Demande d'un certificat privé - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demande d'un certificat privé

Les sections suivantes expliquent comment utiliser la ACM console ou une commande ACM de l'interface de ligne de commande pour demander un certificat privé signé par une autorité de certification privée qui a été précédemment créée à l'aide d' ACM Private CA . L'autorité de certification peut résider dans votre compte ou être partagée avec vous par un autre compte. Pour plus d'informations sur la création d'une CA privée, consultez Création d'une autorité de certification privée.

Les ACM certificats publics et privés suivent le standard X.509, mais les certificats destinés à une utilisation publique sont soumis aux restrictions suivantes :

  • Vous devez utiliser des noms d'objet DNS. Pour plus d'informations, veuillez consulter Noms de domaine

  • Vous pouvez utiliser uniquement un algorithme de clé privée RSA de 2048 bits.

  • est le seul algorithme de signature pris en chargeSHA256WithRSAEncryption.

  • Chaque certificat est valide pour et 13 mois (395 jours) le renouvelle automatiquement, si possible, après 11 mois.ACM

Les certificats signés par une autorité de certification privée sont libres de ces restrictions. Au lieu de cela, vous pouvez :

  • utiliser n'importe quel nom d'objet

  • utiliser n'importe quel algorithme de clé privée pris en charge parACM Private CA

  • utiliser n'importe quel algorithme de signature pris en charge parACM Private CA

  • spécifier n'importe quelle période de validité

Cette flexibilité est avantageuse si vous devez identifier un objet par un nom spécifique ou si vous ne pouvez pas effectuer facilement une rotation des certificats.

Note

La date de fin d'une certification privée doit être postérieure à la date de fin de la certification demandée, sinon la demande échoue.

L'autorité de certification privée doit avoir l'état Active et le type de clé privée de l'autorité de certification doit être RSA 2048 ou RSA 4096.

Note

Les certificats signés par une autorité de certification privée ne sont pas approuvés par défaut, les administrateurs doivent les installer dans les magasins d'approbation client.

Configuration de l'accès à une autorité de certification privée

Vous pouvez utiliser ACM Private CA pour signer vos ACM certificats dans l'un ou l'autre des cas :

  • Compte unique : L'autorité de certification qui signe et le ACM certificat émis résident dans le même AWS compte.

    Pour que l'émission et le renouvellement d'un compte unique soient activés, l'ACM Private CAadministrateur doit accorder l'autorisation au mandataire du ACM service de créer, récupérer et répertorier des certificats. Pour ce faire, utilisez l'action ACM Private CA d'API CreatePermission ou la AWS CLI commande create-permission de l' . Le propriétaire du compte attribue ces autorisations à un utilisateur ou un groupe IAM responsable de l'émission des certificats.

  • Entre comptes : L'autorité de certification et le ACM certificat émis résident dans différents AWS comptes, et l'accès à l'autorité de certification a été accordé au compte où réside le certificat.

    Pour permettre l'émission et le renouvellement entre comptes, l'ACM Private CAadministrateur doit attacher une stratégie basée sur les ressources à l'autorité de certification à l'aide de l'action ACM Private CA d'API PutPolicy ou de la stratégie AWS CLI put-policy de commande. La stratégie place sur liste blanche les mandataires des autres comptes qui ont un accès limité à l'autorité de certification. Pour plus d'informations, consultez Utilisation d'une stratégie basée sur les ressources avec l'autorité de certification privée ACM.

    Le scénario entre comptes nécessite également ACM de configurer un rôle lié à un service (Service-Linked Role, SLR) pour interagir en tant que mandataire avec la stratégie PCA. La création d'un SLR est effectuée automatiquement lors de l'émission du premier certificat.

    ACM peut afficher une alerte s'il ne parvient pas à déterminer si un SLR existe sur votre compte. Si l'autorisation iam:GetRole requise a déjà été accordée au ACM SLR pour votre compte, l'alerte ne se reproduira pas après la création du SLR. Si cela se produit, vous ou l'administrateur de votre compte devrez peut-être accorder l'autorisation iam:GetRole à ACM ou associer votre compte à la stratégie AWSCertificateManagerFullAccess gérée par ACM.

    Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.

Important

Votre certificat ACM doit être associé activement à un service AWS pris en charge pour pouvoir être renouvelé automatiquement. Pour en savoir plus sur les ressources prises en charge par ACM, consultez Services intégrés à AWS Certificate Manager.

Demander un certificat privé à l'aide de la ACM console

  1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.

    Choisissez Request a certificate.

  2. Sur la page Request a certificate (Demander un certificat) choisissez Request a private certificate (Demander un certificat privé) et Request a certificate (Demander un certificat) pour continuer.

  3. Sur la page Select a certificate authority (CA), cliquez sur le champ Select a CA (Sélectionner une autorité de certification) pour afficher la liste des informations privées disponibles identifiées par ARN.CAs Si l'autorité de certification est partagée à partir d'un autre compte, l'ARN est précédé par les informations de propriété. Choisissez une autorité de certification dans la liste.

    Des détails sur l'autorité de certification s'affichent pour vous aider à vérifier que vous avez choisi l'autorité de certification appropriée :

    • Propriétaire

    • Tapez

    • Nom unique de l'objet

    • Organisation de la valeur

    • Unité d'organisation

    • Nom du pays

    • État ou province

    • Nom de la localité

    • Nom commun

    Note

    La console ACM affiche Inéligible pour les autorités de certification privées avec des clés ECDSA.

    Choisissez Nex t(Suivant).

  4. Dans la page Add domain names (Ajouter des noms de domaine), tapez votre nom de domaine. Vous pouvez utiliser un nom de domaine complet (FQDN), tel que www.example.com , ou un nom de domaine strict ou apex tel que example.com . Vous pouvez également utiliser un astérisque (*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple, *.example.com protège et corp.example.com .images.example.com Le nom du caractère générique apparaît dans le champ Subject et dans l'extension Subject Alternative Name du ACM certificat.

    Note

    Lorsque vous demandez un certificat générique, l'astérisque (**) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com peut protéger login.example.com , et test.example.com , mais ne peut pas protéger test.login.example.com . Notez également que *.example.com protège uniquement les sous-domaines d' example.com . Il ne protège pas le domaine strict ou apex ( example.com ). Pour protéger les deux, consultez l'étape suivante.

    Note

    Vous n'avez pas besoin de valider le domaine d'un certificat privé.

  5. Pour ajouter un autre nom, choisissez Add another name to this certificate (Ajouter un autre nom à ce certificat) et tapez le nom dans la zone de texte. Cela est utile pour authentifier un nom de domaine strict ou apex (comme example.com ) et ses sous-domaines (comme *.example.com ).

    Lorsque vous avez terminé d'ajouter des noms, choisissez Next (Suivant).

  6. Sur la page Add tags (Ajouter des balises) vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé/valeur qui servent de métadonnées pour identifier et organiser les ressources AWS. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajout de balises aux certificats après leur création, reportez-vous à la section Balisage des certificats AWS Certificate Manager.

    Lorsque vous avez fini d'ajouter les balises, choisissez Review and request (Revoir et demander).

  7. La page Vérifier et demander affiche des informations sur votre demande.

    La première fois que vous utilisez une autorité de certification partagée avec vous à partir d'un autre compte, vous ACM avertit qu'un rôle lié à un service (SLR) sera créé pour votre compte. Ce rôle permet le renouvellement automatique des certificats que vous signez avec l'autorité de certification. Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM .

    Si les informations sont correctes, choisissez Confirm and request (Confirmer et demander). vous ACM renvoie à la page Certificates (Certificats) dans laquelle vous pouvez consulter des informations sur tous vos ACM certificats, qu'ils soient privés ou publics.

    Note

    ACMpeut afficher l'une des deux mentions à ce stade.

    • Cela ACM ne permet pas de déterminer si un rôle SLR existe sur votre compte. Cela peut être dû à des paramètres d'autorisation incorrects. La demande de certificat peut continuer, mais pour activer le renouvellement automatique, vous ou votre administrateur devez fournir l'autorisation nécessaire avant l'expiration du certificat. Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM .

    • Cela ACM a déterminé qu'il n'existe aucun SLR sur votre compte, et que celui-ci sera créé pour vous.

Demander un certificat privé à l'aide de l'interface de ligne de commande

Utilisez la commande request-certificate pour demander un certificat privé dans ACM.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat privé.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }

Dans la plupart des cas, attache ACM automatiquement un rôle lié à un service (SLR) à votre compte la première fois que vous utilisez une autorité de certification partagée. Le SLR permet le renouvellement automatique des certificats d'entité finale que vous émettez. Pour vérifier si le SLR est présent, vous pouvez exécuter une requête IAM avec la commande suivante :

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Si le SLR est présent, la commande de sortie doit ressembler à ce qui suit :

{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{ "LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } } }

Si le SLR est manquant, consultez Utilisation d'un rôle lié à un service avec ACM.