Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memecahkan masalah lain
Bagian ini mencakup panduan untuk masalah yang tidak terkait dengan penerbitan atau validasi sertifikat ACM.
**Topics**
+ [Masalah Otorisasi Otoritas Sertifikasi (CAA)](troubleshooting-caa.md)
+ [Masalah impor sertifikat](troubleshoot-import.md)
+ [Masalah penyematan sertifikat](troubleshooting-pinning.md)
+ [Masalah API Gateway](troubleshoot-apigateway.md)
+ [Apa yang harus dilakukan ketika sertifikat kerja gagal secara tak terduga](unexpected-failure.md)
+ [Masalah dengan peran terkait layanan ACM (SLR)](slr-problems.md)
# Masalah Otorisasi Otoritas Sertifikasi (CAA)
Anda dapat menggunakan data DNS CAA untuk menentukan bahwa otoritas sertifikat Amazon (CA) dapat menerbitkan sertifikat ACM untuk domain atau subdomain Anda. Jika Anda menerima kesalahan selama penerbitan sertifikat yang mengatakan **Satu atau beberapa nama domain gagal validasi karena kesalahan Otorisasi Otorisasi Otoritas Sertifikasi (CAA)**, periksa catatan DNS CAA Anda. Jika Anda menerima kesalahan ini setelah permintaan sertifikat ACM Anda berhasil divalidasi, Anda harus memperbarui catatan CAA Anda dan meminta sertifikat lagi. Bidang **nilai** dalam catatan CAA Anda harus berisi salah satu nama domain berikut:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
Untuk informasi selengkapnya tentang membuat catatan CAA, lihat[(Opsional) Konfigurasikan catatan CAA](setup.md#setup-caa).
**catatan**
Anda dapat memilih untuk tidak mengonfigurasi catatan CAA untuk domain Anda jika Anda tidak ingin mengaktifkan pemeriksaan CAA.
# Masalah impor sertifikat
Anda dapat mengimpor sertifikat pihak ketiga ke ACM dan mengaitkannya dengan [layanan terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html). [Jika Anda mengalami masalah, tinjau [prasyarat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) dan topik format sertifikat.](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html) Secara khusus, perhatikan hal berikut:
+ Anda hanya dapat mengimpor sertifikat X.509 versi 3. SSL/TLS
+ Sertifikat Anda dapat ditandatangani sendiri atau dapat ditandatangani oleh otoritas sertifikat (CA).
+ Jika sertifikat Anda ditandatangani oleh CA, Anda harus menyertakan rantai sertifikat perantara yang menyediakan jalur ke akar otoritas.
+ Jika sertifikat Anda ditandatangani sendiri, Anda harus menyertakan kunci pribadi dalam teks biasa.
+ Setiap sertifikat dalam rantai harus secara langsung mengesahkan yang sebelumnya.
+ Jangan sertakan sertifikat entitas akhir Anda dalam rantai sertifikat perantara.
+ Sertifikat, rantai sertifikat, dan kunci pribadi Anda (jika ada) harus dikodekan PEM. Secara umum, pengkodean PEM terdiri dari blok teks ASCII yang dikodekan Base64 yang dimulai dan diakhiri dengan header teks biasa dan garis footer. Anda tidak boleh menambahkan baris atau spasi atau membuat perubahan lain pada file PEM saat menyalin atau mengunggahnya. Anda dapat memverifikasi rantai sertifikat menggunakan utilitas verifikasi [OpenSSL](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html).
+ Kunci pribadi Anda (jika ada) tidak boleh dienkripsi. (Tip: jika memiliki frasa sandi, itu dienkripsi.)
+ Layanan yang [terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) dengan ACM harus menggunakan algoritma dan ukuran kunci yang didukung ACM. Lihat Panduan AWS Certificate Manager Pengguna dan dokumentasi untuk setiap layanan untuk memastikan bahwa sertifikat Anda akan berfungsi.
+ Dukungan sertifikat oleh layanan terintegrasi mungkin berbeda tergantung pada apakah sertifikat diimpor ke IAM atau ke ACM.
+ Sertifikat harus valid ketika diimpor.
+ Informasi detail untuk semua sertifikat Anda ditampilkan di konsol. Namun, secara default, jika Anda memanggil [ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html)API atau AWS CLI perintah [daftar-sertifikat](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) tanpa menentukan `keyTypes` filter, hanya `RSA_1024` atau `RSA_2048` sertifikat yang ditampilkan.
# Masalah penyematan sertifikat
Untuk memperbarui sertifikat, ACM menghasilkan key pair public-private baru. Jika aplikasi Anda menggunakan[Penyematan sertifikat](acm-bestpractices.md#best-practices-pinning), kadang-kadang dikenal sebagai penyematan SSL, untuk menyematkan sertifikat ACM, aplikasi mungkin tidak dapat terhubung ke domain Anda setelah AWS memperbarui sertifikat. Untuk alasan ini, kami menyarankan Anda untuk tidak menyematkan sertifikat ACM. Jika aplikasi Anda harus menyematkan sertifikat, Anda dapat melakukan hal berikut:
+ [Impor sertifikat Anda sendiri ke ACM](import-certificate.md) dan kemudian pin aplikasi Anda ke sertifikat yang diimpor. ACM tidak menyediakan perpanjangan terkelola untuk sertifikat yang diimpor.
+ Jika Anda menggunakan sertifikat publik, sematkan aplikasi Anda ke semua [sertifikat root Amazon](https://www.amazontrust.com/repository/) yang tersedia. Jika Anda menggunakan sertifikat pribadi, sematkan aplikasi Anda ke sertifikat root CA.
# Masalah API Gateway
Saat Anda menerapkan titik akhir API yang *dioptimalkan tepi*, API Gateway menyiapkan distribusi untuk Anda. CloudFront CloudFront Distribusi dimiliki oleh API Gateway, bukan oleh akun Anda. Distribusi terikat pada sertifikat ACM yang Anda gunakan saat menerapkan API Anda. Untuk menghapus pengikatan dan mengizinkan ACM menghapus sertifikat, Anda harus menghapus domain kustom API Gateway yang terkait dengan sertifikat.
Saat Anda menerapkan titik akhir API *regional*, API Gateway membuat penyeimbang beban aplikasi (ALB) atas nama Anda. Load balancer dimiliki oleh API Gateway dan tidak terlihat oleh Anda. ALB terikat pada sertifikat ACM yang Anda gunakan saat menerapkan API Anda. Untuk menghapus pengikatan dan mengizinkan ACM menghapus sertifikat, Anda harus menghapus domain kustom API Gateway yang terkait dengan sertifikat.
# Apa yang harus dilakukan ketika sertifikat kerja gagal secara tak terduga
Jika Anda telah berhasil mengaitkan sertifikat ACM dengan layanan terintegrasi, tetapi sertifikat berhenti bekerja dan layanan terintegrasi mulai mengembalikan kesalahan, penyebabnya mungkin adalah perubahan dalam izin yang dibutuhkan layanan untuk menggunakan sertifikat ACM.
Misalnya, Elastic Load Balancing (ELB) memerlukan izin untuk mendekripsi AWS KMS key yang, pada gilirannya, mendekripsi kunci pribadi sertifikat. Izin ini diberikan oleh kebijakan berbasis sumber daya yang berlaku ACM saat Anda mengaitkan sertifikat dengan ELB. Jika ELB kehilangan hibah untuk izin itu, itu akan gagal saat berikutnya mencoba mendekripsi kunci sertifikat.
Untuk menyelidiki masalah, periksa status hibah Anda menggunakan AWS KMS konsol di[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Kemudian ambil salah satu tindakan berikut:
+ Jika Anda yakin bahwa izin yang diberikan kepada layanan terintegrasi telah dicabut, kunjungi konsol layanan terintegrasi, lepaskan sertifikat dari layanan, lalu kaitkan kembali. Ini akan menerapkan kembali kebijakan berbasis sumber daya dan menerapkan hibah baru.
+ Jika Anda yakin bahwa izin yang diberikan kepada ACM telah dicabut, hubungi Dukungan di rumah\$1/. https://console.aws.amazon.com/support/
# Masalah dengan peran terkait layanan ACM (SLR)
[Saat Anda mengeluarkan sertifikat yang ditandatangani oleh CA pribadi yang telah dibagikan dengan Anda oleh akun lain, ACM mencoba penggunaan pertama untuk menyiapkan peran terkait layanan (SLR) untuk berinteraksi sebagai prinsipal dengan kebijakan akses berbasis sumber daya. AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp) Jika Anda mengeluarkan sertifikat pribadi dari CA bersama dan SLR tidak ada, ACM tidak akan dapat memperbarui sertifikat itu secara otomatis untuk Anda.
ACM mungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika `iam:GetRole` izin yang diperlukan telah diberikan kepada ACM SLR untuk akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. Jika berulang, Anda atau administrator akun Anda mungkin perlu memberikan `iam:GetRole` izin ke ACM, atau mengaitkan akun Anda dengan kebijakan yang dikelola ACM. `AWSCertificateManagerFullAccess`
Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.