Demande d'un certificat privé - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demande d'un certificat privé

Les sections suivantes expliquent comment utiliser la console ACM ou une commande ACM de l'interface de ligne de commande ACM pour demander un certificat PKI privé signé par une autorité de certification privée précédemment créée avec une autorité de certification privée ACM. L'autorité de certification peut résider dans votre compte ou être partagée avec vous par un autre compte. Pour plus d'informations sur la création d'une CA privée, consultez Création d'une autorité de certification privée.

Les certificats ACM publics et privés respectent tous les deux la norme X.509, mais les certificats destinés à un usage public sont soumis aux restrictions suivantes :

  • Vous devez utiliser des noms d'objet DNS. Pour de plus amples informations, veuillez consulter Noms de domaine

  • Vous pouvez utiliser uniquement un algorithme de clé privée RSA de 2048 bits.

  • Le seul algorithme de signature pris en charge est SHA256WithRSAEncryption.

  • Chaque certificat est valide pendant 13 mois (395 jours) et ACM renouvelle le automatiquement, si possible, après 11 mois.

Les certificats signés par une autorité de certification privée sont exempts de ces restrictions. Au lieu de cela, vous pouvez :

  • utiliser n'importe quel nom de sujet

  • utiliser n'importe quel algorithme de clé privée parpris en chargeCA privée ACM

  • utiliser n'importe quel algorithme de signaturepris en chargeCA privée ACM

  • préciser toute période de validité

Cette flexibilité s'avère avantageux si vous devez identifier un objet par un nom spécifique ou si vous ne pouvez pas effectuer aisément une rotation des certificats.

Note

La date de fin d'une certification privée doit être postérieure à la date de fin de la certification demandée, sinon la demande échoue.

La CA privée doit avoir le statut Actif et la clé privée de la CA doit être du type RSA 2048 ou RSA 4096.

Note

Étant donné que les certificats signés par une autorité de certification privée ne sont pas approuvés par défaut, les administrateurs doivent les installer dans les magasins d'approbation clients.

Configuration de l'accès à une autorité de certification privée

Vous pouvez utiliser ACM Private CA pour signer vos certificats ACM dans l'un ou l'autre des deux cas suivants :

  • Compte unique : L'autorité de certification de signature et le certificat ACM émis résident dans le même compte AWS.

    Pour que l'émission et les renouvellements de compte unique soient activés, l'administrateur de l'autorité de certification privée ACM doit accorder l'autorisation au principal de service ACM pour créer, récupérer et répertorier des certificats. Ceci est fait à l'aide de l'action ACM Private CA APICreatePermissionou la commande AWS CLIcréation-autorisation. Le propriétaire du compte attribue ces autorisations à un utilisateur IAM ou un groupe responsable de l'émission des certificats.

  • Comptes entre : L'autorité de certification de signature et le certificat ACM émis résident dans différents comptes AWS, et l'accès à l'autorité de certification a été accordé au compte où réside le certificat.

    Pour activer l'émission et les renouvellements entre comptes, l'administrateur de l'autorité de certification privée ACM doit joindre une stratégie basée sur les ressources à l'autorité de certification à l'aide de l'action API de l'autorité de certification privée ACMPutPolicyou la commande AWS CLIput-policy. La stratégie répertorie les entités principales d'autres comptes qui ont un accès limité à l'autorité de certification. Pour de plus amples informations, veuillez consulterUtilisation d'une stratégie basée sur les ressources avec ACM Private CA.

    Le scénario intercomptes exige également qu'ACM mette en place un rôle lié au service (SLR) pour interagir en tant que principal avec la stratégie PCA. La création d'un reflex est effectuée automatiquement lors de l'émission du premier certificat.

    ACM peut vous avertir qu'il ne peut pas déterminer si un appareil reflex existe sur votre compte. Si vous avez besoin de laiam:GetRolea déjà été accordée au reflex ACM pour votre compte, l'alerte ne se reproduira pas après la création du reflex. Si cela se reproduit, vous ou votre administrateur de compte devrez peut-être accorder leiam:GetRoleautorisation d'ACM ou d'associer votre compte à la stratégie gérée ACMAWSCertificateManagerFullAccess.

    Pour de plus amples informations, veuillez consulterUtilisation d'un rôle lié au service avec ACM.

Important

Votre certificat ACM doit être associé activement à un service AWS pris en charge pour pouvoir être renouvelé automatiquement. Pour en savoir plus sur les ressources prises en charge par ACM, consultezServices intégrés à AWS Certificate Manager.

Demande d'un certificat privé via la console ACM

  1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adressehttps://console.aws.amazon.com/acm/home.

    Choisissez Request a certificate.

  2. Sur la page Request a certificate (Demander un certificat) choisissez Request a private certificate (Demander un certificat privé) et Request a certificate (Demander un certificat) pour continuer.

  3. Dans la pageSélectionner une autorité de certification (CA), cliquez sur le boutonSélectionnez une autorité de certificationpour afficher la liste des autorités de certification privées disponibles identifiées par ARN. Si l'autorité de certification est partagée à partir d'un autre compte, l'ARN est précédé d'informations de propriété. Choisissez une autorité de certification dans la liste.

    Les détails sur l'autorité de certification s'affichent pour vous aider à vérifier que vous avez choisi l'autorité de certification appropriée :

    • Owner

    • Tapez

    • Nom unique du sujet

    • Organisation de la valeur (O)

    • Unité d'organisation

    • Nom du pays

    • État ou Province

    • Nom de la localité

    • Nom commun

    Note

    La console ACM afficheInéligiblePour les autorités de certification privées avec des clés ECDSA.

    Choisissez Suivant.

  4. Dans la page Add domain names (Ajouter des noms de domaine), tapez votre nom de domaine. Vous pouvez utiliser un nom de domaine complet (FQDN) comme www.example.com, ou un nom de domaine strict ou apex tel que example.com. Vous pouvez également utiliser un astérisque (**) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple,*.example.comProtègecorp.example.com, etimages.example.com. Le nom générique s'affiche dans la boîte de dialogueSubjectet le champNom alternatif du sujetExtension du certificat ACM

    Note

    Lorsque vous demandez un certificat générique, l'astérisque (**) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com peut protéger login.example.com et test.example.com, mais il ne peut pas protéger test.login.example.com. Notez aussi que *.example.com protège uniquement les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étape suivante.

    Note

    Vous n'avez pas besoin de valider le domaine d'un certificat privé.

  5. Pour ajouter un autre nom, choisissez Add another name to this certificate (Ajouter un autre nom à ce certificat) et tapez le nom dans la zone de texte. C'est très utile pour authentifier un nom de domaine nu ou apex (commeexample.com) et ses sous-domaines tels que*.example.com).

    Lorsque vous avez terminé d'ajouter des noms, choisissez Next (Suivant).

  6. Sur la page Add tags (Ajouter des balises) vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé/valeur qui servent de métadonnées pour identifier et organiser les ressources AWS. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajout de balises aux certificats après leur création, consultezBalisage des certificats AWS Certificate Manager.

    Lorsque vous avez fini d'ajouter les balises, choisissez Review and request (Revoir et demander).

  7. Dans laVérification et demandeaffiche des informations sur votre demande.

    La première fois que vous utilisez une autorité de certification partagée avec vous à partir d'un autre compte, ACM vous avertit qu'un rôle lié au service (SLR) sera créé pour votre compte. Ce rôle permet le renouvellement automatique des certificats que vous signez avec l'autorité de certification. Pour de plus amples informations, veuillez consulterUtilisation d'un rôle lié au service avec ACM.

    Si les informations sont correctes, choisissezConfirmation and request. ACM vous renvoie auCertificatesoù vous pouvez consulter les informations relatives à tous vos certificats ACM, qu'ils soient privés ou publics.

    Note

    ACM peut afficher l'un des deux avis à ce stade.

    • Ce MCC ne peut pas déterminer si un SLR existe sur votre compte. Cela peut résulter de paramètres d'autorisation incorrects. La demande de certificat peut continuer, mais pour activer le renouvellement automatique, vous ou votre administrateur devez fournir l'autorisation nécessaire avant l'expiration du certificat. Pour de plus amples informations, veuillez consulterUtilisation d'un rôle lié au service avec ACM.

    • Ce MCC a déterminé qu'il n'y a pas de SLR sur votre compte et qu'il sera créé pour vous.

Demande d'un certificat privé via l'interface de ligne de commande

Utiliser ledemande-certificatPour demander un certificat privé dans ACM.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat privé.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }

Dans la plupart des cas, ACM attache automatiquement un rôle lié au service (SLR) à votre compte la première fois que vous utilisez une autorité de certification partagée. Le reflex permet le renouvellement automatique des certificats d'entité finale que vous émettez. Pour vérifier si le reflex est présent, vous pouvez demander IAM avec la commande suivante :

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Si le reflex est présent, la commande out doit ressembler à ce qui suit :

{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{ "LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } } }

Si le reflex est manquant, consultezUtilisation d'un rôle lié au service avec ACM.