Mengotomatiskan ekspor sertifikat yang diperbarui Uji perpanjangan terkelola

Memperbarui sertifikat secara pribadi PKI

ACMsertifikat yang ditandatangani oleh CA pribadi dari AWS Private CA memenuhi syarat untuk perpanjangan terkelola. Tidak seperti ACM sertifikat yang dipercaya publik, sertifikat untuk privat tidak PKI memerlukan validasi. Kepercayaan dibuat ketika administrator menginstal sertifikat CA root yang sesuai di toko kepercayaan klien.

catatan

Hanya sertifikat yang diperoleh menggunakan ACM konsol atau RequestCertificatetindakan yang memenuhi syarat untuk perpanjangan terkelola. ACM API Sertifikat yang dikeluarkan langsung dari AWS Private CA penggunaan IssueCertificatetindakan AWS Private CA API tidak dikelola olehACM.

Ketika sertifikat terkelola 60 hari lagi dari kedaluwarsa, ACM secara otomatis mencoba memperbaruinya. Ini termasuk sertifikat yang diekspor dan diinstal secara manual (misalnya, di pusat data lokal). Pelanggan juga dapat memaksa pembaruan kapan saja menggunakan RenewCertificatetindakan. ACM API Untuk contoh implementasi Java dari pembaruan paksa, lihatMemperpanjang sertifikat.

Setelah perpanjangan, penyebaran sertifikat ke dalam layanan terjadi dengan salah satu cara berikut:

Jika sertifikat dikaitkan dengan layanan ACM terintegrasi, sertifikat baru menggantikan yang lama tanpa tindakan pelanggan tambahan.
Jika sertifikat tidak terkait dengan layanan ACM terintegrasi, tindakan pelanggan diperlukan untuk mengekspor dan menginstal sertifikat yang diperbarui. Anda dapat melakukan tindakan ini secara manual, atau dengan bantuan dari AWS Health, Amazon EventBridge, dan AWS Lambdasebagai berikut. Untuk informasi selengkapnya, lihat Mengotomatiskan ekspor sertifikat yang diperbarui

Mengotomatiskan ekspor sertifikat yang diperbarui

Prosedur berikut memberikan contoh solusi untuk mengotomatisasi ekspor PKI sertifikat pribadi Anda saat ACM memperbaruinya. Contoh ini hanya mengekspor sertifikat dan kunci privatnya dariACM; setelah ekspor, sertifikat masih harus diinstal pada perangkat targetnya.

Untuk mengotomatiskan ekspor sertifikat menggunakan konsol

Mengikuti prosedur di Panduan Pengembang AWS Lambda, buat dan konfigurasikan fungsi Lambda yang memanggil ekspor. ACM API
1. Buat fungsi Lambda.
2. Buat peran eksekusi Lambda untuk fungsi Anda dan tambahkan kebijakan kepercayaan berikut ke dalamnya. Kebijakan memberikan izin ke kode dalam fungsi Anda untuk mengambil sertifikat yang diperbarui dan kunci pribadi dengan memanggil ExportCertificatetindakan. ACM API
```
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}
```
Buat aturan di Amazon EventBridge untuk mendengarkan acara ACM kesehatan dan memanggil fungsi Lambda Anda saat mendeteksi satu. ACMmenulis ke suatu AWS Health acara setiap kali ia mencoba memperbarui sertifikat. Untuk informasi lebih lanjut tentang pemberitahuan ini, lihatPeriksa status menggunakan Personal Health Dashboard (PHD).

Konfigurasikan aturan dengan menambahkan pola acara berikut.
```
{
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}
```
Selesaikan proses perpanjangan dengan menginstal sertifikat secara manual pada sistem target.

Menguji perpanjangan terkelola sertifikat pribadi PKI

Anda dapat menggunakan ACM API atau AWS CLI untuk menguji konfigurasi alur kerja perpanjangan ACM terkelola secara manual. Dengan demikian, Anda dapat mengonfirmasi bahwa sertifikat Anda akan diperbarui secara otomatis ACM sebelum kedaluwarsa.

catatan

Anda hanya dapat menguji pembaruan sertifikat yang dikeluarkan dan diekspor oleh. AWS Private CA

Saat Anda menggunakan API tindakan atau CLI perintah yang dijelaskan di bawah ini, ACM mencoba memperbarui sertifikat. Jika perpanjangan berhasil, ACM perbarui metadata sertifikat yang ditampilkan di konsol manajemen atau dalam output. API Jika sertifikat dikaitkan dengan layanan ACM terintegrasi, sertifikat baru akan digunakan dan acara perpanjangan dibuat di Amazon CloudWatch Events. Jika perpanjangan gagal, ACM mengembalikan kesalahan dan menyarankan tindakan perbaikan. (Anda dapat melihat informasi ini menggunakan perintah deskripsi-sertifikat.) Jika sertifikat tidak digunakan melalui layanan terintegrasi, Anda masih perlu mengekspornya dan menginstalnya secara manual di sumber daya Anda.

penting

Untuk memperbarui AWS Private CA sertifikat AndaACM, Anda harus terlebih dahulu memberikan izin utama ACM layanan untuk melakukannya. Untuk informasi selengkapnya, lihat Menetapkan Izin Perpanjangan Sertifikat ke. ACM

Untuk menguji perpanjangan sertifikat secara manual ()AWS CLI

Gunakan perintah renew-certificate untuk memperbarui sertifikat ekspor pribadi.


aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

Kemudian gunakan perintah deskripsi-sertifikat untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.
```
aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```

Untuk menguji perpanjangan sertifikat secara manual () ACM API

Kirim RenewCertificatepermintaan, tentukan sertifikat pribadi untuk diperpanjang. ARN Kemudian gunakan DescribeCertificateoperasi untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perpanjangan untuk validasi email

Periksa status perpanjangan