Renovación de certificado privado en AWS Certificate Manager - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Renovación de certificado privado en AWS Certificate Manager

ACMcertificados firmados por una entidad emisora de certificados privada de Autoridad de certificación privada de AWS son aptos para la renovación gestionada. A diferencia de ACM los certificados de confianza pública, un certificado privado no PKI requiere validación. La confianza se establece cuando un administrador instala el certificado de entidad de certificación raíz apropiado en los almacenes de confianza del cliente.

nota

Solo los certificados obtenidos mediante la ACM consola o mediante la RequestCertificateacción de la misma ACM API son aptos para la renovación gestionada. Los certificados se emiten directamente desde Autoridad de certificación privada de AWS utilizando la IssueCertificateacción del Autoridad de certificación privada de AWS APIno son gestionados porACM.

Cuando faltan 60 días para que caduque un certificado administrado, intenta renovarlo ACM automáticamente. Esto incluye los certificados que se exportaron e instalaron de forma manual (por ejemplo, en un centro de datos en las instalaciones). Los clientes también pueden forzar la renovación en cualquier momento mediante la RenewCertificateacción de ACMAPI. Para obtener un ejemplo de una implementación de renovación forzada de Java, consulte Renovación de un certificado.

Después de la renovación, la implementación de un certificado para un servicio se realiza de una de las siguientes maneras:

Automatice la exportación de certificados renovados

El siguiente procedimiento proporciona un ejemplo de solución para automatizar la exportación de sus PKI certificados privados al ACM renovarlos. En este ejemplo, solo se exporta un certificado y su clave privadaACM; tras la exportación, el certificado debe seguir instalado en el dispositivo de destino.

Cómo automatizar la exportación de un certificado mediante la consola
  1. Siguiendo los procedimientos del AWS Guía para desarrolladores de Lambda, cree y configure una función de Lambda que llame a export. ACM API

    1. Creación de una función de Lambda

    2. Cree un rol de ejecución de Lambda para su función y agréguele la siguiente política de confianza. La política concede permiso al código de su función para recuperar el certificado y la clave privada renovados mediante una llamada a la ExportCertificateacción del. ACM API

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm:ExportCertificate", "Resource":"*" } ] }
  2. Cree una regla en Amazon EventBridge para detectar eventos de ACM salud y llame a su función Lambda cuando los detecte. ACMescribe a un AWS Health evento cada vez que intenta renovar un certificado. Para obtener más información sobre estos avisos, consulte Compruebe el estado mediante el Personal Health Dashboard (PHD).

    Configure la regla al agregar el siguiente patrón de eventos.

    { "source":[ "aws.health" ], "detail-type":[ "AWS Health Event" ], "detail":{ "service":[ "ACM" ], "eventTypeCategory":[ "scheduledChange" ], "eventTypeCode":[ "AWS_ACM_RENEWAL_STATE_CHANGE" ] }, "resources":[ "arn:aws:acm:region:account:certificate/certificate_ID" ] }
  3. Complete el proceso de renovación al instalar de forma manual el certificado en el sistema de destino.

Pruebe la renovación gestionada de PKI certificados privados

Puede utilizar las o ACM API AWS CLI para probar manualmente la configuración del flujo de trabajo de renovación ACM gestionado. De este modo, puede confirmar que sus certificados se renovarán automáticamente ACM antes de que caduquen.

nota

Solo puede probar la renovación de los certificados emitidos y exportados por Autoridad de certificación privada de AWS.

Cuando utiliza API las acciones o CLI comandos que se describen a continuación, ACM intenta renovar el certificado. Si la renovación se realiza correctamente, ACM actualiza los metadatos del certificado que se muestran en la consola de administración o en el API resultado. Si el certificado está asociado a un servicio ACM integrado, se implementa el nuevo certificado y se genera un evento de renovación en Amazon CloudWatch Events. Si la renovación no se realiza correctamente, ACM devuelve un error y sugiere una acción correctiva. (Puede ver esta información mediante el comando describe-certificate). Si el certificado no se implementa a través de un servicio integrado, tendrá que exportarlo e instalarlo de forma manual en el recurso.

importante

Para renovar su Autoridad de certificación privada de AWS certificados conACM, primero debe conceder al ACM servicio los permisos principales para hacerlo. Para obtener más información, consulte Asignación de permisos de renovación de certificados a ACM.

Para probar manualmente la renovación del certificado (AWS CLI)
  1. Use el comando renew-certificate para renovar un certificado privado exportado.

    aws acm renew-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
  2. A continuación, utilice el comando describe-certificate para confirmar que se han actualizado los detalles de renovación del certificado.

    aws acm describe-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Para probar manualmente la renovación del certificado (ACMAPI)
  • Envíe una RenewCertificatesolicitud especificando el ARN certificado privado que se va a renovar. A continuación, utilice la DescribeCertificateoperación para confirmar que se han actualizado los detalles de renovación del certificado.