Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Demander un certificat privé (console)
-
Connectez-vous à la console AWS de gestion et ouvrez la console ACM à la https://console.aws.amazon.com/acm/maison
. Choisissez Request a certificate (Demander un certificat).
-
Sur la page Demander un certificat choisissez Request a private certificate (Demander un certificat privé) et Next (Suivant) pour continuer.
-
Dans la section Détails de l'autorité de certification, cliquez sur le menu Autorité de certification et choisissez l'une des options privées disponibles CAs. Si l'autorité de certification est partagée à partir d'un autre compte, l'ARN est précédé des informations de propriété.
Les informations relatives à l'autorité de certification s'affichent pour vous permettre de vérifier que vous avez choisi la bonne :
-
Propriétaire
-
Type
-
Nom commun
-
Organisation
-
Unité d'organisation
-
Nom du pays
-
État ou province
-
Nom de la localité
-
-
Dans la page Ajouter des noms de domaine, saisissez votre nom de domaine. Vous pouvez utiliser un nom de domaine complet (FQDN) comme
www.example.comou un nom de domaine strict ou apex tel queexample.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple,*.example.comprotègecorp.example.cometimages.example.com. Le nom générique apparaît dans le champ Objet et dans l'extension Autre nom de l'objet du certificat ACM.Note
Lorsque vous demandez un certificat générique, l'astérisque (
*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple,*.example.comil peut protégerlogin.example.com, ettest.example.com, mais ne peut pas protégertest.login.example.com. Notez aussi que*.example.comprotège uniquement les sous-domaines deexample.com, il ne protège pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étape suivanteChoisissez éventuellement Ajouter un autre nom à ce certificat et tapez le nom dans la zone de texte. Ceci est très utile pour authentifier un nom de domaine strict ou apex (comme
example.com) et ses sous-domaines (comme*.example.com). -
Dans la section Algorithme clé, choisissez un algorithme.
Pour obtenir des informations qui vous aideront à choisir un algorithme, consultez AWS Certificate Manager Ressources de balises.
-
Sur la page Ajouter des balises vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser AWS les ressources. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajout de balises aux certificats après leur création, consultez AWS Certificate Manager Ressources de balises.
-
Dans la section Permissions de renouvellement de certificats, accusez réception de l'avis concernant les autorisations de renouvellement de certificat. Ces autorisations permettent le renouvellement automatique des certificats PKI privés que vous signez avec l'autorité de certification sélectionnée. Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.
-
Après avoir fourni toutes les informations requises, choisissez Request (Demander). La console vous renvoie à la liste des certificats, où vous pouvez afficher votre nouveau certificat.
Note
Selon la façon dont vous avez commandé la liste, un certificat que vous recherchez peut ne pas être immédiatement visible. Vous pouvez cliquer sur le triangle noir à droite pour modifier l'ordre. Vous pouvez également parcourir plusieurs pages de certificats à l'aide des numéros de page situés en haut à droite.
Demander un certificat privé (CLI)
Utilisez la commande request-certificate pour demander un certificat privé dans ACM.
Note
Lorsque vous demandez un certificat PKI privé signé par une autorité de certification AWS Private CA, la famille d'algorithmes de signature spécifiée (RSA ou ECDSA) doit correspondre à la famille d'algorithmes de la clé secrète de l'autorité de certification.
aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\ certificate-authority/CA_ID
Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat privé.
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} Dans la plupart des cas, ACM attache automatiquement un rôle lié à un service (SLR) à votre compte la première fois que vous utilisez une autorité de certification partagée. Le rôle SLR permet le renouvellement automatique des certificats d'entité finale que vous émettez. Pour déterminer si le rôle SLR est présent, vous pouvez interroger IAM à l'aide de la commande suivante :
aws iam get-role --role-name AWSServiceRoleForCertificateManager
Si le rôle SLR est présent, la sortie de commande est semblable à la suivante :
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}En l'absence de rôle SLR, consultez Utilisation d'un rôle lié à un service avec ACM.
