Rinnovo dei certificati in modalità privata PKI

ACMi certificati firmati da una CA privata di CA privata AWS sono idonei per il rinnovo gestito. A differenza dei ACM certificati pubblicamente attendibili, un certificato privato non PKI richiede alcuna convalida. L'attendibilità viene stabilita quando un amministratore installa il certificato CA radice appropriato negli archivi client attendibili.

Nota

Solo i certificati ottenuti utilizzando la ACM console o l'RequestCertificateazione di ACM API sono idonei per il rinnovo gestito. I certificati emessi direttamente CA privata AWS utilizzando l'IssueCertificateazione di non CA privata AWS API sono gestiti daACM.

Quando mancano 60 giorni alla scadenza di un certificato gestito, tenta ACM automaticamente di rinnovarlo. Sono inclusi i certificati esportati e installati manualmente (ad esempio, in un data center locale). I clienti possono anche forzare il rinnovo in qualsiasi momento utilizzando l'RenewCertificateazione di. ACM API Per un'implementazione Java di esempio del rinnovo forzato, vedi Rinnovo di un certificato.

Dopo il rinnovo, la distribuzione di un certificato in servizio si verifica in uno dei modi seguenti:

• Se il certificato è associato a un servizio ACM integrato, il nuovo certificato sostituisce quello precedente senza ulteriori interventi da parte del cliente.

• Se il certificato non è associato a un servizio ACM integrato, è necessario l'intervento del cliente per esportare e installare il certificato rinnovato. Puoi eseguire queste azioni manualmente o con l'assistenza AWS Healthdi Amazon EventBridge e AWS Lambdacome segue. Per ulteriori informazioni, consulta Automatizzazione dell'esportazione dei certificati rinnovati

Automatizzazione dell'esportazione dei certificati rinnovati

La procedura seguente fornisce una soluzione di esempio per automatizzare l'esportazione dei PKI certificati privati al momento del ACM rinnovo. Questo esempio esporta solo un certificato e la relativa chiave privata daACM; dopo l'esportazione, il certificato deve ancora essere installato sul dispositivo di destinazione.

Per automatizzare l'esportazione dei certificati utilizzando la console

1. Seguendo le procedure della AWS Lambda Developer Guide, crea e configura una funzione Lambda che chiama export. ACM API

   1. Creazione di una funzione Lambda.

   2. Crea un ruolo di esecuzione Lambda per la tua funzione e aggiungici la seguente policy di attendibilità. La policy concede l'autorizzazione al codice della funzione in uso per recuperare il certificato e la chiave privata rinnovati richiamando l'ExportCertificateazione di. ACM API

      {
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Action":"acm:ExportCertificate",
               "Resource":"*"
            }
         ]
      }

2. Crea una regola in Amazon per EventBridge ascoltare gli eventi ACM sanitari e richiama la funzione Lambda quando ne rileva uno. ACMscrive su un AWS Health evento ogni volta che tenta di rinnovare un certificato. Per ulteriori informazioni su questi valori, consulta Controlla lo stato utilizzando Personal Health Dashboard (PHD).

   Configura la regola aggiungendo il seguente modello di eventi.

   {
      "source":[
         "aws.health"
      ],
      "detail-type":[
         "AWS Health Event"
      ],
      "detail":{
         "service":[
            "ACM"
         ],
         "eventTypeCategory":[
            "scheduledChange"
         ],
         "eventTypeCode":[
            "AWS_ACM_RENEWAL_STATE_CHANGE"
         ]
      },
      "resources":[
         "arn:aws:acm:region:account:certificate/certificate_ID"
      ]
   }

3. Completa il processo di rinnovo installando manualmente il certificato nel sistema di destinazione.

Test, rinnovo gestito dei certificati privatiPKI.

Puoi utilizzare ACM API o AWS CLI per testare manualmente la configurazione del flusso di lavoro di rinnovo ACM gestito. In questo modo, puoi confermare che i tuoi certificati verranno rinnovati automaticamente ACM prima della scadenza.

Nota

Puoi testare solo il rinnovo dei certificati emessi ed esportati da CA privata AWS.

Quando si utilizzano API le azioni o CLI i comandi descritti di seguito, ACM tenta di rinnovare il certificato. Se il rinnovo ha esito positivo, ACM aggiorna i metadati del certificato visualizzati nella console di gestione o in output. API Se il certificato è associato a un servizio ACM integrato, il nuovo certificato viene distribuito e viene generato un evento di rinnovo in Amazon CloudWatch Events. Se il rinnovo fallisce, ACM restituisce un errore e suggerisce azioni correttive. (È possibile visualizzare queste informazioni utilizzando il comando describe-certificate.) Se il certificato non viene distribuito tramite un servizio integrato, è comunque necessario esportarlo e installarlo manualmente nella risorsa.

Importante

Per rinnovare i CA privata AWS certificatiACM, devi prima concedere al ACM servizio le autorizzazioni principali per farlo. Per ulteriori informazioni, vedere Assegnazione delle autorizzazioni di rinnovo dei certificati a. ACM

Per testare manualmente il rinnovo dei certificati (AWS CLI)

1. Utilizza il comando renew-certificate per rinnovare un certificato privato esportato.

   aws acm renew-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

2. Quindi utilizza il comando describe-certificate per confermare l'avvenuto aggiornamento dei dettagli di rinnovo del certificato.

   aws acm describe-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

Per testare manualmente il rinnovo del certificato () ACM API

• Invia una RenewCertificaterichiesta, specificando il ARN certificato privato da rinnovare. Quindi utilizza l'DescribeCertificateoperazione per confermare che i dettagli di rinnovo del certificato sono stati aggiornati.