有金鑰」或「憑證無效」。

「提供的憑證不是有效的自我簽署憑證。請提供有效的自我簽署憑證或憑證鏈。」

您嘗試匯入的憑證不是自我簽署憑證。對於自我簽署憑證，您必須同時提供憑證及其私有金鑰。如果憑證是由 CA 簽署，您必須提供憑證鏈、私有金鑰和憑證。

---

相關資訊

將憑證匯入至 AWS Certificate Manager

用於匯入的憑證和金鑰格式

匯入憑證

對憑證匯入問題進行疑難排解