Demande de certificat privé PKI - AWS Certificate Manager
Configuration de l'accès à une autorité de certification privéeDemande de certificat privé à l'aide de la console ACMDemande de certificat PKI via l'interface de ligne de commande (CLI)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demande de certificat privé PKI

Si vous avez accès à une autorité de certification privée existante créée par Autorité de certification privée AWS, ACM peut demander un certificat adapté à une utilisation dans votre PKI privée. L'autorité de certification peut résider dans votre compte ou être partagée avec vous par un autre compte. Pour plus d'informations sur la création d'une Autorité de certification privée, consultez Création d'une autorité de certification privée.

Les certificats signés par une autorité de certification privée ne sont pas approuvés par défaut et ACM ne prend en charge aucune forme de validation pour ces certificats. Par conséquent, un administrateur doit prendre des mesures pour les installer dans les magasins de confiance destinés aux clients de votre organisation.

Les certificats ACM privés respectent tous les deux la norme X.509 et sont soumis aux restrictions suivantes :

  • Noms :Vous devez utiliser des noms de sujet conformes au DNS. Pour plus d’informations, consultez Noms de domaine.

  • Algorithme : pour le chiffrement, l'algorithme de clés privées du certificat doit être soit un RSA 2 048 bits, soit un ECDSA 256 bits, soit un ECDSA 384 bits.

    Note

    La famille d'algorithmes de signature spécifiée (RSA ou ECDSA) doit correspondre à la famille d'algorithmes de la clé secrète de l'autorité de certification.

  • Expiration : chaque certificat est valide pendant une durée de13 mois (395 jours). La date d'expiration d'une certification privée doit être postérieure à la date de fin de la certification demandée, autrement la demande échoue.

  • Renouvellement : ACM tente de renouveler automatiquement un certificat privé après une période de 11 mois.

L'autorité de certification privée utilisée pour signer les certificats de l'entité finale est soumise à ses propres restrictions :

  • Le statut de l'autorité de certification doit être « Actif ».

  • L'algorithme de la clé privée de celle-ci doit être RSA 2048 ou RSA 4096.

Note

Contrairement aux certificats approuvés publiquement, les certificats signés par une Autorité de certification privée ne nécessitent aucune validation.

Configuration de l'accès à une autorité de certification privée

Vous pouvez les utiliser Autorité de certification privée AWS pour signer vos certificats ACM dans l'un des deux cas suivants :

  • Compte unique : l'autorité de certification signataire et le certificat ACM émis résident dans le même AWS compte.

    Pour que l'émission et les renouvellements liés à compte unique soient activés, l'administrateur de Autorité de certification privée AWS doit autoriser le principal du service ACM a créer, récupérer et répertorier les certificats. Cela se fait à l'aide de l'action Autorité de certification privée AWS API CreatePermissionou de la AWS CLI commande create-permission. Le propriétaire du compte attribue ces autorisations à un utilisateur IAM, un groupe d'utilisateurs IAM ou un rôle IAM responsable de l'émission des certificats.

  • Comptes multiples : l'autorité de certification signataire et le certificat ACM émis résident dans des AWS comptes différents, et l'accès à l'autorité de certification a été accordé au compte sur lequel réside le certificat.

    Pour activer l'émission et les renouvellements entre comptes, l' Autorité de certification privée AWS administrateur doit associer une politique basée sur les ressources à l'autorité de certification à l'aide de l'action Autorité de certification privée AWS API PutPolicyou de la commande put-policy. AWS CLI La stratégie précise les principaux des autres comptes qui ont un accès limité à l'autorité de certification. Pour plus d'informations, consultez Utilisation d'une stratégie basée sur les ressources avec ACM Private CA.

    Le scénario Comptes multiples exige également qu'ACM mette en place un rôle lié à un service (SLR) pour interagir en tant que principal avec la stratégie PCA. ACM crée automatiquement le rôle SLR lors de l'émission du premier certificat.

    ACM peut vous avertir qu'il ne peut pas déterminer si un rôle SLR existe sur votre compte. Si l'autorisation iam:GetRole requise a déjà été accordée au rôle SLR ACM pour votre compte, l'alerte ne se reproduira pas après la création du rôle SLR. Si elle se reproduit, vous ou votre administrateur de compte devrez peut-être accorder l'autorisation iam:GetRole à ACM, ou associer votre compte à la stratégie AWSCertificateManagerFullAccess gérée par ACM.

    Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.

Important

Votre certificat ACM doit être activement associé à un AWS service pris en charge avant de pouvoir être automatiquement renouvelé. Pour en savoir plus sur les ressources prises en charge par ACM, consultez Services intégrés à AWS Certificate Manager.

Demande de certificat privé à l'aide de la console ACM

  1. Connectez-vous à la console AWS de gestion et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.

    Choisissez Request a certificate (Demander un certificat).

  2. Sur la page Demander un certificat choisissez Request a private certificate (Demander un certificat privé) et Next (Suivant) pour continuer.

  3. Dans la section Informations de l'autorité de certification, cliquez sur le menu Certificate authority (Autorité de certification) et choisissez l'une des autorités de certification privées disponibles. Si l'autorité de certification est partagée à partir d'un autre compte, l'ARN est précédé des informations de propriété.

    Les informations relatives à l'autorité de certification s'affichent pour vous permettre de vérifier que vous avez choisi la bonne :

    • Propriétaire

    • Type

    • Nom commun

    • Organisation

    • Unité d'organisation

    • Nom du pays

    • État ou province

    • Nom de la localité

  4. Dans la page Ajouter des noms de domaine, saisissez votre nom de domaine. Vous pouvez utiliser un nom de domaine complet (FQDN) comme www.example.com ou un nom de domaine strict ou apex tel que example.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple, *.example.com protège corp.example.com et images.example.com. Le nom générique apparaît dans le champ Objet et dans l'extension Autre nom de l'objet du certificat ACM.

    Note

    Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com il peut protéger login.example.com, et test.example.com, mais ne peut pas protéger test.login.example.com. Notez aussi que *.example.com protège uniquement les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étape suivante

    Choisissez éventuellement Ajouter un autre nom à ce certificat et tapez le nom dans la zone de texte. Ceci est très utile pour authentifier un nom de domaine strict ou apex (comme example.com) et ses sous-domaines (comme *.example.com).

  5. Dans la section Key algorithm (Algorithme de clés), choisissez l'un des trois algorithmes disponibles :

    • RSA 2048 (par défaut)

    • ECDSA P 256

    • ECDSA P 384

    Pour obtenir des informations qui vous aideront à choisir un algorithme, consultez Algorithme de clés.

  6. Sur la page Ajouter des balises vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser AWS les ressources. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajout de balises aux certificats après leur création, consultez Balisage des certificats AWS Certificate Manager.

  7. Dans la section Permissions de renouvellement de certificats, accusez réception de l'avis concernant les autorisations de renouvellement de certificat. Ces autorisations permettent le renouvellement automatique des certificats PKI privés que vous signez avec l'autorité de certification sélectionnée. Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.

  8. Après avoir fourni toutes les informations requises, choisissez Request (Demander). La console vous renvoie à la liste des certificats, où vous pouvez afficher votre nouveau certificat.

    Note

    Selon la façon dont vous avez commandé la liste, un certificat que vous recherchez peut ne pas être immédiatement visible. Vous pouvez cliquer sur le triangle noir à droite pour modifier l'ordre. Vous pouvez également parcourir plusieurs pages de certificats à l'aide des numéros de page situés en haut à droite.

Demande de certificat PKI via l'interface de ligne de commande (CLI)

Utilisez la commande request-certificate pour demander un certificat privé dans ACM.

Note

Lorsque vous demandez un certificat PKI privé signé par une autorité de certification AWS Private CA, la famille d'algorithmes de signature spécifiée (RSA ou ECDSA) doit correspondre à la famille d'algorithmes de la clé secrète de l'autorité de certification.

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat privé.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

Dans la plupart des cas, ACM attache automatiquement un rôle lié à un service (SLR) à votre compte la première fois que vous utilisez une autorité de certification partagée. Le rôle SLR permet le renouvellement automatique des certificats d'entité finale que vous émettez. Pour déterminer si le rôle SLR est présent, vous pouvez interroger IAM à l'aide de la commande suivante :

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Si le rôle SLR est présent, la sortie de commande est semblable à la suivante :

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

En l'absence de rôle SLR, consultez Utilisation d'un rôle lié à un service avec ACM.