Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
ACMsertifikat yang ditandatangani oleh CA pribadi dari AWS Private CA memenuhi syarat untuk perpanjangan terkelola. Tidak seperti ACM sertifikat yang dipercaya publik, sertifikat untuk privat tidak PKI memerlukan validasi. Kepercayaan dibuat ketika administrator menginstal sertifikat CA root yang sesuai di toko kepercayaan klien.
catatan
Hanya sertifikat yang diperoleh menggunakan ACM konsol atau RequestCertificatetindakan yang memenuhi syarat untuk perpanjangan terkelola. ACM API Sertifikat yang dikeluarkan langsung dari AWS Private CA menggunakan IssueCertificatetindakan dari AWS Private CA APItidak dikelola olehACM.
Ketika sertifikat terkelola 60 hari lagi dari kedaluwarsa, ACM secara otomatis mencoba memperbaruinya. Ini termasuk sertifikat yang diekspor dan diinstal secara manual (misalnya, di pusat data lokal). Pelanggan juga dapat memaksa pembaruan kapan saja menggunakan RenewCertificatetindakan. ACM API Untuk contoh implementasi Java dari pembaruan paksa, lihatMemperbarui sertifikat.
Setelah perpanjangan, penyebaran sertifikat ke dalam layanan terjadi dengan salah satu cara berikut:
-
Jika sertifikat dikaitkan dengan layanan ACM terintegrasi, sertifikat baru menggantikan yang lama tanpa tindakan pelanggan tambahan.
-
Jika sertifikat tidak terkait dengan layanan ACM terintegrasi, tindakan pelanggan diperlukan untuk mengekspor dan menginstal sertifikat yang diperbarui. Anda dapat melakukan tindakan ini secara manual, atau dengan bantuan dari AWS Health, Amazon EventBridge, dan AWS Lambdasebagai berikut. Untuk informasi selengkapnya, silakan lihat Mengotomatiskan ekspor sertifikat yang diperbarui
Mengotomatiskan ekspor sertifikat yang diperbarui
Prosedur berikut memberikan contoh solusi untuk mengotomatisasi ekspor PKI sertifikat pribadi Anda saat ACM memperbaruinya. Contoh ini hanya mengekspor sertifikat dan kunci privatnya dariACM; setelah ekspor, sertifikat masih harus diinstal pada perangkat targetnya.
Untuk mengotomatiskan ekspor sertifikat menggunakan konsol
-
Mengikuti prosedur di AWS Panduan Pengembang Lambda, buat dan konfigurasikan fungsi Lambda yang memanggil ekspor. ACM API
-
Buat peran eksekusi Lambda untuk fungsi Anda dan tambahkan kebijakan kepercayaan berikut ke dalamnya. Kebijakan memberikan izin ke kode dalam fungsi Anda untuk mengambil sertifikat yang diperbarui dan kunci pribadi dengan memanggil ExportCertificatetindakan. ACM API
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm:ExportCertificate", "Resource":"*" } ] }
-
Buat aturan di Amazon EventBridge untuk mendengarkan acara ACM kesehatan dan memanggil fungsi Lambda Anda saat mendeteksi satu. ACMmenulis ke AWS Health acara setiap kali mencoba untuk memperbarui sertifikat. Untuk informasi lebih lanjut tentang pemberitahuan ini, lihatPeriksa status menggunakan Personal Health Dashboard (PHD).
Konfigurasikan aturan dengan menambahkan pola acara berikut.
{ "source":[ "aws.health" ], "detail-type":[ "AWS Health Event" ], "detail":{ "service":[ "ACM" ], "eventTypeCategory":[ "scheduledChange" ], "eventTypeCode":[ "AWS_ACM_RENEWAL_STATE_CHANGE" ] }, "resources":[ "arn:aws:acm:region:account:certificate/certificate_ID" ] } -
Selesaikan proses perpanjangan dengan menginstal sertifikat secara manual pada sistem target.
Uji perpanjangan sertifikat pribadi PKI yang dikelola
Anda dapat menggunakan ACM API atau AWS CLI untuk menguji konfigurasi alur kerja perpanjangan ACM terkelola Anda secara manual. Dengan demikian, Anda dapat mengonfirmasi bahwa sertifikat Anda akan diperbarui secara otomatis ACM sebelum kedaluwarsa.
catatan
Anda hanya dapat menguji perpanjangan sertifikat yang dikeluarkan dan diekspor oleh AWS Private CA.
Saat Anda menggunakan API tindakan atau CLI perintah yang dijelaskan di bawah ini, ACM mencoba memperbarui sertifikat. Jika perpanjangan berhasil, ACM perbarui metadata sertifikat yang ditampilkan di konsol manajemen atau dalam output. API Jika sertifikat dikaitkan dengan layanan ACM terintegrasi, sertifikat baru akan digunakan dan acara perpanjangan dibuat di Amazon CloudWatch Events. Jika perpanjangan gagal, ACM mengembalikan kesalahan dan menyarankan tindakan perbaikan. (Anda dapat melihat informasi ini menggunakan perintah deskripsi-sertifikat.) Jika sertifikat tidak digunakan melalui layanan terintegrasi, Anda masih perlu mengekspornya dan menginstalnya secara manual di sumber daya Anda.
penting
Untuk memperbaharui AWS Private CA sertifikat denganACM, Anda harus terlebih dahulu memberikan izin utama ACM layanan untuk melakukannya. Untuk informasi selengkapnya, lihat Menetapkan Izin Perpanjangan Sertifikat ke. ACM
Untuk menguji perpanjangan sertifikat secara manual (AWS CLI)
-
Gunakan perintah renew-certificate untuk memperbarui sertifikat ekspor pribadi.
aws acm renew-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID -
Kemudian gunakan perintah deskripsi-sertifikat untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.
aws acm describe-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Untuk menguji perpanjangan sertifikat secara manual () ACM API
-
Kirim RenewCertificatepermintaan, tentukan sertifikat pribadi untuk diperpanjang. ARN Kemudian gunakan DescribeCertificateoperasi untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.
