Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
I certificati ACM firmati da una CA privata di CA privata AWS sono idonei al rinnovo gestito. A differenza dei certificati ACM di fiducia pubblica, un certificato per una PKI privata non richiede alcuna convalida. L'attendibilità viene stabilita quando un amministratore installa il certificato CA radice appropriato negli archivi client attendibili.
Nota
Solo i certificati ottenuti utilizzando la console ACM ol'azione RequestCertificate dell'API ACM sono idonei per il rinnovo gestito. I certificati emessi direttamente CA privata AWS utilizzando l'IssueCertificateazione dell' CA privata AWS API non sono gestiti da ACM.
Quando per un certificato gestito mancano 60 giorni alla scadenza, ACM tenta automaticamente di rinnovarlo. Sono inclusi i certificati esportati e installati manualmente (ad esempio, in un data center locale). I clienti possono anche forzare il rinnovo in qualsiasi momento utilizzando ilRenewCertificate dell'API ACM. Per un'implementazione Java di esempio del rinnovo forzato, vedi Rinnovo di un certificato.
Dopo il rinnovo, la distribuzione di un certificato in servizio si verifica in uno dei modi seguenti:
-
Se il certificato è associato a un servizio integrato ACM, il nuovo certificato sostituisce quello precedente senza ulteriori azioni da parte del cliente.
-
Se il certificato non è associato a un servizio integrato ACM, è necessaria un'azione del cliente per esportare e installare il certificato rinnovato. Puoi eseguire queste azioni manualmente o con l'assistenza AWS Healthdi Amazon EventBridge e AWS Lambdacome segue. Per ulteriori informazioni, consulta Automatizza l'esportazione dei certificati rinnovati
Automatizza l'esportazione dei certificati rinnovati
La procedura seguente fornisce una soluzione di esempio per automatizzare l'esportazione dei certificati PKI privati quando ACM li rinnova. Questo esempio esporta solo un certificato e la sua chiave privata da ACM; dopo l'esportazione, il certificato deve ancora essere installato sul rispettivo dispositivo di destinazione.
Per automatizzare l'esportazione dei certificati utilizzando la console
-
Seguendo le procedure riportate nella AWS Lambda Developer Guide, crea e configura una funzione Lambda che richiama l'API di esportazione ACM.
-
Crea un ruolo di esecuzione Lambda per la tua funzione e aggiungici la seguente policy di attendibilità. La policy concede l'autorizzazione al codice della funzione per recuperare il certificato e la chiave privata rinnovati richiamando l'ExportCertificateazione dell'API ACM.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm:ExportCertificate", "Resource":"*" } ] }
-
Crea una regola in Amazon per EventBridge ascoltare gli eventi sanitari ACM e richiama la funzione Lambda quando ne rileva uno. ACM scrive su un AWS Health evento ogni volta che tenta di rinnovare un certificato. Per ulteriori informazioni su questi valori, consulta Controlla lo stato utilizzando Personal Health Dashboard (PHD).
Configura la regola aggiungendo il seguente modello di eventi.
{ "source":[ "aws.health" ], "detail-type":[ "AWS Health Event" ], "detail":{ "service":[ "ACM" ], "eventTypeCategory":[ "scheduledChange" ], "eventTypeCode":[ "AWS_ACM_RENEWAL_STATE_CHANGE" ] }, "resources":[ "arn:aws:acm:region:account:certificate/certificate_ID" ] } -
Completa il processo di rinnovo installando manualmente il certificato nel sistema di destinazione.
Prova il rinnovo gestito dei certificati PKI privati
Puoi utilizzare l'API ACM o testare manualmente la configurazione del AWS CLI flusso di lavoro di rinnovo gestito ACM. In questo modo, è possibile confermare che i certificati saranno rinnovati automaticamente da ACM prima della scadenza.
Nota
Puoi testare solo il rinnovo dei certificati emessi ed esportati da. CA privata AWS
Quando si utilizzano le azioni API o i comandi CLI descritti di seguito, ACM tenta di rinnovare il certificato. Se il rinnovo ha esito positivo, ACM aggiorna i metadati del certificato visualizzati nella console di gestione o nell'output dell'API. Se il certificato è associato a un servizio integrato ACM, il nuovo certificato viene distribuito e viene generato un evento di rinnovo in Amazon CloudWatch Events. Se il rinnovo non riesce, ACM restituisce un errore e suggerisce un'azione correttiva. (È possibile visualizzare queste informazioni utilizzando il comando describe-certificate.) Se il certificato non viene distribuito tramite un servizio integrato, è comunque necessario esportarlo e installarlo manualmente nella risorsa.
Importante
Per rinnovare i CA privata AWS certificati con ACM, devi prima concedere al servizio ACM le autorizzazioni principali per farlo. Per ulteriori informazioni consulta Come assegnare le autorizzazioni ad ACM per il rinnovo dei certificati.
Per testare manualmente il rinnovo dei certificati (AWS CLI)
-
Utilizza il comando renew-certificate per rinnovare un certificato privato esportato.
aws acm renew-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID -
Quindi utilizza il comando describe-certificate per confermare l'avvenuto aggiornamento dei dettagli di rinnovo del certificato.
aws acm describe-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Per testare manualmente il rinnovo dei certificati (API ACM)
-
Invia una RenewCertificaterichiesta, specificando l'ARN del certificato privato da rinnovare. Quindi utilizza l'DescribeCertificateoperazione per confermare che i dettagli di rinnovo del certificato sono stati aggiornati.
