如何解決簽發新的 ACM-PCA 憑證時出現的錯誤?

上次更新日期:2022 年 7 月 7 日

我嘗試請求新的 AWS Certificate Manager (ACM) 私有終端實體憑證從屬 CA ,但請求失敗。

簡短描述

若要對失敗的私有憑證請求進行疑難排解,請檢查下列項目:

  • 簽發憑證認證機構的 pathLenConstraint 參數。
  • 簽發憑證認證機構的狀態。
  • 簽發憑證認證機構的簽署演算法系列。
  • 請求憑證的有效期。
  • AWS Identity and Access Management (IAM) 許可。

解決方案

簽發憑證認證機構的 "pathLenConstraint" 參數

建立路徑長度大於或等於其簽發 CA 憑證路徑長度的 CA,會傳回 ValidationException 錯誤。請確認簽發 ACM 從屬 CA 的 pathLenConstraint 小於簽發 CA 的路徑長度。

簽發憑證認證機構的狀態

使用已過期 CA (不處於作用中狀態) 的 IssueCertificate API 簽發新的 PCA 憑證,會傳回 InvalidStateException 失敗碼。

如果簽署的 CA 已過期,請確認在簽發新的從屬 CA 憑證或 ACM 私有憑證之前先進行更新。

簽發憑證認證機構的簽署演算法系列

AWS 管理主控台不支援簽發私有 ECDSA 憑證,因此簽發的 CA 無法使用。即使已建立 ECDSA 私有從屬憑證認證機構,也會發生此情況。您可以使用 IssueCertificate API 呼叫,並透過 --signing-algorithm 標誌指定 ECDSA 變體。

請求憑證的有效期

由 ACM 簽發和管理的憑證 (ACM 產生私有金鑰的憑證),有效期為 13 個月 (395 天)

針對 ACM 私有 CA,您可以使用 IssueCertificate API 來套用任何有效期。但是,如果您指定的憑證有效期超過簽發憑證認證機構,則憑證簽發會失敗。

最佳實務是將 CA 憑證有效期設定為子系或終端實體憑證期間的兩至五倍。如需詳細資訊,請參閱選擇有效期

IAM 許可

使用 IAM 身分簽發的私有憑證必須具有必要的許可,否則請求失敗並顯示 "AccessDenied" (「存取遭拒」) 錯誤。最佳實務是授予 IAM 身分許可以簽發私有憑證,同時遵守授予最低權限原則。

如需詳細資訊,請參閱 AWS Certificate Manager 私有憑證認證機構的身分和存取管理


此文章是否有幫助?


您是否需要帳單或技術支援?