Rinnovo privato del certificato in AWS Certificate Manager - AWS Certificate Manager
Automatizza l'esportazione di certificati rinnovatiTesta il rinnovo gestito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rinnovo privato del certificato in AWS Certificate Manager

ACMcertificati firmati da una CA privata di CA privata AWS sono idonei al rinnovo gestito. A differenza dei ACM certificati pubblicamente attendibili, un certificato privato non PKI richiede alcuna convalida. L'attendibilità viene stabilita quando un amministratore installa il certificato CA radice appropriato negli archivi client attendibili.

Nota

Solo i certificati ottenuti utilizzando la ACM console o l'RequestCertificateazione di ACM API sono idonei per il rinnovo gestito. Certificati emessi direttamente da CA privata AWS utilizzando l'IssueCertificateazione di CA privata AWS APInon sono gestiti daACM.

Quando mancano 60 giorni alla scadenza di un certificato gestito, tenta ACM automaticamente di rinnovarlo. Sono inclusi i certificati esportati e installati manualmente (ad esempio, in un data center locale). I clienti possono anche forzare il rinnovo in qualsiasi momento utilizzando l'RenewCertificateazione di. ACM API Per un'implementazione Java di esempio del rinnovo forzato, vedi Rinnovo di un certificato.

Dopo il rinnovo, la distribuzione di un certificato in servizio si verifica in uno dei modi seguenti:

Automatizza l'esportazione di certificati rinnovati

La procedura seguente fornisce una soluzione di esempio per automatizzare l'esportazione dei PKI certificati privati al momento del ACM rinnovo. Questo esempio esporta solo un certificato e la relativa chiave privata daACM; dopo l'esportazione, il certificato deve ancora essere installato sul dispositivo di destinazione.

Per automatizzare l'esportazione dei certificati utilizzando la console

  1. Di seguito sono riportate le procedure in AWS Lambda Developer Guide, crea e configura una funzione Lambda che chiama export. ACM API

    1. Creazione di una funzione Lambda.

    2. Crea un ruolo di esecuzione Lambda per la tua funzione e aggiungici la seguente policy di attendibilità. La policy concede l'autorizzazione al codice della funzione in uso per recuperare il certificato e la chiave privata rinnovati richiamando l'ExportCertificateazione di. ACM API

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Crea una regola in Amazon per EventBridge ascoltare gli eventi ACM sanitari e richiama la funzione Lambda quando ne rileva uno. ACMscrive su un AWS Health evento ogni volta che tenta di rinnovare un certificato. Per ulteriori informazioni su questi valori, consulta Controlla lo stato utilizzando Personal Health Dashboard (PHD).

    Configura la regola aggiungendo il seguente modello di eventi.

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. Completa il processo di rinnovo installando manualmente il certificato nel sistema di destinazione.

Prova il rinnovo gestito dei certificati privati PKI

È possibile utilizzare o ACM API AWS CLI per testare manualmente la configurazione del flusso di lavoro di rinnovo ACM gestito. In questo modo, puoi confermare che i tuoi certificati verranno rinnovati automaticamente ACM prima della scadenza.

Nota

Puoi testare solo il rinnovo dei certificati emessi ed esportati da CA privata AWS.

Quando si utilizzano API le azioni o CLI i comandi descritti di seguito, ACM tenta di rinnovare il certificato. Se il rinnovo ha esito positivo, ACM aggiorna i metadati del certificato visualizzati nella console di gestione o in output. API Se il certificato è associato a un servizio ACM integrato, il nuovo certificato viene distribuito e viene generato un evento di rinnovo in Amazon CloudWatch Events. Se il rinnovo fallisce, ACM restituisce un errore e suggerisce azioni correttive. (È possibile visualizzare queste informazioni utilizzando il comando describe-certificate.) Se il certificato non viene distribuito tramite un servizio integrato, è comunque necessario esportarlo e installarlo manualmente nella risorsa.

Importante

Per rinnovare il CA privata AWS certificati conACM, devi prima concedere al ACM servizio le autorizzazioni principali per farlo. Per ulteriori informazioni, vedere Assegnazione delle autorizzazioni di rinnovo dei certificati a. ACM

Per testare manualmente il rinnovo del certificato (AWS CLI)

  1. Utilizza il comando renew-certificate per rinnovare un certificato privato esportato.

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. Quindi utilizza il comando describe-certificate per confermare l'avvenuto aggiornamento dei dettagli di rinnovo del certificato.

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Per testare manualmente il rinnovo del certificato (ACMAPI)

  • Invia una RenewCertificaterichiesta, specificando il ARN certificato privato da rinnovare. Quindi utilizza l'DescribeCertificateoperazione per confermare che i dettagli di rinnovo del certificato sono stati aggiornati.