私人證書續期 AWS Certificate Manager - AWS Certificate Manager
自動匯出續約憑證測試受管續約

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

私人證書續期 AWS Certificate Manager

ACM由私人 CA 簽署的憑證 AWS 私有 CA 符合受管理續約的資格。與公開信任的ACM憑證不同,私有憑證不PKI需要驗證。系統管理員在用戶端信任存放區中安裝適當的根憑證授權機構憑證時,就會建立信任。

注意

只有使用ACM主控台或的RequestCertificate動作取得的憑證才ACMAPI有資格進行受管理續約。直接簽發的證書 AWS 私有 CA 使用的IssueCertificate動作 AWS 私有 CA API不由管理ACM。

當受管理憑證離到期日 60 天後,ACM會自動嘗試進行續約。這包括手動匯出和安裝的憑證 (例如在內部部署資料中心裡)。客戶也可以隨時使用的RenewCertificate動作強制續訂ACMAPI。如需強制續約的 Java 實作範例,請參閱 續約憑證

續約後,會依下列其中一種方式將憑證部署至服務:

自動匯出續約憑證

下列程序提供範例解決方案,可在續訂私有PKI憑證時ACM自動匯出私有憑證。此範例只會將憑證及其私密金鑰匯出ACM;匯出後,憑證仍必須安裝在其目標裝置上。

若要使用主控台自動化憑證匯出作業

  1. 以下程序 AWS Lambda 開發人員指南,建立和設定呼叫ACM匯出的 Lambda 函數API。

    1. 建立 Lambda 函數

    2. 為您的函數建立 Lambda 執行角色,並將下列信任政策加入函數。此原則會透過呼叫的ExportCertificate動作,授予函數中程式碼的權限,以擷取更新的憑證和私密金鑰ACMAPI。

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. 在 Amazon 中建立規則 EventBridge以偵聽ACM健康事件,並在偵測到 Lambda 函數時呼叫您的 Lambda 函數。ACM寫入 AWS Health 每次嘗試更新憑證時都會發生事件。如需這些通知的詳細資訊,請參閱「使用 Personal Health Dashboard 檢查狀態(PHD)」。

    加入下列事件模式來設定規則。

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. 在目標系統上手動安裝憑證以完成續約程序。

測試私有PKI憑證的受管更新

您可以使用ACMAPI或 AWS CLI 手動測試受ACM管續約工作流程的組態。這樣,您可以在到期ACM前確認您的憑證將自動更新。

注意

您只能測試簽發和匯出的憑證的續約情況 AWS 私有 CA.

當您使用下述API動作或CLI命令時,會ACM嘗試更新憑證。如果續約成功,請ACM更新管理主控台或API輸出中顯示的憑證中繼資料。如果憑證與ACM整合式服務相關聯,則會部署新憑證,並在 Amazon E CloudWatch vents 中產生更新事件。如果續約失敗,會ACM傳回錯誤並建議修復動作。(您可以使用 describe-certificate 命令。) 如果憑證未透過整合服務部署,您仍需要將憑證匯出並手動安裝到您的資源上。

重要

為了更新您的 AWS 私有 CA 憑證時ACM,您必須先授與ACM服務主體權限,才能執行此操作。如需詳細資訊,請參閱將憑證續訂權限指派給ACM

若要手動測試憑證更新 (AWS CLI)

  1. 使用 renew-certificate 命令來續約私有匯出憑證。

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. 然後,使用 describe-certificate 命令來確認憑證的續約詳細資訊已更新。

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
手動測試憑證更新 (ACMAPI)