Mengotomatiskan ekspor sertifikat yang diperbarui Uji perpanjangan terkelola

Memperbarui sertifikat di PKI pribadi

Sertifikat ACM yang ditandatangani oleh CA pribadi dari AWS Private CA memenuhi syarat untuk perpanjangan terkelola. Tidak seperti sertifikat ACM yang dipercaya publik, sertifikat untuk PKI pribadi tidak memerlukan validasi. Kepercayaan dibuat ketika administrator menginstal sertifikat CA root yang sesuai di toko kepercayaan klien.

catatan

Hanya sertifikat yang diperoleh menggunakan konsol ACM atau RequestCertificatetindakan ACM API yang memenuhi syarat untuk perpanjangan terkelola. Sertifikat yang dikeluarkan langsung dari AWS Private CA penggunaan IssueCertificatetindakan AWS Private CA API tidak dikelola oleh ACM.

Ketika sertifikat terkelola 60 hari lagi dari kedaluwarsa, ACM secara otomatis mencoba memperbaruinya. Ini termasuk sertifikat yang diekspor dan diinstal secara manual (misalnya, di pusat data lokal). Pelanggan juga dapat memaksa perpanjangan kapan saja menggunakan RenewCertificateaksi ACM API. Untuk contoh implementasi Java dari pembaruan paksa, lihatMemperpanjang sertifikat.

Setelah perpanjangan, penyebaran sertifikat ke dalam layanan terjadi dengan salah satu cara berikut:

Jika sertifikat dikaitkan dengan layanan terintegrasi ACM, sertifikat baru menggantikan yang lama tanpa tindakan pelanggan tambahan.
Jika sertifikat tidak terkait dengan layanan terintegrasi ACM, tindakan pelanggan diperlukan untuk mengekspor dan menginstal sertifikat yang diperbarui. Anda dapat melakukan tindakan ini secara manual, atau dengan bantuan dari AWS Health, Amazon EventBridge, dan AWS Lambdasebagai berikut. Untuk informasi selengkapnya, lihat Mengotomatiskan ekspor sertifikat yang diperbarui

Mengotomatiskan ekspor sertifikat yang diperbarui

Prosedur berikut memberikan contoh solusi untuk mengotomatisasi ekspor sertifikat PKI pribadi Anda ketika ACM memperbaruinya. Contoh ini hanya mengekspor sertifikat dan kunci pribadinya dari ACM; setelah ekspor, sertifikat masih harus diinstal pada perangkat targetnya.

Untuk mengotomatiskan ekspor sertifikat menggunakan konsol

Mengikuti prosedur di Panduan Pengembang AWS Lambda, buat dan konfigurasikan fungsi Lambda yang memanggil API ekspor ACM.
1. Buat fungsi Lambda.
2. Buat peran eksekusi Lambda untuk fungsi Anda dan tambahkan kebijakan kepercayaan berikut ke dalamnya. Kebijakan memberikan izin ke kode dalam fungsi Anda untuk mengambil sertifikat yang diperbarui dan kunci pribadi dengan memanggil ExportCertificatetindakan ACM API.
```
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}
```
Buat aturan di Amazon EventBridge untuk mendengarkan acara kesehatan ACM dan memanggil fungsi Lambda Anda saat mendeteksi satu. ACM menulis ke suatu AWS Health acara setiap kali mencoba memperbarui sertifikat. Untuk informasi lebih lanjut tentang pemberitahuan ini, lihatPeriksa status menggunakan Personal Health Dashboard (PHD).

Konfigurasikan aturan dengan menambahkan pola acara berikut.
```
{
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}
```
Selesaikan proses perpanjangan dengan menginstal sertifikat secara manual pada sistem target.

Menguji perpanjangan terkelola sertifikat PKI pribadi

Anda dapat menggunakan ACM API atau menguji konfigurasi AWS CLI alur kerja perpanjangan terkelola ACM secara manual. Dengan demikian, Anda dapat mengonfirmasi bahwa sertifikat Anda akan diperbarui secara otomatis oleh ACM sebelum kedaluwarsa.

catatan

Anda hanya dapat menguji pembaruan sertifikat yang dikeluarkan dan diekspor oleh. AWS Private CA

Saat Anda menggunakan tindakan API atau perintah CLI yang dijelaskan di bawah ini, ACM mencoba memperbarui sertifikat. Jika perpanjangan berhasil, ACM memperbarui metadata sertifikat yang ditampilkan di konsol manajemen atau dalam output API. Jika sertifikat dikaitkan dengan layanan terintegrasi ACM, sertifikat baru akan digunakan dan acara perpanjangan dibuat di Amazon Events. CloudWatch Jika perpanjangan gagal, ACM mengembalikan kesalahan dan menyarankan tindakan perbaikan. (Anda dapat melihat informasi ini menggunakan perintah deskripsi-sertifikat.) Jika sertifikat tidak digunakan melalui layanan terintegrasi, Anda masih perlu mengekspornya dan menginstalnya secara manual di sumber daya Anda.

penting

Untuk memperbarui AWS Private CA sertifikat Anda dengan ACM, Anda harus terlebih dahulu memberikan izin utama layanan ACM untuk melakukannya. Untuk informasi selengkapnya, lihat Menetapkan Izin Perpanjangan Sertifikat ke ACM.

Untuk menguji perpanjangan sertifikat secara manual ()AWS CLI

Gunakan perintah renew-certificate untuk memperbarui sertifikat ekspor pribadi.


aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

Kemudian gunakan perintah deskripsi-sertifikat untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.
```
aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```

Untuk menguji perpanjangan sertifikat secara manual (ACM API)

Kirim RenewCertificatepermintaan, tentukan ARN sertifikat pribadi untuk diperbarui. Kemudian gunakan DescribeCertificateoperasi untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

(Opsional) Permintaan email

Periksa status perpanjangan