


 簡短描述
-----



若要對失敗的私有憑證請求進行疑難排解，請檢查下列項目：


* 簽發憑證認證機構的 **pathLenConstraint** 參數。
* 簽發憑證認證機構的狀態。
* 簽發憑證認證機構的簽署演算法系列。
* 請求憑證的有效期。
* AWS Identity and Access Management (IAM) 許可。



 解決方案
-----


###  簽發憑證認證機構的 "pathLenConstraint" 參數



建立路徑長度大於或等於其簽發 CA 憑證路徑長度的 CA，會傳回 ValidationException 錯誤。請確認簽發 ACM 從屬 CA 的 **pathLenConstraint** 小於簽發 CA 的路徑長度。



###  簽發憑證認證機構的狀態



使用已過期 CA (不處於作用中狀態) 的 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 簽發新的 PCA 憑證，會傳回 InvalidStateException 失敗碼。


如果簽署的 CA 已過期，請確認在簽發新的從屬 CA 憑證或 ACM 私有憑證之前先進行更新。



###  簽發憑證認證機構的簽署演算法系列



AWS 管理主控台不支援簽發私有 ECDSA 憑證，因此簽發的 CA 無法使用。即使已建立 ECDSA 私有從屬憑證認證機構，也會發生此情況。您可以使用 IssueCertificate API 呼叫，並透過 **--signing-algorithm** 標誌指定 ECDSA 變體。



###  請求憑證的有效期



由 ACM 簽發和管理的憑證 (ACM 產生私有金鑰的憑證)，[有效期為 13 個月 (395 天)](https://docs.aws.amazon.com/acm-pca/latest/userguide/ca-lifecycle.html#ca-validity-period)。


針對 ACM 私有 CA，您可以使用 IssueCertificate API 來套用任何有效期。但是，如果您指定的憑證有效期超過簽發憑證認證機構，則憑證簽發會失敗。


最佳實務是將 CA 憑證有效期設定為子系或終端實體憑證期間的兩至五倍。如需詳細資訊，請參閱[選擇有效期](https://docs.aws.amazon.com/acm-pca/latest/userguide/ca-lifecycle.html#ca-validity-period)。



###  IAM 許可



使用 [IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)簽發的私有憑證必須具有必要的許可，否則請求失敗並顯示 "AccessDenied" (「存取遭拒」) 錯誤。最佳實務是授予 IAM 身分許可以簽發私有憑證，同時遵守[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)原則。


如需詳細資訊，請參閱 [AWS Certificate Manager 私有憑證認證機構的身分和存取管理](https://docs.aws.amazon.com/acm-pca/latest/userguide/security-iam.html)。





---








我嘗試請求新的 AWS Certificate Manager (ACM) 私有終端實體憑證或從屬 CA ，但請求失敗。

解決簽發 ACM-PCA 憑證時出現的錯誤

如何解決簽發新的 ACM-PCA 憑證時出現的錯誤？

安全性、身分識別與合規

如何開始使用 IAM Identity Center 並存取 AWS 存取入口網站？

如何使用 AWS IAM Access Analyzer 監控 AWS 組織帳戶中的 AWS 資源？

如何解決簽發新的 ACM-PCA 憑證時出現的錯誤？

簡短描述

解決方案

簽發憑證認證機構的 "pathLenConstraint" 參數

簽發憑證認證機構的狀態

簽發憑證認證機構的簽署演算法系列

請求憑證的有效期

IAM 許可

相關內容