Renouvellement du certificat privé en AWS Certificate Manager - AWS Certificate Manager
Automatiser l'exportation des certificats renouvelésTest du renouvellement géré

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Renouvellement du certificat privé en AWS Certificate Manager

ACMcertificats signés par une autorité de certification privée de Autorité de certification privée AWS sont éligibles au renouvellement géré. Contrairement aux ACM certificats approuvés par le public, un certificat pour un certificat privé ne PKI nécessite aucune validation. La confiance est établie lorsqu'un administrateur installe le certificat de l'autorité de certification racine appropriée dans les magasins d'approbation clients.

Note

Seuls les certificats obtenus à l'aide de la ACM console ou RequestCertificateà l'aide de ACM API celle-ci sont éligibles au renouvellement géré. Certificats délivrés directement par Autorité de certification privée AWS en utilisant l'IssueCertificateaction du Autorité de certification privée AWS APIne sont pas gérés parACM.

Lorsqu'un certificat géré arrive à expiration dans 60 jours, tente ACM automatiquement de le renouveler. Cela s'applique également aux certificats exportés et installés manuellement (par exemple, dans un centre de données sur site). Les clients peuvent également forcer le renouvellement à tout moment en utilisant l'RenewCertificateaction du ACMAPI. Pour obtenir un exemple d'implémentation Java du renouvellement forcé, consultez Renouvellement d'un certificat.

Après le renouvellement, le déploiement d'un certificat s'effectue de l'une des manières suivantes :

Automatiser l'exportation des certificats renouvelés

La procédure suivante fournit un exemple de solution pour automatiser l'exportation de vos PKI certificats privés lors de leur ACM renouvellement. Cet exemple exporte uniquement un certificat et sa clé privée ACM ; après l'exportation, le certificat doit toujours être installé sur sa machine cible.

Automatiser l’exportation de certificats à l'aide de la console

  1. En suivant les procédures décrites dans le AWS Guide du développeur Lambda, créez et configurez une fonction Lambda qui appelle l'exportation. ACM API

    1. Création d'une fonction Lambda.

    2. Création d'un rôle d'exécution Lambda pour votre fonction et ajoutez-y la politique d'approbation suivante. La politique autorise le code de votre fonction à récupérer le certificat et la clé privée renouvelés en appelant l'ExportCertificateaction du ACMAPI.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Créez une règle dans Amazon EventBridge pour suivre les événements de ACM santé et appelez votre fonction Lambda lorsqu'elle en détecte un. ACMécrit à un AWS Health événement à chaque fois qu'il tente de renouveler un certificat. Pour plus d'informations sur ces avis, consultez Vérifiez le statut à l'aide du Personal Health Dashboard (PHD).

    Configurez la règle en ajoutant le modèle d'événement suivant.

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. Finalisez le processus de renouvellement en installant manuellement le certificat sur le système cible.

Tester le renouvellement géré des PKI certificats privés

Vous pouvez utiliser le ACM API ou AWS CLI pour tester manuellement la configuration de votre flux de travail de renouvellement ACM géré. Ce faisant, vous pouvez confirmer que vos certificats seront renouvelés automatiquement ACM avant leur expiration.

Note

Vous ne pouvez tester le renouvellement des certificats émis et exportés que par Autorité de certification privée AWS.

Lorsque vous utilisez API les actions ou CLI les commandes décrites ci-dessous, ACM tente de renouveler le certificat. Si le renouvellement aboutit, ACM met à jour les métadonnées du certificat affichées dans la console de gestion ou dans les API résultats. Si le certificat est associé à un service ACM intégré, le nouveau certificat est déployé et un événement de renouvellement est généré dans Amazon CloudWatch Events. Si le renouvellement échoue, ACM renvoie un message d'erreur et suggère des mesures correctives. (Vous pouvez afficher cette information à l'aide de la commande describe-certificate). Si le certificat n'est pas déployé via un service intégré, vous devez malgré tout l'exporter et l'installer manuellement sur votre ressource.

Important

Afin de renouveler votre Autorité de certification privée AWS certificats avecACM, vous devez d'abord accorder au ACM service principal les autorisations nécessaires pour ce faire. Pour plus d'informations, consultez Attribuer des autorisations de renouvellement de certificat à ACM.

Pour tester manuellement le renouvellement des certificats (AWS CLI)

  1. Utilisez la commande renew-certificate pour renouveler un certificat privé exporté.

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. Utilisez ensuite la commande describe-certificate pour confirmer que les informations du certificat ont été mises à jour.

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Pour tester manuellement le renouvellement du certificat (ACMAPI)

  • Envoyez une RenewCertificatedemande en spécifiant ARN le certificat privé à renouveler. Utilisez ensuite cette DescribeCertificateopération pour confirmer que les informations de renouvellement du certificat ont été mises à jour.