AWS Certificate Manager...AWS Certificate Manager Guide de l'utilisateur Concepts Présentation de...
138
AWS Certificate Manager Manuel de l'utilisateur Version 1.0
Transcript of AWS Certificate Manager...AWS Certificate Manager Guide de l'utilisateur Concepts Présentation de...
AWS Certificate ManagerManuel de l'utilisateur
Version 1.0
AWS Certificate Manager Manuel de l'utilisateur
AWS Certificate Manager: Manuel de l'utilisateurCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Certificate Manager Manuel de l'utilisateur
Table of ContentsPrésentation d'AWS Certificate Manager ? .............................................................................................. 1
ACM est-il le bon service pour moi ? ............................................................................................. 1Caractéristiques d'un certificat ACM .............................................................................................. 1Régions prises en charge ............................................................................................................ 3Services intégrés ........................................................................................................................ 4Sceaux de site et sceaux de confiance .......................................................................................... 5Quotas ...................................................................................................................................... 6
Quotas généraux ................................................................................................................ 6Quotas de taux de l'API ...................................................................................................... 7
Tarification ................................................................................................................................. 8Sécurité ............................................................................................................................................. 9
Protection des données ............................................................................................................... 9Sécurité de la clé privée ACM ............................................................................................ 10
Identity and Access Management ................................................................................................ 11Authentification ................................................................................................................. 11Contrôle d'accès ............................................................................................................... 12Présentation de la gestion des autorisations d'accès .............................................................. 12Stratégies gérées .............................................................................................................. 14Stratégies gérées par le client ............................................................................................ 15Stratégies en ligne ............................................................................................................ 15Rôle lié à un service ......................................................................................................... 18Référence des autorisations d'API ACM ............................................................................... 20
Consignation et surveillance ....................................................................................................... 21Utilisation de CloudTrail ..................................................................................................... 22
Résilience ................................................................................................................................ 35Sécurité de l'infrastructure .......................................................................................................... 35Bonnes pratiques ...................................................................................................................... 35
AWS CloudFormation ........................................................................................................ 36Épinglage de certificat ....................................................................................................... 36Validation de domaine ....................................................................................................... 37Ajout ou suppression de noms de domaine ........................................................................... 37Refus de la journalisation de transparence des certificats ........................................................ 37Activer AWS CloudTrail ..................................................................................................... 38
Configuration .................................................................................................................................... 39Configuration d'AWS et d'IAM ..................................................................................................... 39
S'inscrire à AWS .............................................................................................................. 39Créer un utilisateur IAM ..................................................................................................... 39
Enregistrement d'un nom de domaine .......................................................................................... 40Configuration de votre site ou application ..................................................................................... 41
Guide de démarrage rapide Linux ....................................................................................... 41Guide de démarrage rapide Windows .................................................................................. 41
(Facultatif) Configuration d'une adresse e-mail .............................................................................. 41Base de données WHOIS .................................................................................................. 42Enregistrement MX ............................................................................................................ 42
(Facultatif) Configuration de CAA ................................................................................................ 43Émission et gestion des certificats ....................................................................................................... 45
Demande d'un certificat public .................................................................................................... 45Demander un certificat public à l'aide de la console ............................................................... 46Demander un certificat public à l'aide de l'interface de ligne de commande ................................. 47
Demande d'un certificat privé ...................................................................................................... 47Configuration de l'accès à une autorité de certification privée ................................................... 48Demander un certificat privé à l'aide de la ACM console ......................................................... 49Demander un certificat privé à l'aide de l'interface de ligne de commande .................................. 51
Valider avec DNS ..................................................................................................................... 52
Version 1.0iii
AWS Certificate Manager Manuel de l'utilisateur
Ajouter un CNAME à votre base de données de configuration DNS .......................................... 56Supprimer un CNAME de votre base de données de configuration DNS .................................... 56
Valider par e-mail ..................................................................................................................... 56Liste des certificats ................................................................................................................... 60
Affichage de la liste des certificats (console) ......................................................................... 60Affichage de la liste des certificats (CLI) ............................................................................... 61
Description des certificats ........................................................................................................... 62Description des certificats (console) ..................................................................................... 62Description des certificats (CLI) ........................................................................................... 63
Suppression de certificats .......................................................................................................... 64Suppression de certificats (console) ..................................................................................... 64Suppression de certificats (CLI) .......................................................................................... 64
Installation des ACM certificats ................................................................................................... 65Renvoi d'un e-mail (facultatif) ...................................................................................................... 65
Renvoie d'un e-mail (console) ............................................................................................. 65Renvoie d'un e-mail (CLI) .................................................................................................. 65
Renouvellement géré ......................................................................................................................... 67Validation automatique ............................................................................................................... 67
Renouvellement pour les domaines validés par DNS .............................................................. 68Renouvellement pour les domaines validés par e-mail ............................................................ 68Quand le renouvellement automatique de certificat échoue ...................................................... 68
Vérifier le statut du renouvellement .............................................................................................. 69Vérification du statut (console) ............................................................................................ 70Vérification du statut (API) .................................................................................................. 70Vérification du statut (CLI) .................................................................................................. 70Vérifiez le statut du tableau de bord de santé personnel (PHD) ................................................ 71
Demande d'e-mail (facultatif) ...................................................................................................... 72Importation de certificats .................................................................................................................... 74
Conditions préalables requises .................................................................................................... 75Format du certificat ................................................................................................................... 75Importation d'un certificat ........................................................................................................... 77
Importation à l'aide de la console ........................................................................................ 77Importation à l'aide de l'AWS CLI ........................................................................................ 77
Réimportation d'un certificat ........................................................................................................ 78Réimportation à l'aide de la console .................................................................................... 78Réimportation à l'aide de l'AWS CLI .................................................................................... 79
Exportation des certificats .................................................................................................................. 80Exportation d'un certificat privé à l'aide de la console ..................................................................... 80Exportation d’un certificat privé à l’aide de l’interface de ligne de commande ...................................... 80
Balisage des certificats ACM .............................................................................................................. 82Restrictions liées aux balises ...................................................................................................... 82Gestion des balises ................................................................................................................... 83
Gestion des balises (console) ............................................................................................. 83Gestion des balises (AWS Command Line Interface) .............................................................. 84Gestion des balises (API AWS Certificate Manager) ............................................................... 84
Utilisation de l'API ACM ..................................................................................................................... 85AddTagsToCertificate ................................................................................................................ 85DeleteCertificate ....................................................................................................................... 86DescribeCertificate .................................................................................................................... 88ExportCertificate ....................................................................................................................... 90GetCertificate ........................................................................................................................... 92ImportCertificate ........................................................................................................................ 93ListCertificates .......................................................................................................................... 96RenewCertificate ....................................................................................................................... 97ListTagsForCertificate ................................................................................................................ 99RemoveTagsFromCertificate ..................................................................................................... 100RequestCertificate ................................................................................................................... 102
Version 1.0iv
AWS Certificate Manager Manuel de l'utilisateur
ResendValidationEmail ............................................................................................................. 103Troubleshooting .............................................................................................................................. 106
Demandes de certificats ........................................................................................................... 106Dépassement du délai d'attente de la demande ................................................................... 106Échec de la demande ...................................................................................................... 106
Validation des certificats ........................................................................................................... 108Validation DNS ................................................................................................................ 109Validation par e-mail ........................................................................................................ 111
Renouvellement des certificats .................................................................................................. 114Préparation de la validation automatique de domaine ............................................................ 114Traitement des échecs de renouvellement géré des certificats ................................................ 115
Dépannage d'autres problèmes ................................................................................................. 119Importation de certificat .................................................................................................... 119Épinglage de certificat ...................................................................................................... 120API Gateway .................................................................................................................. 120Échec inattendu .............................................................................................................. 120Problèmes liés au rôle lié à un ACM service (Service-Linked Role, SLR) .................................. 121
Gestion des exceptions ............................................................................................................... 3Gestion des exceptions de certificat privé ........................................................................... 121
Concepts ....................................................................................................................................... 123Certificat ACM ........................................................................................................................ 123Autorités de certification racine ACM .......................................................................................... 125Domaine apex ........................................................................................................................ 125Chiffrement à clé asymétrique ................................................................................................... 125Autorité de certification ............................................................................................................. 125Journalisation de transparence des certificats .............................................................................. 125Système de noms de domaine .................................................................................................. 126Noms de domaine ................................................................................................................... 126Chiffrement et déchiffrement ..................................................................................................... 127Nom de domaine complet (FQDN) ............................................................................................. 128Infrastructure à clés publiques (ICP) .......................................................................................... 128Certificat racine ....................................................................................................................... 128Secure Sockets Layer (SSL) ..................................................................................................... 128HTTPS sécurisé ...................................................................................................................... 128Certificats de serveur SSL ........................................................................................................ 128Chiffrement à clé symétrique .................................................................................................... 129Transport Layer Security (TLS) ................................................................................................. 129Trust ..................................................................................................................................... 129
Historique du document ................................................................................................................... 130................................................................................................................................................. cxxxiii
Version 1.0v
AWS Certificate Manager Manuel de l'utilisateurACM est-il le bon service pour moi ?
Présentation d'AWS CertificateManager ?
AWS Certificate Manager(ACM) gère la complexité du processus de création, de stockage et derenouvellement des certificats et clés SSL/TLS X.509 publics et privés qui protègent vos AWS sites webet applications. Vous pouvez fournir des certificats pour vos services AWS intégrés (p. 4) en lesémettant directement avec ACM ou en important des certificats (p. 74) tiers dans le système ACMde gestion. ACM Les certificats peuvent sécuriser des noms de domaine singuliers, plusieurs noms dedomaine spécifiques, des domaines génériques ou des combinaisons de ces noms. Les certificats ACMgénériques peuvent protéger un nombre illimité de sous-domaines. Vous pouvez également exporter (p. 80) ACM des certificats signés par ACM Private CA pour les utiliser n'importe où dans votre PKIinterne.
ACM est-il le bon service pour moi ?AWSpropose deux options aux clients déployant des certificats X.509 gérés. Choisissez le meilleur selonvos besoins.
1. AWS Certificate Manager(ACM) — Ce service est destiné aux clients professionnels ayant besoin d'uneprésence web sécurisée à l'aide ACM de TLS. Les certificats sont déployés via Elastic Load Balancing ,Amazon CloudFront , et d'autres Amazon API Gateway services intégrésAWS. (p. 4) L'applicationla plus courante de ce type est un site web public sécurisé avec des exigences de trafic importantes.simplifie ACM également la gestion de la sécurité en automatisant le renouvellement des certificatsarrivant à expiration. Vous êtes au bon endroit pour ce service.
2. ACM Private CA — Ce service est destiné aux entreprises clientes qui construisent une infrastructureà clé publique (PKI) dans le cloud AWS. Il est également destiné à un usage privé au sein d'uneorganisation. Avec ACM Private CA, vous pouvez créer votre propre hiérarchie d'autorité de certification(CA) et émettre des certificats avec celle-ci pour authentifier les utilisateurs, les ordinateurs, lesapplications, les services, les serveurs et d'autres périphériques. Les certificats émis par une autorité decertification privée ne peuvent pas être utilisés sur Internet. Pour de plus amples informations, veuillezconsulter le Guide de l'utilisateur ACM Private CA.
Concepts (p. 123)
Caractéristiques d'un certificat ACM (p. 1)
Régions prises en charge (p. 3)
Services intégrés à AWS Certificate Manager (p. 4)
Sceaux de site et sceaux de confiance (p. 5)
Quotas de taux de l'API (p. 7)
Bonnes pratiques (p. 35)
Tarifs du AWS Certificate Manager (p. 8)
Caractéristiques d'un certificat ACMLes certificats publics fournis par ACM ont les caractéristiques présentées dans cette section.
Version 1.01
AWS Certificate Manager Manuel de l'utilisateurCaractéristiques d'un certificat ACM
Note
Ces caractéristiques s'appliquent uniquement aux certificats fournis par ACM. Elles ne peuventpas s'appliquer aux certificats que vous importez dans ACM (p. 74).
Validation du domaine
Les certificats ACM sont des certificats de domaine validé. Autrement dit, le champ d'objet d'uncertificat ACM identifie un nom de domaine et rien de plus. Lorsque vous demandez un certificat ACM,vous devez valider que vous possédez ou contrôlez tous les domaines spécifiés dans votre demande.Vous pouvez valider la propriété à l'aide d'un e-mail ou de DNS. Pour de plus amples informations,veuillez consulter Utilisation d'un e-mail pour valider la propriété du domaine (p. 56) et Utilisation deDNS pour valider la propriété du domaine (p. 52).
Période de validité
La période de validité des ACM certificats est 13 mois (395 jours) .Renouvellement et déploiement gérés
ACM gère le processus de renouvellement des certificats ACM et la mise en service des certificatsaprès leur renouvellement. Le renouvellement automatique peut vous aider à éviter les tempsd'arrêt dus aux certificats mal configurés, révoqués ou expirés. Pour plus d’informations, consultezRenouvellement géré pour les certificats émis par Amazon d'ACM (p. 67).
Approbation du navigateur et de l'application
Les certificats ACM sont approuvés par tous les navigateurs principaux, notamment Google Chrome,Microsoft Internet Explorer et Microsoft Edge, Mozilla Firefox et Apple Safari. Les navigateurs quiapprouvent les certificats ACM affichent une icône de verrouillage dans leur barre d'état ou barred'adresse lorsqu'ils sont connectés par SSL/TLS aux sites qui utilisent les certificats ACM. Lescertificats ACM sont également approuvés par Java.
Plusieurs noms de domaine
Chaque certificat ACM doit inclure au moins un nom de domaine complet (FQDN), et vous pouvezajouter d'autres noms si vous le souhaitez. Par exemple, lorsque vous créez un certificat ACM pourwww.example.com, vous pouvez également ajouter le nom www.example.net si les clients peuventatteindre votre site en utilisant un des deux noms. C'est également vrai pour les noms de domainestricts (aussi appelés domaines de zone apex ou domaines naked). Autrement dit, vous pouvezdemander un certificat ACM pour www.example.com et ajouter le nom example.com. Pour plusd’informations, consultez Demande d'un certificat public (p. 45).
Noms de caractère générique
ACM vous permet d'utiliser un astérisque (*) dans le nom de domaine pour créer un certificat ACMcontenant un nom de caractère générique qui permet de protéger plusieurs sites dans le mêmedomaine. Par exemple, *.example.com protège www.example.com et images.example.com .
Note
Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver à laposition la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau desous-domaine. Par exemple, *.example.com peut protéger login.example.com ettest.example.com , mais ne peut pas protéger test.login.example.com . Notezégalement que *.example.com protège uniquement les sous-domaines d' example.com. Il ne protège pas le domaine strict ou apex ( example.com ). Cependant, vous pouvezdemander un certificat qui protège un domaine strict ou apex et ses sous-domaines enspécifiant plusieurs noms de domaines dans votre demande. Par exemple, vous pouvezdemander un certificat qui protège example.com et *.example.com.
Algorithmes
Un certificat doit spécifier un algorithme et la taille de la clé. Actuellement, les algorithmes à clépublique suivants sont pris en charge par ACM :
Version 1.02
AWS Certificate Manager Manuel de l'utilisateurRégions prises en charge
• 2048 bits RSA (RSA_2048)• 4096 bits RSA (RSA_4096)• Elliptic Prime Curve 256 bits (EC_prime256v1)• Elliptic Prime Curve 384 bits (EC_secp384r1)
Important
Notez que les services intégrés autorisent uniquement les algorithmes et tailles de clés qu'ilsprennent en charge pour les associer à leurs ressources. De plus, leur prise en charge diffèreselon que le certificat est importé dans IAM ou dans ACM. Pour plus d'informations, consultezla page ///Documentation pour chaque service.• Pour Elastic Load Balancing, consultez Écouteurs HTTPS pour votre équilibreur de charge
d'application.• Pour CloudFront, consultez Protocoles SSL/TLS et chiffrements pris en charge.
Exceptions
Notez bien ce qui suit :• ACM ne fournit pas de certificats de validation étendue (EV) ou de certificats de validation
d'organisation (OV).• ACM ne fournit de certificats que pour les protocoles SSL/TLS.• Vous ne pouvez pas utiliser de certificats ACM pour le chiffrement d'e-mails.• ACM autorise uniquement le format ASCII codé en UTF-8 pour les noms de domaine, y compris les
étiquettes qui contiennent « xn-- » (Punycode). ACM n'accepte pas les entrées Unicode (u-labels)pour les noms de domaine.
• ACM ne vous permet pas actuellement de refuser le renouvellement d'un certificat géré (p. 67)pour les certificats ACM. De plus, le renouvellement géré n'est pas disponible pour les certificats quevous importez dans ACM.
• Vous ne pouvez pas demander de certificats pour les noms de domaine qui sont la propriétéd'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ouelasticbeanstalk.com.
• Vous ne pouvez pas télécharger la clé privée pour un certificat ACM.• Vous ne pouvez pas installer des certificats ACM directement sur votre site web ou votre application
Amazon Elastic Compute Cloud (Amazon EC2). Toutefois, vous pouvez utiliser votre certificatavec n'importe quel service intégré. Pour plus d’informations, consultez Services intégrés à AWSCertificate Manager (p. 4).
Régions prises en chargeConsultez Régions et points de terminaison AWSdans le document AWS General Reference ou le Tableaudes régions AWS pour voir la disponibilité régionale d'ACM.
Les certificats ACM sont des ressources régionales. Pour utiliser un certificat avec Elastic Load Balancingpour le même nom de domaine complet (FQDN) ou un ensemble de FQDNs dans plusieurs AWS régions,vous devez demander ou importer un certificat pour chaque région. Pour les certificats fournis par ACM,cela signifie que vous devez revalider chaque nom de domaine dans le certificat pour chaque région. Vousne pouvez pas copier un certificat entre les régions.
Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander ou importer le certificatdans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à unedistribution CloudFront sont distribués à tous les emplacements géographiques configurés pour cettedistribution.
Version 1.03
AWS Certificate Manager Manuel de l'utilisateurServices intégrés
Services intégrés à AWS Certificate ManagerAWS Certificate Manager prend en charge un nombre croissant de services AWS. Vous ne pouvez pasinstaller votre certificat ACM ni votre certificat ACM Private CA privé directement sur votre application ousite web basé sur AWS.
Note
Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour deplus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillezconsulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installerun serveur Web LAMP avec l'AMI Amazon Linux.
Les ACM certificats sont pris en charge par les services suivants :
Elastic Load Balancing
Elastic Load Balancing répartit automatiquement votre trafic applicatif entrant sur plusieurs instancesAmazon EC2. Il détecte les instances qui ne sont pas saines et réachemine automatiquement letrafic vers des instances saines jusqu'à la restauration des instances problématiques. Elastic LoadBalancing dimensionne automatiquement sa capacité de gestion des demandes en réponse au traficentrant. Pour plus d'informations sur l'équilibrage de charge, consultez Elastic Load Balancing Guidede l'utilisateur.
En général, pour servir du contenu sécurisé via SSL/TLS, les équilibreurs de charge nécessitent queles certificats SSL/TLS soient installés sur l'équilibreur de charge ou l'Amazon EC2instance principale.ACM est intégré Elastic Load Balancing à pour déployer ACM les certificats sur l'équilibreur de charge.Pour plus d'informations, consultez Créer un équilibreur de charge d'application
Amazon CloudFront
Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Webstatique et dynamique aux utilisateurs finaux en diffusant votre contenu depuis un réseau mondiald'emplacements périphériques. Lorsqu'un utilisateur final demande le contenu que vous proposez avecCloudFront, il est dirigé vers l'emplacement périphérique qui fournit la latence la plus faible. Le contenuest ainsi remis avec les meilleures performances possibles. Si le contenu se trouve actuellement danscet emplacement périphérique, CloudFront le diffuse immédiatement. Si le contenu ne se trouve pasactuellement dans cet emplacement périphérique, CloudFront l'extrait du compartiment Amazon S3 oudu serveur Web que vous avez identifié comme la source du contenu final. Pour plus d'informations surCloudFront, consultez le Amazon CloudFront Manuel du développeur.
Pour servir du contenu sécurisé via SSL/TLS, CloudFront nécessite que les certificats SSL/TLS soientinstallés sur la CloudFront distribution ou sur la source de contenu basée sur . ACM est intégré àCloudFront pour déployer ACM les certificats sur la CloudFront distribution. Pour plus d'informations,consultez Obtention d'un certificat SSL/TLS.
Note
Pour utiliser un certificat ACM avec CloudFront, vous devez demander ou importer le certificatdans la région USA Est (Virginie du Nord).
AWS Elastic Beanstalk
Elastic Beanstalk vous aide à déployer et à gérer des applications sur le cloud AWS, sans vouspréoccuper de l'infrastructure qui les exécute. AWS Elastic Beanstalk réduit la complexité de lagestion. Il vous suffit de télécharger votre application, et Elastic Beanstalk gère automatiquementles détails du dimensionnement des capacités, de l'équilibrage de la charge, de la mise à l'échelle etde la surveillance de l'état de l'application. Elastic Beanstalk utilise le service Elastic Load Balancingpour créer un équilibreur de charge. Pour plus d'informations sur Elastic Beanstalk, consultez le AWSElastic Beanstalk Manuel du développeur.
Version 1.04
AWS Certificate Manager Manuel de l'utilisateurSceaux de site et sceaux de confiance
Afin de choisir un certificat, vous devez configurer l'équilibreur de charge pour votre application dans laconsole Elastic Beanstalk. Pour plus d'informations, consultez Configuration de l'équilibreur de chargede votre environnement Elastic Beanstalk pour mettre la connexion HTTPS hors service.
Amazon API Gateway
Avec la multiplication des appareils mobiles et la croissance de l'Internet des objets (IoT), il est de plusen plus courant de créer des APIs qui peuvent être utilisées pour accéder aux données et interagiravec les systèmes principaux sur AWS . Vous pouvez utiliser API Gateway pour publier, gérer,surveiller et sécuriser votre APIs . Après avoir déployé votre API sur API Gateway , vous pouvezconfigurer un nom de domaine personnalisé pour simplifier l'accès à celui-ci. Pour configurer un nomde domaine personnalisé, vous devez fournir un certificat SSL/TLS. Vous pouvez utiliser ACM pourgénérer ou importer le certificat.
Enclaves AWS Nitro
AWSNitro Enclaves est une Amazon EC2 fonctionnalité qui vous permet de créer des environnementsd'exécution isolés, appelés enclaves, à partir d'Amazon EC2instances . Les enclaves sont desmachines virtuelles séparées, renforcées et très limitées. Elles fournissent uniquement uneconnectivité de socket local sécurisée avec leur instance parent. Ils n'ont pas de stockage permanent,d'accès interactif ou de mise en réseau externe. Les utilisateurs ne peuvent pas accéder via SSHà un enclave, et les données et les applications à l'intérieur de l'enclave ne sont pas accessiblespar les processus, les applications ou les utilisateurs de l'instance parent (y compris la racine oul'administrateur).
Les instances EC2 connectées à Nitro Enclaves prennent en charge les ACM certificats. Pour plusd'informations, consultez AWS Certificate Manager Nitro Enclaves.
Note
Vous ne pouvez pas associer ACM des certificats à une instance EC2 qui n'est pas connectéeà un Nitro Enclave.
AWS CloudFormation
AWS CloudFormation vous permet de modéliser et de configurer vos ressources Amazon WebServices. Vous devez créer un modèle qui décrit les ressources AWS que vous souhaitez utiliser,comme Elastic Load Balancing ou API Gateway. Ensuite, AWS CloudFormation s'occupe pour vousde la mise en service et de la configuration de ces ressources. Vous n'avez pas besoin de créeret de configurer séparément les ressources AWS resources et d'établir ce qui en dépend. AWSCloudFormation gère la totalité de cet aspect. Les certificats ACM sont fournis sous la forme d'unmodèle de ressource, ce qui signifie que AWS CloudFormation peut demander des certificats ACMque vous pouvez utiliser avec les services AWS pour activer des connexions sécurisées. Pour plusd'informations, consultez AWS::CertificateManager::Certificate. En outre, les certificats ACM sontinclus avec de nombreuses ressources AWS que vous pouvez configurer avec AWS CloudFormation.
Note
Si vous créez un certificat ACM avec AWS CloudFormation, la pile AWS CloudFormationresteà l'état CREATE_IN_PROGRESS. Toutes les autres opérations de pile sont retardées jusqu'àce que vous donniez suite suivant les instructions indiquées dans l'e-mail de validation pour lecertificat. Pour plus d'informations, consultez La ressource n'a pas pu se stabiliser lors d'uneopération de création, de mise à jour ou de suppression de pile.
Sceaux de site et sceaux de confianceAmazon ne fournit pas de sceau de site et n'autorise pas que sa marque soit utilisée à ce titre :
• AWS Certificate Manager (ACM) ne fournit pas de sceau de site sécurisé que vous pouvez utilisersur votre site web. Si vous voulez utiliser un sceau de site, vous pouvez en obtenir un auprès d'un
Version 1.05
AWS Certificate Manager Manuel de l'utilisateurQuotas
fournisseur tiers. Nous vous conseillons de choisir un fournisseur qui évalue et fait valoir la sécurité devotre site web et de vos pratiques métier.
• Amazon n'autorise pas à utiliser sa marque ou son logo comme insigne de certification, sceau de siteou sceau de confiance. Ce type de sceau et d'insigne peut être copié sur les sites qui n'utilisent pasle service ACM, et peut être utilisé de manière inappropriée pour établir une approbation sous de fauxprétextes. Pour protéger nos clients et la réputation d'Amazon, nous n'autorisons pas à utiliser notremarque et notre logo de cette manière.
QuotasLes quotas de service AWS Certificate Manager (ACM) suivants s'appliquent à chaque région AWS pourchaque compte AWS. Pour demander des augmentations de quota, créez un dossier au Centre AWSSupport.
Note
Les nouveaux comptes AWS peuvent commencer avec des quotas inférieurs à ceux présentésici. Si vous atteignez de façon inattendue un quota sur un nouveau compte, enregistrez cetévénement auprès du Centre AWS Support en tant que demande d'augmentation de quota.
Quotas générauxElément Quota par défaut
Nombre de certificats ACM
Les nouveaux comptes AWS peuvent commenceravec une limite inférieure à la valeur maximale.
1 000
Nombre de certificats ACM par an (au cours des365 derniers jours)
Vous pouvez demander jusqu'à deux fois votrequota de certificats ACM par année, région etcompte. Par exemple, si votre quota est de 1 000,vous pouvez demander jusqu'à 2 000 certificatsACM par an dans une région et un compte donnés.Vous ne pouvez obtenir que 1 000 certificats àla fois. Si vous demandez 2 000 certificats en unan, vous devez en supprimer 1 000 au cours del'année pour rester dans la limite. Si vous avezbesoin de plus de 1000 certificats à la fois, vousdevez contacter le Centre AWS Support.
Deux fois le quota de votre compte
Nombre de certificats importés 1 000
Nombre de certificats importés par an (au coursdes 365 derniers jours)
Deux fois le quota de votre compte
Nombre de noms de domaine par certificat ACM
Le quota par défaut est de 10 noms de domainepar certificat ACM. Votre quota peut être plusélevé.
Le premier nom de domaine que vous envoyezest inclus en tant que nom commun d'objet (CN)
10
Version 1.06
AWS Certificate Manager Manuel de l'utilisateurQuotas de taux de l'API
Elément Quota par défautdu certificat. Tous les noms sont inclus dansl'extension Subject Alternative Name.
Vous pouvez demander jusqu'à 100 noms dedomaine. Pour demander une augmentation devotre quota, créez une demande dans le CentreAWS Support. Cependant, avant de créer unedemande, assurez-vous de bien comprendre quel'ajout de noms de domaine peut augmenter votrecharge de travail administratif si vous utilisez lavalidation par e-mail. Pour plus d’informations,consultez Validation de domaine (p. 37).
Le quota appliqué au nombre de noms de domainepar certificat ACM s'applique uniquement auxcertificats fournis par ACM. Ce quota ne s'appliquepas aux certificats que vous importez dans ACM.Les sections suivantes s'appliquent uniquementaux certificats ACM.
Nombre de privées CAs
ACM est intégré à AWS Certificate ManagerPrivate Certificate Authority(ACM Private CA).Vous pouvez utiliser la console ACM, l’AWS CLIou l’API ACM pour demander des certificats privésauprès d'une autorité de certification (CA) privéeexistante hébergée par ACM Private CA. Cescertificats sont gérés au sein de l'environnementACM et présentent les mêmes restrictions queles certificats publics émis par ACM. Pour plusd’informations, consultez Demande d'un certificatprivé (p. 47). Vous pouvez également émettredes certificats privé en utilisant le service ACMPrivate CA autonome. Pour plus d'informations,consultez Émission d'un certificat privé.Une autorité de certification privée qui a étésupprimée est prise en compte pour votre quotajusqu'à la fin de sa période de restauration. Pourplus d'informations, consultez Suppression de votreautorité de certification privée.
200
Nombre de certificats privés par autorité decertification (durée de vie)
1 000 000
Quotas de taux de l'APILes quotas suivants s'appliquent à l'API ACM pour chaque région et compte. ACM limite les demandesd'API à des quotas différents en fonction de l'opération d'API. La limitation signifie qu'ACM rejetteune demande qui serait sinon valide, car cette dernière dépasse le quota d'opérations pour lenombre de demandes par seconde. Quand une demande est limitée, ACM renvoie une erreurThrottlingException. Le tableau suivant répertorie chaque opération d'API et le point auquel ACMlimite les demandes pour cette opération.
Quota de demandes par seconde pour chaque opération d'API ACM
Version 1.07
AWS Certificate Manager Manuel de l'utilisateurTarification
Appel d'API Demandes par seconde
AddTagsToCertificate 5
DeleteCertificate 10
DescribeCertificate 10
ExportCertificate 5
ImportCertificate 1
ListCertificates 5
ListTagsForCertificate 10
RemoveTagsFromCertificate 5
RequestCertificate 5
ResendValidationEmail 1
Pour plus d’informations, consultez Référence d'API AWS Certificate Manager.
Tarifs du AWS Certificate ManagerVous n'avez pas de frais supplémentaires à régler pour des certificats SSL/TLS que vous gérez avec AWSCertificate Manager. Vous ne payez que les ressources AWS que vous créez pour exécuter votre siteWeb ou votre application. Pour obtenir les dernières informations sur la tarification ACM, consultez la pageTarification AWS Certificate Manager sur le site web AWS.
Version 1.08
AWS Certificate Manager Manuel de l'utilisateurProtection des données
Sécurité dans le AWS CertificateManager
Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous bénéficiezde centres de données et d'architectures réseau conçus pour répondre aux exigences des organisationsles plus pointilleuses en termes de sécurité.
La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
• Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des servicesAWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité quis'appliquent à AWS Certificate Manager , consultez Services AWS concernés par le programme deconformité – Services .
• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagéelors de l'utilisation d'AWS Certificate Manager (ACM). Les rubriques suivantes vous montrent commentconfigurer ACM pour répondre à vos objectifs de sécurité et de conformité. Vous pouvez égalementapprendre à utiliser d'autres services AWS capables de vous aider à surveiller et à sécuriser vosressources ACM.
Rubriques• Protection des données dans AWS Certificate Manager (p. 9)• Identity and Access Management pour AWS Certificate Manager (p. 11)• Journalisation et surveillance pour AWS Certificate Manager (p. 21)• Résilience dans AWS Certificate Manager (p. 35)• Sécurité de l'infrastructure dans AWS Certificate Manager (p. 35)• Bonnes pratiques (p. 35)
Protection des données dans AWS CertificateManager
Le modèle de responsabilité partagée AWS s'applique à la protection des données dans AWS CertificateManager. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globalesur laquelle l'ensemble du cloud AWS s’exécute. La gestion du contrôle de votre contenu hébergé surcette infrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et degestion de la sécurité des services AWS que vous utilisez. Pour plus d'informations sur la confidentialitédes données, veuillez consulter FAQ sur la confidentialité des données. Pour plus d'informations sur laprotection des données en Europe, veuillez consulter le billet de blog AWSShared Responsibility Model andGDPR sur la page AWSSecurity Blog.
À des fins de protection des données, nous vous recommandons de protéger les informationsd'identification du compte AWS et de configurer les comptes d'utilisateur individuels avec AWS Identityand Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations
Version 1.09
AWS Certificate Manager Manuel de l'utilisateurSécurité de la clé privée ACM
nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos donnéescomme indiqué ci-dessous :
• Utilisez l'authentification multi-facteurs (MFA) avec chaque compte.• Utilisez SSL/TLS pour communiquer avec des ressources AWS. Nous recommandons TLS 1.2 ou
version ultérieure.• Configurez l'API et la consignation des activités utilisateur avec AWS CloudTrail.• Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des
services AWS.• Utilisez des services de sécurité gérés comme Amazon Macie, qui contribue à la découverte et à la
sécurisation des données personnelles stockées dans Amazon S3.• Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS
via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour deplus amples informations sur les points de terminaison FIPS disponibles, consultez Federal InformationProcessing Standard (FIPS) 140-2.
Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles quedes numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela inclut lorsquevous utilisez ACM ou d'autres services AWS à l'aide de la console, de l'API, de l'interface de ligne decommande (AWS CLI) ou des kits SDK AWS. Toutes les données que vous entrez dans ACM ou d'autresservices peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsque vousfournissez une URL à un serveur externe, n'incluez pas les informations d'identification non chiffrées dansl'URL pour valider votre demande adressée au serveur.
Sécurité de la clé privée ACMLorsque vous demandez un certificat public (p. 45), AWS Certificate Manager (ACM) génère une pairede clés publiques/privées. Pour les certificats importés (p. 74), vous générez la paire de clés. La clépublique devient partie intégrante du certificate. ACM stocke le certificat et sa clé privée correspondante, etutilise AWS Key Management Service (AWS KMS) pour aider à protéger la clé privée. Voici comment celafonctionne :
1. La première fois que vous demandez ou importez un certificat dans une région AWS, ACM crée une cléprincipale client (CMK) gérée par AWS dans AWS KMS avec l'alias aws/acm. Cette clé CMK est uniquedans chaque compte AWS et chaque région AWS.
2. ACM utilise cette clé CMK pour chiffrer la clé privée du certificat. ACM stocke uniquement une versionchiffrée de la clé privée (ACM ne stocke pas la clé privée sous la forme texte brut). ACM utilise la mêmeclé CMK pour chiffrer les clés privées de tous les certificats d'un compte AWS spécifique et d'une régionAWS spécifique.
3. Lorsque vous associez le certificat à un service intégré à AWS Certificate Manager, ACM envoie lecertificat et la clé privée chiffrée à ce service. Un octroi est également créé dans AWS KMS qui permetau service d'utiliser la clé CMK dans AWS KMS pour déchiffrer la clé privée du certificat. Pour plusd'informations sur les octrois, consultez Utilisation d'octrois dans le AWS Key Management ServiceDeveloper Guide. Pour plus d'informations sur les services pris en charge par ACM, consultez Servicesintégrés à AWS Certificate Manager (p. 4).
Note
Vous avez le contrôle sur l'AWS KMSoctroi créé automatiquement. Si vous supprimez cet octroipour une raison quelconque, vous perdez la ACM fonctionnalité du service intégré.
4. Les services intégrés utilisent la clé CMK dans AWS KMS pour déchiffrer la clé privée. Le service utiliseensuite le certificat et la clé privée déchiffrée (texte brut) pour établir des canaux de communicationsécurisés (sessions SSL/TLS) avec ses clients.
5. Lorsque le certificat est dissocié d'un service intégré, l'octroi créé à l'étape 3 est retiré. Cela signifie quele service ne peut plus utiliser la clé CMK dans AWS KMS pour déchiffrer la clé privée du certificat.
Version 1.010
AWS Certificate Manager Manuel de l'utilisateurIdentity and Access Management
Identity and Access Management pour AWSCertificate Manager
L'accès à AWS Certificate Manager (ACM) requiert des informations d'identification qu'AWS peut utiliserpour authentifier vos demandes. Les rubriques suivantes fournissent des détails sur la façon dont vouspouvez utiliser AWS Identity and Access Management (IAM) pour contribuer à sécuriser vos autorités decertification privées en contrôlant qui peut y accéder.
AuthentificationVous pouvez utiliser les types d'identité suivants pour accéder à AWS :
• Utilisateur racine d'un compte AWS – Lorsque vous créez un compte AWS, vous commencez avecune seule identité de connexion disposant d'un accès complet à tous les services et ressources AWSdu compte. Cette identité est appelée la utilisateur racinedu compte AWS et elle est accessible aprèsconnexion à l'aide de l'adresse e-mail et du mot de passe utilisés pour la création du compte. Il estvivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y comprispour les tâches administratives. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recoursà l'utilisateur racine uniquement pour créer le premier utilisateurIAM. Ensuite, mettez en sécurité lesinformations d'identification de l'utilisateur racine et utilisez-les pour effectuer uniquement certainestâches de gestion des comptes et des services.
• Utilisateur IAM– Un utilisateur IAM est une identité au sein de votre compte AWS qui disposed'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer a directory dansACM). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pagesweb AWS sécurisées telles que AWS Management Console, les forums de discussion AWS et le AWSSupport Center.
En plus d'un nom d'utilisateur et d'un mot de passe, vous pouvez générer des clés d'accès pour chaqueutilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation,soit par le biais d'un kit SDK soit à l'aide d'AWS Command Line Interface (CLI). Les outils de l'interfacede ligne de commande et les kits SDK utilisent les clés d'accès pour signer de façon cryptographiquevotre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. ACMsupports Signature Version 4, protocole permettant l'authentification des demandes d'API entrantes. Pourplus d'informations sur l'authentification des demandes, consultez Processus de signature SignatureVersion 4 dans le document AWS General Reference.
• Rôle IAM – Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose
d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identitéAWS avec des stratégies d'autorisation qui déterminent ce que l'identité peut et ne peut pas fairedans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçupour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informationsd'identification standard à long-terme comme un mot de passe ou des clés d'accès associées. Au lieu decela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporairespour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utilesdans les cas suivants :
• Accès d'utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités
d'utilisateur préexistantes provenant d'AWS Directory Service, de l'annuaire d'utilisateurs de votreentreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôleà un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour de plus amples
Version 1.011
AWS Certificate Manager Manuel de l'utilisateurContrôle d'accès
informations sur les utilisateurs fédérés, veuillez consulter Utilisateurs et rôles fédérés dans le IAMGuide de l'utilisateur.
• Accès à un service AWS – Un rôle de service est un rôle IAM qu'un service assume pour exécuter
des actions en votre nom. Les rôles de service fournissent un accès uniquement au sein de votrecompte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes.Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d'IAM. Pour deplus amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à unservice AWS dans le IAM Guide de l'utilisateur.
• Applications qui s'exécutent sur Amazon EC2 – Vous pouvez utiliser un rôle IAM pour gérer des
informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2et effectuent des demandes d'API AWS CLI ou AWS. Cette solution est préférable au stockage desclés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendredisponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché àl'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instanceEC2 d'obtenir des informations d'identification temporaires. Pour de plus amples informations, veuillezconsulter Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant surdes instances Amazon EC2 dans le IAM Guide de l'utilisateur.
Contrôle d'accèsVous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moinsd'avoir les autorisations requises, vous ne pouvez pas créer de ressources AWS Certificate Manager ni yaccéder. Par exemple, vous devez disposer de l'autorisation de créer, importer, récupérer ou répertorier lescertificats.
Les rubriques suivantes décrivent comment gérer les autorisations. Nous vous recommandons decommencer par lire la présentation.
• Présentation de la gestion de l'accès à vos ressources ACM (p. 12)• Stratégies gérées AWS (p. 14)• Stratégies gérées par le client (p. 15)• Stratégies en ligne (p. 15)• Autorisations dACM'API : Référence des actions et ressources (p. 20)
Présentation de la gestion de l'accès à vos ressourcesACMChaque ressource AWS Certificate Manager (ACM) appartient à un compte AWS et les autorisationspermettant de créer des ressources ou d'accéder aux ressources sont définies dans les stratégiesd'autorisations de ce compte. Un compte administrateur peut attacher des stratégies d'autorisations à desidentités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). Certains services (notamment ACM)prennent également en charge l'attachement de stratégies d'autorisation aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté d'autorisationsd'administrateur. Pour plus d'informations, consultez Création d'un utilisateur administrateur et d'ungroupe dans le IAM Guide de l'utilisateur.
Version 1.012
AWS Certificate Manager Manuel de l'utilisateurPrésentation de la gestion des autorisations d'accès
Lorsque vous gérez les autorisations, vous choisissez qui obtient les autorisations, les ressources pourlesquelles les autorisations sont accordées et les actions spécifiques autorisées.
Rubriques• Ressources et opérations ACM (p. 13)• Présentation de la propriété des ressources (p. 13)• Gestion de l'accès aux certificats ACM (p. 13)
Ressources et opérations ACMDans ACM, la principale ressource est un certificat. Les certificats ont des noms ARN (Amazon ResourceName) spécifiques qui leur sont associés, comme l'illustre la liste suivante.
• ACM Certificate
Format de nom ARN :
arn:aws:acm:AWS region:AWS account ID:certificate/Certificate ID
Exemple de nom ARN :
arn:aws:acm:us-west-2:123456789012:certificate/12345678-12ab-34cd-56ef-12345678
Présentation de la propriété des ressourcesUn propriétaire de ressource est le compte AWS qui a créé une ressource. Ainsi, le propriétaire de laressource est le compte AWS de l'entité principale qui authentifie la demande ayant créé la ressource.(Une entité principale peut être un utilisateur racine dAWS'un IAM compte , un utilisateur ou un IAM rôle .)Les exemples suivants illustrent comment cela fonctionne.
• Si vous utilisez les informations d'identification de l'utilisateur racine de votre compte AWS pour créer uncertificat ACM, votre compte AWS possède le certificat.
• Si vous créez un utilisateur IAM dans votre compte AWS, vous pouvez accorder à cet utilisateurl'autorisation de créer un certificat ACM. Cependant, le compte auquel appartient cet utilisateur possèdele certificat.
• Si vous créez un rôle IAM dans votre compte AWS et que vous lui accordez l'autorisation de créer uncertificat ACM, toute personne capable d'assumer ce rôle peut créer un certificat. Cependant, le compteauquel appartient le rôle possède le certificat.
Gestion de l'accès aux certificats ACMUne stratégie d'autorisation décrit qui a accès à quoi. Cette section présente les options disponibles pourcréer des stratégies d'autorisation.
Note
Cette section décrit l'utilisation de l'IAM dans le contexte d'ACM. Elle ne fournissent pasd'informations détaillées sur le service IAM. Pour une documentation IAM complète, consultez leGuide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe des stratégies IAM et obtenir desdescriptions, consultez Référence de stratégie AWS IAM.
Vous pouvez utiliser IAM pour créer des stratégies qui appliquent des autorisations aux utilisateurs,groupes et rôles IAM. Ce sont les stratégies basées sur l'identité–. IAM propose les types suivants destratégies basées sur l'identité –:
Version 1.013
AWS Certificate Manager Manuel de l'utilisateurStratégies gérées
• Stratégies gérées par AWS – Stratégies créées et gérées par AWS. Ce sont des stratégies autonomesque vous pouvez attacher à plusieurs utilisateurs, groupes et rôles de votre compte AWS.
• Stratégies gérées par le client – Stratégies que vous créez et gérez dans votre compte AWS et que vouspouvez attacher à plusieurs utilisateurs, groupes et rôles. Lorsque vous utilisez des stratégies gérées parle client, vous pouvez contrôler les stratégies avec davantage de précision que lorsque vous utilisez desstratégies gérées par AWS.
• Stratégies en ligne –– Stratégies que vous créez et gérez et que vous intégrez directement à unutilisateur, un groupe ou un rôle spécifique.
D'autres services, tels que Amazon S3, prennent également en charge les stratégies d'autorisation baséessur une ressource–. Par exemple, vous pouvez attacher une stratégie à un compartiment Amazon S3 pourgérer les autorisations d'accès à ce compartiment. ACM ne prend pas en charge les stratégies basées surune ressource.
Stratégies gérées AWSLes stratégies gérées par AWS sont des stratégies autonomes basées sur l'identité, que vous créezet que vous pouvez associer à plusieurs utilisateurs, groupes ou rôles dans votre compte AWS. Lesstratégies gérées par AWS sont créées et gérées par AWS. Les stratégies gérées par AWS suivantes sontdisponibles pour ACM. Pour plus d'informations sur l'attachement de stratégies gérées à un utilisateur, ungroupe ou un rôle, consultez Utilisation des stratégies gérées dans le IAM Guide de l'utilisateur.
Pour utiliser une stratégie gérée par AWS, l'utilisateur disposant de privilèges administratifs doit l'attacherà un utilisateur, un rôle ou un groupe. Pour plus d'informations sur l'attachement de stratégies gérées parAWS, consultez Attachement de stratégies gérées dans le IAM Guide de l'utilisateur.
Rubriques• AWSCertificateManagerReadOnly (p. 14)• AWSCertificateManagerFullAccess (p. 14)
AWSCertificateManagerReadOnlyCette stratégie fournit un accès en lecture seule aux certificats ACM. Elle permet aux utilisateurs de décriredes certificats ACM, de les répertorier sous forme de liste et de les extraire.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource":"*" }}
Pour afficher cette stratégie gérée par AWS dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.
AWSCertificateManagerFullAccessCette stratégie fournit un accès complet à toutes les actions et ressources ACM.
Version 1.014
AWS Certificate Manager Manuel de l'utilisateurStratégies gérées par le client
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm:*" ], "Resource":"*" }, { "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"arn:aws:iam::*:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager*", "Condition":{ "StringEquals":{ "iam:AWSServiceName":"acm.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:GetRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager*" } ]}
Pour afficher cette stratégie gérée par AWS dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.
Stratégies gérées par le clientLes stratégies gérées par le client sont des stratégies autonomes basées sur l'identité, que vous créez etque vous pouvez associer à plusieurs utilisateurs, groupes ou rôles dans votre compte –AWS. Vous pouvezgérer et créer des stratégies avec AWS Management Console, l'AWS Command Line Interface (AWS CLI)ou l'API IAM. Pour plus d'informations, consultez Stratégies gérées par le client.
Stratégies en ligneLes stratégies en ligne sont des stratégies que vous créez, gérez et intégrez directement à un utilisateur,un groupe ou un rôle spécifique. Les exemples de stratégies suivants montrent comment attribuer desautorisations pour effectuer des actions ACM. Pour plus d'informations sur l'attachement de stratégies enligne, consultez Utilisation de stratégies en ligne dans le IAM Guide de l'utilisateur. Vous pouvez utiliserAWS Management Console, l'AWS Command Line Interface (AWS CLI) ou l'API IAM pour créer et intégrerdes stratégies en ligne.
Rubriques• Liste des certificats (p. 16)• Récupération d'un certificat (p. 16)• Importation d'un certificat (p. 16)• Suppression d'un certificat (p. 16)
Version 1.015
AWS Certificate Manager Manuel de l'utilisateurStratégies en ligne
• Accès en lecture seule à ACM (p. 17)• Accès complet à ACM (p. 17)• Accès administrateur à toutes les ressources AWS (p. 18)
Liste des certificatsLa stratégie suivante permet à un utilisateur d'établir la liste de tous les certificats ACM figurant dans lecompte de l'utilisateur.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm:ListCertificates", "Resource":"*" } ]}
Note
Cette autorisation est nécessaire pour que les certificats ACM apparaissent dans les consolesElastic Load Balancing et CloudFront.
Récupération d'un certificatLa stratégie suivante permet à un utilisateur d'extraire un certificat ACM spécifique.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm:GetCertificate", "Resource":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }}
Importation d'un certificatLa stratégie suivante permet à un utilisateur d'importer un certificat.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm:ImportCertificate", "Resource":"arn:aws:acm:ap-northeast-1:123456789012:certificate/01234567-89ab-cdef-0123-456789abcdef" }}
Suppression d'un certificatLa stratégie suivante permet à un utilisateur de supprimer un certificat ACM spécifique.
Version 1.016
AWS Certificate Manager Manuel de l'utilisateurStratégies en ligne
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm:DeleteCertificate", "Resource":"arn:aws:acm:us-east-1:123456789012:certificate/fedcba98-7654-3210-fedc-ba9876543210" }}
Accès en lecture seule à ACMLa stratégie suivante permet à un utilisateur de décrire et répertorier un certificat ACM, et d'extraire lecertificat ACM et la chaîne de certificats.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource":"*" }}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans l'AWS ManagementConsole. Pour plus d’informations, consultez AWSCertificateManagerReadOnly (p. 14). Pourafficher la stratégie gérée dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.
Accès complet à ACMLa stratégie suivante permet à un utilisateur d'effectuer une action ACM.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm:*" ], "Resource":"*" } ]}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans l'AWS ManagementConsole. Pour plus d’informations, consultez AWSCertificateManagerFullAccess (p. 14). Pourafficher la stratégie gérée dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.
Version 1.017
AWS Certificate Manager Manuel de l'utilisateurRôle lié à un service
Accès administrateur à toutes les ressources AWSLa stratégie suivante permet à un utilisateur d'effectuer une action sur une ressource AWS.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"*", "Resource":"*" } ]}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans l'AWSManagement Console. Pour afficher la stratégie gérée dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess.
Utilisation d'un rôle lié à un service (SLR) avecACMAWS Certificate Managerutilise un rôle lié à un AWS Identity and Access Management service IAM () pouractiver le renouvellement automatique des ACM certificats gérés. Un rôle lié à un service (Service-LinkedRole, SLR) est un IAM rôle directement lié au ACM service. SLRsLes sont prédéfinis par ACM et incluenttoutes les autorisations nécessaires au service pour appeler d'autres AWS services en votre nom.
Le rôle SLR facilite la configuration, car vous n'avez pas besoin d'ajouter manuellement les autorisationsnécessaires pour une signature de certificat sans surveillance. ACM définit les autorisations de sonrôle SLR et, sauf définition contraire, seul ACM peut endosser le rôle.ACM Les autorisations définiescomprennent la stratégie d'approbation et la stratégie d'autorisation. De plus, cette stratégie d'autorisationne peut pas être attachée à une autre entité IAM.
Pour plus d'informations sur les autres services qui prennent en charge SLRs , consultez Services AWSqui fonctionnent avec IAM et recherchez les services qui comportent un Oui dans la colonne Rôle liéà un service. Choisissez un Yes avec un lien pour afficher la documentation SLR correspondant à ceservice.
Autorisations SLR pourACMACMutilise un SLR nommé Amazon Certificate Manager Service Role Policy .
Le AWSServiceRoleForCertificateManager SLR approuve les services suivants pour endosser le rôle :
• acm.amazonaws.com
La stratégie d'autorisations liée au rôle permet à ACM d'exécuter les actions suivantes sur les ressourcesspécifiées :
• Actions: acm-pca:IssueCertificate, acm-pca:GetCertificate sur « * »
Vous devez configurer les autorisations de manière à permettre à une IAM entité (comme un utilisateur,un groupe ou un rôle) de créer, modifier ou supprimer un rôle. Pour de plus amples informations, veuillezconsulter Autorisations de rôles liés à un service dans le IAM Guide de l'utilisateur.
Version 1.018
AWS Certificate Manager Manuel de l'utilisateurRôle lié à un service
Important
ACM peut afficher une alerte s'il ne parvient pas à déterminer si un SLR existe sur votre compte.Si l'autorisation iam:GetRole requise a déjà été accordée au ACM SLR pour votre compte,l'alerte ne se reproduira pas après la création du SLR. Si cela se produit, vous ou l'administrateurde votre compte devrez peut-être accorder l'autorisation iam:GetRole à ACM ou associer votrecompte à la stratégie AWSCertificateManagerFullAccess gérée par ACM.
Création du rôle SLR pourACMVous n'avez pas besoin de créer manuellement le SLR ACM utilisé par . Lorsque vous émettez un ACMcertificat à l'aide AWS Management Console de l' , de lAWS CLI' ou AWS de l'API ACM , crée le SLR pourvous la première fois que vous choisissez une autorité de certification privée pour signer votre certificat.
Si vous rencontrez des messages indiquant qu' ACM ne peut pas déterminer si un SLR existe survotre compte, cela peut signifier que votre compte n'a pas accordé d'autorisation de lecture ACMPrivate CA requise par . Cela n'empêche pas l'installation du SLR, et vous pouvez toujours émettre descertificats, mais vous ne pourrez pas les renouveler automatiquement tant que vous n'aurez pas résolu leproblème.ACM Pour plus d’informations, consultez Problèmes liés au rôle lié à un ACM service (Service-Linked Role, SLR) (p. 121).
Important
Ce SLR peut apparaître dans votre compte si vous avez effectué une action dans un autreservice qui utilise les fonctions prises en charge par ce rôle. En outre, si vous utilisiez le ACMservice avant January 1, 2017 , quand il a commencé à prendre en charge SLRs , ACM a créé leAWSServiceRoleForCertificateManager rôle dans votre compte . Pour en savoir plus, consultezUn nouveau rôle est apparu dans mon compte IAM.
Si vous supprimez ce SLR, puis que vous devez le recréer, vous pouvez utiliser l'une de ces méthodes :
• Dans la IAM console , choisissez Rôle, Créer un rôle, Gestionnaire de certificats pour créer unnouveau rôle avec le cas d'CertificateManagerServiceRolePolicyutilisation.
• À l'aide de lIAM'API CreateServiceLinkedRole ou de la AWS CLI commande correspondante create-service-linked-role, créez un rôle avec le nom du acm.amazonaws.com service.
Pour de plus amples informations, veuillez consulter Création d'un rôle lié au service dans le IAM Guide del'utilisateur.
Modification du SLR pourACMACM ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForCertificateManager.Une fois que vous avez créé un SLR, vous ne pouvez pas modifier le nom du rôle, car plusieurs entitéspeuvent référencer le rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide de IAM. Pourplus d'informations, consultez la section Modification d'un rôle lié à un service du IAM Guide de l'utilisateur.
Suppression du SLR pourACMVous n'avez généralement pas besoin de supprimer le AWSServiceRoleForCertificateManager SLR.Cependant, vous pouvez supprimer le rôle manuellement à l'aide de la IAM console , de l' AWS CLI ou del'AWSAPI . Pour plus d’informations, consultez Suppression d'un rôle lié à un service dans le IAM Guide del'utilisateur.
Régions prises en charge pourACMSLRsACMprend en charge l'utilisation d' SLRs dans toutes les régions où ACM et ACM Private CA sontdisponibles. Pour plus d’informations, consultez AWS Regions and Endpoints.
Version 1.019
AWS Certificate Manager Manuel de l'utilisateurRéférence des autorisations d'API ACM
Nom de la région Identité de la région Prise en charge dans ACM
USA Est (Virginie du Nord) us-east-1 Oui
USA Est (Ohio) us-east-2 Oui
USA Ouest (Californie du Nord) us-west-1 Oui
USA Ouest (Oregon) us-west-2 Oui
Asie-Pacifique (Mumbai) ap-south-1 Oui
Asie-Pacifique (Osaka-Local) ap-northeast-3 Oui
Asie-Pacifique (Séoul) ap-northeast-2 Oui
Asie-Pacifique (Singapour) ap-southeast-1 Oui
Asie-Pacifique (Sydney) ap-southeast-2 Oui
Asie-Pacifique (Tokyo) ap-northeast-1 Oui
Canada (Centre) ca-central-1 Oui
Europe (Francfort) eu-central-1 Oui
Europe (Irlande) eu-west-1 Oui
Europe (Londres) eu-west-2 Oui
Europe (Paris) eu-west-3 Oui
Amérique du Sud (São Paulo) sa-east-1 Oui
AWS GovCloud (USA Ouest) us-gov-west-1 Oui
AWS GovCloud (US-East)Est us-gov-east-1 Oui
Autorisations dACM'API : Référence des actions etressourcesLorsque vous configurez un contrôle d'accès (p. 12) et écrivez des stratégies d'autorisations que vouspouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la table ci-dessous comme référence. La première colonne du tableau répertorie chaque opération d'API AWSCertificate Manager. Vous spécifiez les actions dans l'élément Action d'une stratégie. Les autres colonnesfournissent les informations supplémentaires suivantes :
Vous pouvez utiliser les éléments de stratégie IAM dans vos stratégies ACM pour exprimer des conditions.Pour obtenir la liste complète des options disponibles, consultez Clés disponibles dans le IAM Guide del'utilisateur.
Note
Pour spécifier une action, utilisez le préfixe acm: suivi du nom de l'opération d'API (par exemple,acm:RequestCertificate).
Version 1.020
AWS Certificate Manager Manuel de l'utilisateurConsignation et surveillance
Opérations et autorisations d'API ACM
Opérations API ACM Autorisations requises(opérations d'API)
Resources
AddTagsToCertificate acm:AddTagsToCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
DeleteCertificate acm:DeleteCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
DescribeCertificate acm:DescribeCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
ExportCertificate acm:ExportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
GetCertificate acm:GetCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
ImportCertificate acm:ImportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
ListCertificates acm:ListCertificates arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
ListTagsForCertificate acm:ListTagsForCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
RemoveTagsFromCertificate acm:RemoveTagsFromCertificatearn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
RequestCertificate acm:RequestCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
ResendValidationEmail acm:ResendValidationEmail arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID
Journalisation et surveillance pour AWS CertificateManager
La surveillance est un enjeu important pour assurer la fiabilité, la disponibilité et les performances d'AWSCertificate Manager et de vos solutions AWS. Vous devez recueillir les données de surveillance de toutesles parties de votre solution AWS de telle sorte que vous puissiez déboguer plus facilement une éventuelledéfaillance à plusieurs points.
Les rubriques suivantes décrivent les outils de surveillance du cloud AWS disponibles avec ACM.
Rubriques• Utilisation d’CloudTrail avec un AWS Certificate Manager (p. 22)
Version 1.021
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
Utilisation d’CloudTrail avec un AWS CertificateManagerAWS Certificate Manager est intégré à AWS CloudTrail, service qui fournit un enregistrement des actionsréalisées par un utilisateur, un rôle ou un service AWS dans ACM. CloudTrail est activé par défaut sur votrecomte AWS. CloudTrail capture les appels d'API pour ACM en tant qu'événements, y compris les appelsdepuis la console ACM et les appels de code aux opérations d'API ACM. Si vous configurez un journalde suivi, vous pouvez diffuser en continu les événements CloudTrail sur un compartiment Amazon S3, ycompris les événements pour ACM. Si vous ne configurez pas de journal de suivi, vous pouvez toujoursafficher les événements les plus récents dans la console CloudTrail, sous Event history (Historique desévénements).
À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyéeà ACM, l'adresse IP source à partir de laquelle la demande a été effectuée, l'auteur de la demande et ladate de la demande, ainsi que d'autres informations. Pour plus d'informations, consultez Affichage desévénements avec l'historique des événements CloudTrail . Quand une activité d'événement prise en chargea lieu dans ACM, elle est enregistrée dans un événement CloudTrail avec d'autres événements de servicesAWS dans Event history (Historique des événements). Vous pouvez afficher, rechercher et télécharger lesévénements récents dans votre compte AWS.
En outre, vous pouvez configurer d'autres services AWS pour analyser plus en profondeur les donnéesd'événements collectées dans les journaux CloudTrail et agir sur celles-ci.
Pour de plus amples informations sur CloudTrail, veuillez consulter la documentation suivante.
• AWS CloudTrail User Guide.• Présentation de la création d'un journal de suivi• CloudTrail Intégrations et services pris en charge• Configuration des notifications Amazon SNS pour CloudTrail• Recevoir les fichiers journaux de CloudTrail de plusieurs régions et Recevoir les fichiers journaux de
CloudTrail de plusieurs comptes
Rubriques• Actions d'API ACM prises en charge dans la journalisation CloudTrail (p. 22)• Journalisation des appels d'API liés à ACM (p. 31)
Actions d'API ACM prises en charge dans la journalisationCloudTrailACM prend en charge la journalisation des actions suivantes en tant qu'événements dans les fichiersjournaux CloudTrail :
Chaque événement ou entrée du journal contient des informations sur la personne qui a généré lademande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :
• Si la demande a été effectuée avec les informations d'identification racine ou utilisateur AWS Identity andAccess Management (IAM)
• Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôleou un utilisateur fédéré
• Si la demande a été effectuée par un autre service AWS
Pour plus d’informations, consultez l’élément userIdentity CloudTrail.
Version 1.022
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
Les sections suivantes fournissent des exemples de journaux pour les opérations d'API prises en charge.
• Ajout de balises à un certificat (AddTagsToCertificate) (p. 23)• Suppression d'un certificat (DeleteCertificate) (p. 23)• Description d'un certificat (DescribeCertificate) (p. 24)• Exportation d'un certificatExportCertificate (p. 25)• Importer un certificat (ImportCertificate) (p. 26)• Liste des certificats (ListCertificates) (p. 27)• Établissement de la liste des balises d'un certificat (ListTagsForCertificate) (p. 28)• Suppression de balises d'un certificat (RemoveTagsFromCertificate) (p. 29)• Demande d'un certificatRequestCertificate (p. 29)• Renvoi d'un e-mail de validation (ResendValidationEmail) (p. 30)• Récupération d'un certificatGetCertificate (p. 31)
Ajout de balises à un certificat (AddTagsToCertificate)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'AddTagsToCertificateAPI .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-04-06T13:53:53Z", "eventSource":"acm.amazonaws.com", "eventName":"AddTagsToCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.10.16", "requestParameters":{ "tags":[ { "value":"Alice", "key":"Admin" } ], "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/fedcba98-7654-3210-fedc-ba9876543210" }, "responseElements":null, "requestID":"fedcba98-7654-3210-fedc-ba9876543210", "eventID":"fedcba98-7654-3210-fedc-ba9876543210", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Suppression d'un certificat (DeleteCertificate)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'DeleteCertificateAPI .
Version 1.023
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-18T00:00:26Z", "eventSource":"acm.amazonaws.com", "eventName":"DeleteCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/fedcba98-7654-3210-fedc-ba9876543210" }, "responseElements":null, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Description d'un certificat (DescribeCertificate)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'DescribeCertificateAPI .
Note
Le journal CloudTrail de l'opération DescribeCertificate n'affiche pas d'informations sur lecertificat ACM que vous spécifiez. Vous pouvez afficher des informations sur le certificat à l'aidede la console AWS Command Line Interface , de l' ou de lDescribeCertificate'API .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-18T00:00:42Z", "eventSource":"acm.amazonaws.com", "eventName":"DescribeCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/fedcba98-7654-3210-fedc-ba9876543210" },
Version 1.024
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"responseElements":null, "requestID":"fedcba98-7654-3210-fedc-ba9876543210", "eventID":"fedcba98-7654-3210-fedc-ba9876543210", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Exportation d'un certificatExportCertificate
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'ExportCertificateAPI .
{ "Records":[ { "version":"0", "id":"01234567-89ab-cdef-0123-456789abcdef", "detail-type":"AWS API Call via CloudTrail", "source":"aws.acm", "account":"123456789012", "time":"2018-05-24T15:28:11Z", "region":"us-east-1", "resources":[
], "detail":{ "eventVersion":"1.04", "userIdentity":{ "type":"Root", "principalId":"123456789012", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2018-05-24T15:28:11Z", "eventSource":"acm.amazonaws.com", "eventName":"ExportCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.15.4 Python/2.7.9 Windows/8 botocore/1.10.4", "requestParameters":{ "passphrase":{ "hb":[ 42, 42, 42, 42, 42, 42, 42, 42, 42, 42 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":0, "limit":10, "capacity":10,
Version 1.025
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"address":0 }, "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/fedcba98-7654-3210-fedc-ba9876543210" }, "responseElements":{ "certificateChain": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----", "privateKey":"**********", "certificate": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----" }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"fedcba98-7654-3210-fedc-ba9876543210", "eventType":"AwsApiCall" } } ]}
Importer un certificat (ImportCertificate)
L'exemple suivant montre l'entrée CloudTrail de journal qui enregistre un appel à l'opération ACM ImportCertificate d'API .
{ "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/Alice", "accountId":"111122223333", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-10-04T16:01:30Z", "eventSource":"acm.amazonaws.com", "eventName":"ImportCertificate", "awsRegion":"ap-southeast-2", "sourceIPAddress":"54.240.193.129", "userAgent":"Coral/Netty", "requestParameters":{ "privateKey":{ "hb":[ "byte", "byte", "byte", "..." ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":0, "limit":1674, "capacity":1674,
Version 1.026
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"address":0 }, "certificateChain":{ "hb":[ "byte", "byte", "byte", "..." ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":0, "limit":2105, "capacity":2105, "address":0 }, "certificate":{ "hb":[ "byte", "byte", "byte", "..." ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":0, "limit":2503, "capacity":2503, "address":0 } }, "responseElements":{ "certificateArn":"arn:aws:acm:ap-southeast-2:111122223333:certificate/01234567-89ab-cdef-0123-456789abcdef" }, "requestID":"01234567-89ab-cdef-0123-456789abcdef", "eventID":"01234567-89ab-cdef-0123-456789abcdef", "eventType":"AwsApiCall", "recipientAccountId":"111122223333"}
Liste des certificats (ListCertificates)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'ListCertificatesAPI .
Note
Le journal CloudTrail de l'opération ListCertificates n'affiche pas vos certificats ACM. Vouspouvez afficher la liste des certificats à l'aide de la console AWS Command Line Interface , de l' oude lListCertificates'API .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE",
Version 1.027
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-18T00:00:43Z", "eventSource":"acm.amazonaws.com", "eventName":"ListCertificates", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "maxItems":1000, "certificateStatuses":[ "ISSUED" ] }, "responseElements":null, "requestID":"74c99844-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID":"cdfe1051-88aa-4aa3-8c33-a325270bff21", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Établissement de la liste des balises d'un certificat (ListTagsForCertificate)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'ListTagsForCertificateAPI .
Note
Le journal CloudTrail de l'opération ListTagsForCertificate n'affiche pas vos balises. Vouspouvez afficher la liste des balises à l'aide de la console AWS Command Line Interface , de l' oude lListTagsForCertificate'API .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-04-06T13:30:11Z", "eventSource":"acm.amazonaws.com", "eventName":"ListTagsForCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.10.16", "requestParameters":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements":null, "requestID":"b010767f-fbfb-11e5-b596-79e9a97a2544", "eventID":"32181be6-a4a0-48d3-8014-c0d972b5163b", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" }
Version 1.028
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
]}
Suppression de balises d'un certificat (RemoveTagsFromCertificate)L'CloudTrailexemple suivant illustre les résultats d'un appel à l'RemoveTagsFromCertificateAPI .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-04-06T14:10:01Z", "eventSource":"acm.amazonaws.com", "eventName":"RemoveTagsFromCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.10.16", "requestParameters":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", "tags":[ { "value":"Bob", "key":"Admin" } ] }, "responseElements":null, "requestID":"40ded461-fc01-11e5-a747-85804766d6c9", "eventID":"0cfa142e-ef74-4b21-9515-47197780c424", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Demande d'un certificatRequestCertificateL'CloudTrailexemple suivant illustre les résultats d'un appel à l'RequestCertificateAPI .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-18T00:00:49Z", "eventSource":"acm.amazonaws.com", "eventName":"RequestCertificate",
Version 1.029
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "subjectAlternativeNames":[ "example.net" ], "domainName":"example.com", "domainValidationOptions":[ { "domainName":"example.com", "validationDomain":"example.com" }, { "domainName":"example.net", "validationDomain":"example.net" } ], "idempotencyToken":"8186023d89681c3ad5" }, "responseElements":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "requestID":"77dacef3-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID":"a4954cdb-8f38-44c7-8927-a38ad4be3ac8", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Renvoi d'un e-mail de validation (ResendValidationEmail)
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'ResendValidationEmailAPI .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-17T23:58:25Z", "eventSource":"acm.amazonaws.com", "eventName":"ResendValidationEmail", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "domain":"example.com", "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", "validationDomain":"example.com" }, "responseElements":null, "requestID":"23760b88-ec9c-11e5-b6f4-cb861a6f0a28", "eventID":"41c11b06-ca91-4c1c-8c61-af349ea8bab8", "eventType":"AwsApiCall",
Version 1.030
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"recipientAccountId":"123456789012" } ]}
Récupération d'un certificatGetCertificate
L'CloudTrailexemple suivant illustre les résultats d'un appel à l'GetCertificateAPI .
{ "Records":[ { "eventVersion":"1.04", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/Alice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-03-18T00:00:41Z", "eventSource":"acm.amazonaws.com", "eventName":"GetCertificate", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "certificateArn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements":{ "certificateChain":
"-----BEGIN CERTIFICATE----- Base64-encoded certificate chain -----END CERTIFICATE-----", "certificate": "-----BEGIN CERTIFICATE----- Base64-encoded certificate -----END CERTIFICATE-----"
}, "requestID":"744dd891-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID":"7aa4f909-00dd-478a-9a00-b2709bcad2bb", "eventType":"AwsApiCall", "recipientAccountId":"123456789012" } ]}
Journalisation des appels d'API liés à ACMVous pouvez utiliser CloudTrail pour auditer les appels d'API effectués par les services intégrés à ACM.Pour plus d'informations sur l'utilisation de CloudTrail, consultez le Guide de l'utilisateur AWS CloudTrail.Les exemples suivants illustrent les types de journaux qui peuvent être générés en fonction des ressourcesAWS sur lesquelles vous mettez en service le certificat ACM.
Rubriques• Création d'un équilibreur de charge (p. 32)• Enregistrement d'une Instance Amazon EC2 avec un équilibreur de charge (p. 32)
Version 1.031
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
• Déchiffrement d'une clé privée (p. 33)• Déchiffrement d'une clé privée (p. 34)
Création d'un équilibreur de chargeL'exemple suivant montre un appel à la fonction CreateLoadBalancer effectué par un utilisateur IAMnommé Alice. Le nom de l’équilibreur de charge est TestLinuxDefault, et l’écouteur est créé à l'aided'un certificat ACM.
{ "eventVersion":"1.03", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/Alice", "accountId":"111122223333", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice" }, "eventTime":"2016-01-01T21:10:36Z", "eventSource":"elasticloadbalancing.amazonaws.com", "eventName":"CreateLoadBalancer", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0/24", "userAgent":"aws-cli/1.9.15", "requestParameters":{ "availabilityZones":[ "us-east-1b" ], "loadBalancerName":"LinuxTest", "listeners":[ { "sSLCertificateId":"arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012", "protocol":"HTTPS", "loadBalancerPort":443, "instanceProtocol":"HTTP", "instancePort":80 } ] }, "responseElements":{ "dNSName":"LinuxTest-1234567890.us-east-1.elb.amazonaws.com" }, "requestID":"19669c3b-b0cc-11e5-85b2-57397210a2e5", "eventID":"5d6c00c9-a9b8-46ef-9f3b-4589f5be63f7", "eventType":"AwsApiCall", "recipientAccountId":"111122223333"}
Enregistrement d'une Instance Amazon EC2 avec un équilibreur de chargeLorsque vous mettez en service votre site Web ou votre application sur une instance Amazon ElasticCompute Cloud (Amazon EC2), l’équilibreur de charge doit être informé de cette instance. Cette action peuts'effectuer via la console Elastic Load Balancing ou l'AWS Command Line Interface. L'exemple suivantillustre un appel à RegisterInstancesWithLoadBalancer pour un équilibreur de charge nomméLinuxTest sur AWS le compte 123456789012.
{ "eventVersion":"1.03", "userIdentity":{
Version 1.032
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::123456789012:user/ALice", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"Alice", "sessionContext":{ "attributes":{ "mfaAuthenticated":"false", "creationDate":"2016-01-01T19:35:52Z" } }, "invokedBy":"signin.amazonaws.com" }, "eventTime":"2016-01-01T21:11:45Z", "eventSource":"elasticloadbalancing.amazonaws.com", "eventName":"RegisterInstancesWithLoadBalancer", "awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.0/24", "userAgent":"signin.amazonaws.com", "requestParameters":{ "loadBalancerName":"LinuxTest", "instances":[ { "instanceId":"i-c67f4e78" } ] }, "responseElements":{ "instances":[ { "instanceId":"i-c67f4e78" } ] }, "requestID":"438b07dc-b0cc-11e5-8afb-cda7ba020551", "eventID":"9f284ca6-cbe5-42a1-8251-4f0e6b5739d6", "eventType":"AwsApiCall", "recipientAccountId":"123456789012"}
Déchiffrement d'une clé privée
L'exemple suivant illustre un appel à Encrypt qui chiffre la clé privée associée à un certificat ACM. Lechiffrement est effectué dans AWS.
{ "Records":[ { "eventVersion":"1.03", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/acm", "accountId":"111122223333", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "userName":"acm" }, "eventTime":"2016-01-05T18:36:29Z", "eventSource":"kms.amazonaws.com", "eventName":"Encrypt", "awsRegion":"us-east-1", "sourceIPAddress":"AWS Internal", "userAgent":"aws-internal",
Version 1.033
AWS Certificate Manager Manuel de l'utilisateurUtilisation de CloudTrail
"requestParameters":{ "keyId":"arn:aws:kms:us-east-1:123456789012:alias/aws/acm", "encryptionContext":{ "aws:acm:arn":"arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }, "responseElements":null, "requestID":"3c417351-b3db-11e5-9a24-7d9457362fcc", "eventID":"1794fe70-796a-45f5-811b-6584948f24ac", "readOnly":true, "resources":[ { "ARN":"arn:aws:kms:us-east-1:123456789012:key/87654321-4321-4321-4321-210987654321", "accountId":"123456789012" } ], "eventType":"AwsServiceEvent", "recipientAccountId":"123456789012" } ]}
Déchiffrement d'une clé privée
L'exemple suivant illustre un appel à Decrypt qui déchiffre la clé privée associée à un certificat ACM. Ledéchiffrement s'effectue dans AWS et la clé déchiffrée ne quitte jamais AWS.
{ "eventVersion":"1.03", "userIdentity":{ "type":"AssumedRole", "principalId":"AIDACKCEVSQ6C2EXAMPLE:1aba0dc8b3a728d6998c234a99178eff", "arn":"arn:aws:sts::111122223333:assumed-role/DecryptACMCertificate/1aba0dc8b3a728d6998c234a99178eff", "accountId":"111122223333", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "sessionContext":{ "attributes":{ "mfaAuthenticated":"false", "creationDate":"2016-01-01T21:13:28Z" }, "sessionIssuer":{ "type":"Role", "principalId":"APKAEIBAERJR2EXAMPLE", "arn":"arn:aws:iam::111122223333:role/DecryptACMCertificate", "accountId":"111122223333", "userName":"DecryptACMCertificate" } } }, "eventTime":"2016-01-01T21:13:28Z", "eventSource":"kms.amazonaws.com", "eventName":"Decrypt", "awsRegion":"us-east-1", "sourceIPAddress":"AWS Internal", "userAgent":"aws-internal/3", "requestParameters":{ "encryptionContext":{ "aws:elasticloadbalancing:arn":"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/LinuxTest", "aws:acm:arn":"arn:aws:acm:us-east-1:123456789012:certificate/87654321-4321-4321-4321-210987654321"
Version 1.034
AWS Certificate Manager Manuel de l'utilisateurRésilience
} }, "responseElements":null, "requestID":"809a70ff-b0cc-11e5-8f42-c7fdf1cb6e6a", "eventID":"7f89f7a7-baff-4802-8a88-851488607fb9", "readOnly":true, "resources":[ { "ARN":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012", "accountId":"123456789012" } ], "eventType":"AwsServiceEvent", "recipientAccountId":"123456789012"}
Résilience dans AWS Certificate ManagerL'infrastructure AWS mondiale repose sur des AWS régions et des zones de disponibilité.AWS Les régionsfournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau àlatence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoiret exploiter des applications et des bases de données qui basculent automatiquement d'une zone à l'autresans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes etévolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour de plus amples d'informations sur les régions et les zones de disponibilité AWS, veuillez consulterInfrastructure mondiale d'AWS .
Sécurité de l'infrastructure dans AWS CertificateManager
En tant que service géré, AWS Certificate Manager est protégé par les procédures de sécurité du réseauAWS mondial qui sont décrites dans :Amazon Web Services Livre blanc Présentation des processus desécurité .
Vous utilisez les appels d'API AWS publiés pour accéder à ACM via le réseau. Les clients doivent prendreen charge le protocole TLS (Transport Layer Security) 1.0 ou version ultérieure. Nous recommandons TLS1.2 ou version ultérieure. Les clients doivent également prendre en charge les suites de chiffrement PFS(Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) La plupart des systèmes modernes telles que Java 7 et versions ultérieures prennent encharge ces modes.
En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrèteassociée à un mandataire IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS)pour générer des informations d'identification de sécurité temporaires et signer les demandes.
Bonnes pratiquesLes bonnes pratiques sont des recommandations qui peuvent vous aider à utiliser AWS CertificateManager (AWS Certificate Manager) plus efficacement. Les bonnes pratiques suivantes reposent surl'expérience réelle de clients actuels d'ACM.
Version 1.035
AWS Certificate Manager Manuel de l'utilisateurAWS CloudFormation
Rubriques• AWS CloudFormation (p. 36)• Épinglage de certificat (p. 36)• Validation de domaine (p. 37)• Ajout ou suppression de noms de domaine (p. 37)• Refus de la journalisation de transparence des certificats (p. 37)• Activer AWS CloudTrail (p. 38)
AWS CloudFormationAvec AWS CloudFormation vous pouvez créer un modèle qui décrit les ressources AWS que vous voulezutiliser. Ensuite, AWS CloudFormation met en service et configure automatiquement ces ressources. AWSCloudFormation peut mettre en service les ressources prises en charge par ACM, telles que Elastic LoadBalancing, Amazon CloudFront et Amazon API Gateway. Pour plus d’informations, consultez Servicesintégrés à AWS Certificate Manager (p. 4).
Si vous utilisez AWS CloudFormation pour créer et supprimer rapidement plusieurs environnementsde test, nous vous recommandons de ne pas créer de certificat ACM distinct pour chaqueenvironnement. En procédant ainsi, votre quota de certificats sera rapidement atteint. Pour plusd’informations, consultez Quotas (p. 6). Créez plutôt un certificat générique qui couvre tous lesnoms de domaine que vous utilisez pour les tests. Par exemple, si vous créez des ACM certificatsde manière répétée pour des noms de domaine qui ne varient que par un numéro de version,par exemple <version>.service.example.com, créez un seul certificat générique pour<*>.service.example.com. Incluez le certificat générique dans le modèle utilisé par pour créer votreenvironnement de test.AWS CloudFormation
Épinglage de certificatL'épinglage de certificat, parfois appelé épinglage SSL, est un processus que vous pouvez utiliser dansvotre application pour valider un hôte distant en l'associant directement à son certificat X.509 ou à sa clépublique au lieu de l'associer à une hiérarchie de certificats. L'application utilise donc l'épinglage pourcontourner la validation de la chaîne de certificats SSL/TLS. Le processus de validation SSL classiquevérifie les signatures dans l'ensemble de la chaîne de certificats, en allant de l'autorité de certification (CA)racine aux certificats CA subordonnés, le cas échéant. Il vérifie également le certificat de l'hôte distant aubas de la hiérarchie. Sinon, votre application peut épingler le certificat à l'hôte distant et seul ce certificatet non le certificat racine ou tout autre certificat de la chaîne est donc approuvé. Vous pouvez ajouterle certificat ou la clé publique de l'hôte distant pour votre application pendant le développement. Sinon,l'application peut ajouter le certificat ou la clé lors de sa première connexion à l'hôte.
Warning
Nous recommandons que votre application n'épingle pas de certificat ACM. ACM exécuteRenouvellement géré pour les certificats émis par Amazon d'ACM (p. 67) pour renouvelerautomatiquement vos certificats SSL/TLS Amazon avant qu'ils n'expirent. Pour renouveler uncertificat, ACM génère une nouvelle paire de clés publiques-privées. Si votre application épinglele certificat ACM et que ce certificat a été renouvelé avec une nouvelle clé publique, l'applicationrisque de ne pas pouvoir se connecter à votre domaine.
Si vous décidez d'épingler un certificat, les options suivantes n'empêcheront pas votre application de seconnecter à votre domaine :
• Importez votre propre certificat dans ACM et épinglez votre application au certificat importé. ACM nerenouvelle pas automatiquement les certificats importés.
• Si vous utilisez un certificat public, épinglez votre application à tous les certificats racine Amazondisponibles. Si vous utilisez un certificat privé, épinglez votre application au certificat racine de votre CA.
Version 1.036
AWS Certificate Manager Manuel de l'utilisateurValidation de domaine
Validation de domaineAvant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWSCertificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vousavez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS.Pour de plus amples informations, veuillez consulter Utilisation de DNS pour valider la propriété dudomaine (p. 52) et Utilisation d'un e-mail pour valider la propriété du domaine (p. 56).
Ajout ou suppression de noms de domaineVous ne pouvez pas ajouter ou supprimer de noms de domaine dans un certificat ACM existant. À la place,vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine. Par exemple,si votre certificat contient cinq noms de domaine et que vous souhaitez en ajouter quatre autres, vousdevez demander un nouveau certificat contenant les neuf noms de domaine. Comme pour tout nouveaucertificat, vous devez valider la propriété de tous les noms de domaine figurant dans la demande, y comprisles noms que vous avez validés auparavant pour le certificat d'origine.
Si vous utilisez la validation par e-mail, vous recevez 8 e-mails de validation maximum pour chaquedomaine, parmi lesquels il doit être donné suite à au moins un dans les 72 heures. Par exemple, lorsquevous demandez un certificat contenant cinq noms de domaine, vous recevez 40 e-mails de validationmaximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures. Au fur et à mesure quele nombre de noms de domaine augmente dans la demande de certificat, le travail nécessaire pour utiliserles e-mails afin de valider la propriété des domaines augmente aussi.
Si vous utilisez à la place une valid ation DNS, vous devez écrire un nouvel enregistrement DNS dansla base de données pour le nom de domaine complet que vous voulez valider. ACM vous envoiel'enregistrement pour créer et interroger la base de données, et déterminer où l'enregistrement a été ajouté.L'ajout de l'enregistrement indique que vous possédez ou contrôlez le domaine. Dans l'exemple précédent,si vous demandez un certificat avec cinq noms de domaine, vous devez créer cinq enregistrements DNS.Nous vous recommandons d'utiliser la validation DNS dans la mesure du possible.
Refus de la journalisation de transparence descertificats
Important
Quelles que soient les actions que vous utilisez pour refuser la journalisation de transparencedes certificats, votre certificat peut quand même être consigné par un client ou une personnequi a accès au point de terminaison public ou privé auquel vous liez le certificat. Toutefois, lecertificat ne contiendra pas un horodatage de certificat signé (SCT). Seule l'autorité de certificationémettrice peut intégrer un SCT dans un certificat.
À compter du 30 avril 2018, Google Chrome cesse de faire confiance aux certificats SSL/TLS publicsqui ne sont pas enregistrés dans un journal de transparence de certificats. Par conséquent, à partir du24 avril 2018, la CA Amazon a commencé à publier tous les certificats nouveaux et renouvelés dans aumoins deux journaux publics. Une fois qu'un certificat a été consigné, il ne peut pas être supprimé. Pourplus d’informations, consultez Journalisation de transparence des certificats (p. 125).
La journalisation s'effectue automatiquement lorsque vous demandez un certificat ou lorsqu'un certificatest renouvelé, mais vous pouvez choisir de refuser cette action. Cette décision tient généralement àdes préoccupations liées à la sécurité et à la confidentialité des données. Par exemple, la journalisationdes noms de domaine d'hôte internes fournit à des pirates potentiels des informations sur les réseauxinternes qui ne seraient autrement pas publiques. En outre, la journalisation peut causer la fuite de nomsde produits et sites web nouveaux ou non communiqués.
Pour refuser la journalisation de transparence lorsque vous demandez un certificat, utilisez le paramètre Options de la commande AWS CLI request-certificate ou de lRequestCertificate'API.
Version 1.037
AWS Certificate Manager Manuel de l'utilisateurActiver AWS CloudTrail
Si votre certificat a été émis avant le 24 avril 2018 et que vous voulez vous assurer qu'il n'est pas consignéau cours du renouvellement, vous pouvez appeler la update-certificate-options commande oulUpdateCertificateOptions'API pour refuser.
Une fois qu'un certificat a été consigné, il ne peut pas être supprimé du journal. Refuser à ce staden'aura aucun effet. Si vous refusez la journalisation lorsque vous demandez un certificat, puis choisissezultérieurement de l'accepter, votre certificat ne sera consigné qu'à son renouvellement. Si vous voulez quele certificat soit consigné immédiatement, nous vous recommandons d'en émettre un nouveau.
Note
Actuellement, vous ne pouvez pas utiliser la console pour refuser ou accepter la journalisation detransparence.
L'exemple suivant vous montre comment utiliser la commande request-certificate pour désactiver latransparence des certificats lorsque vous demandez un nouveau certificat.
aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--options CertificateTransparencyLoggingPreference=DISABLED \--idempotency-token 184627
La commande précédente génère le nom ARN de votre nouveau certificat.
{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}
Si vous possédez déjà un certificat et que vous ne voulez pas qu'il soit consigné lorsqu'il sera renouvelé,utilisez la commande update-certificate-options. Cette commande ne renvoie aucune valeur.
aws acm update-certificate-options \--certificate-arn arn:aws:acm:region:account:\certificate/12345678-1234-1234-1234-123456789012 \--options CertificateTransparencyLoggingPreference=DISABLED
Activer AWS CloudTrailActivez CloudTrail la journalisation avant de commencer à utiliser ACM . vous CloudTrail permet desurveiller vos AWS déploiements en récupérant un historique des appels d'API AWS pour votre compte,y compris les appels d'API effectués via Management Console, l' AWS AWS , l' et les services AWS deniveau supérieur.SDKsAWS Command Line Interface Vous pouvez également identifier les utilisateurs etles comptes qui ont appelé l' ACM APIs , l'adresse IP source d'origine des appels, ainsi que le moment oùles appels ont eu lieu. Vous pouvez intégrer CloudTrail dans des applications utilisant l'API, automatiser lacréation de journaux d'activité pour votre organisation, vérifier le statut des journaux d'activité et contrôlerde quelle manière des administrateurs activent et désactivent la journalisation CloudTrail. Pour plusd'informations, consultez Création d'un journal de suivi. Accédez à Utilisation d’CloudTrail avec un AWSCertificate Manager (p. 22) pour consulter des exemples de journal de suivi pour des actions ACM.
Version 1.038
AWS Certificate Manager Manuel de l'utilisateurConfiguration d'AWS et d'IAM
ConfigurationAvec AWS Certificate Manager (ACM), vous pouvez mettre en service et gérer des certificats SSL/TLSpour vos sites web et applications basés sur AWS. Vous utilisez ACM pour créer ou importer un certificat,puis le gérer. Vous devez utiliser d'autres services AWS pour déployer le certificat pour votre site web ouvotre application. Pour plus d'informations sur les services intégrés à ACM, consultez Services intégrés àAWS Certificate Manager (p. 4). Les rubriques suivantes présentent les actions à effectuer avant d'utiliserACM.
Note
En plus d'utiliser les certificats fournis par ACM, vous pouvez également importer des certificatsdans ACM. Pour plus d'informations, consultez Importation de certificats (p. 74).
Rubriques• Configuration d'AWS et d'IAM (p. 39)• Enregistrement d'un nom de domaine (p. 40)• Configuration de votre site Web ou de votre application (p. 41)• (Facultatif) Configuration d'une adresse e-mail pour votre domaine (p. 41)• (Facultatif) Configuration d'un enregistrement CAA (p. 43)
Configuration d'AWS et d'IAMAvant de pouvoir utiliser ACM, vous devez vous inscrire à Amazon Web Services. À titre de bonnepratique, nous vous recommandons de créer un utilisateur IAM pour limiter les actions que vos utilisateurspeuvent exécuter.
S'inscrire à AWSSi vous n’êtes pas déjà un client Amazon Web Services (AWS), vous devez vous inscrire pour pouvoirutiliser ACM. Votre compte est automatiquement inscrit à tous les services disponibles, mais vous ne payezque les services que vous utilisez. De même, si vous êtes un nouveau client AWS, vous bénéficiez d'unemise en route gratuite. Pour plus d'informations, consultez la page sur l'offer gratuite AWS.
Pour s'inscrire à un compte AWS
1. Rendez-vous sur https://aws.amazon.com/s et cliquez sur Sign Up (Inscrivez-vous).2. Suivez les instructions à l'écran.
Note
La procédure d'inscription inclut la réception d'un appel téléphonique automatisé et la saisie devotre code PIN sur le clavier du téléphone. Vous devez également fournir un numéro de carte decrédit, même si vous vous inscrivez à l'offre gratuite.
Créer un utilisateur IAMTous les comptes AWS disposent d'informations d'identification utilisateur racine (autrement dit, lesinformations d'identification du propriétaire du compte). Ces informations d'identification permettent
Version 1.039
AWS Certificate Manager Manuel de l'utilisateurEnregistrement d'un nom de domaine
un accès complet à toutes les ressources du compte. Comme vous ne pouvez pas restreindre lesautorisations pour les informations d'identification utilisateur racine, nous vous recommandons desupprimer vos clés d'accès utilisateur racine. Ensuite, créez des informations d'identification utilisateurAWS Identity and Access Management (IAM) pour les interactions quotidiennes avec AWS. Pour plusd'informations, consultez Protéger les clés d'accès de l'utilisateur racine de votre compte AWS dans le IAMGuide de l'utilisateur.
Note
Vous aurez peut-être besoin de l'accès à Utilisateur racine d'un compte AWS pour des tâchesspécifiques, telles que la modification d'un plan de support AWS ou la fermeture de votre compte.Dans ces cas, connectez-vous à AWS Management Consoleavec votre adresse e-mail et votremot de passe. Voir Adresse e-mail et mot de passe (utilisateur racine).
Pour obtenir la liste des tâches qui requièrent l'accès utilisateur racine, consultez Tâches AWS quirequièrent un utilisateur racine de compte AWS.
Avec IAM, vous pouvez contrôler en toute sécurité l'accès aux ressources et services AWS des utilisateursde votre compte AWS. Par exemple, si vous avez besoin d'autorisations de niveau administrateur, vouspouvez créer un utilisateur IAM, lui accorder l'accès complet, puis utiliser ces informations d'identificationpour interagir avec AWS. Si vous avez besoin de modifier ou d'annuler vos autorisations, vous pouvezsupprimer ou modifier les stratégies qui sont associées à cet utilisateur IAM.
Si vous avez plusieurs utilisateurs qui ont besoin d'accéder à votre compte AWS, vous pouvez créer desinformations d'identification uniques pour chaque utilisateur et définir qui a accès à quelles ressources.Vous n'avez pas besoin de partager les informations d'identification. Par exemple, vous pouvez créer desutilisateurs IAM avec un accès en lecture seule aux ressources de votre compte AWS et distribuer cesinformations d'identification à vos utilisateurs.
ACM fournit également deux stratégies gérées AWS que vous pouvez utiliser :
• AWSCertificateManagerFullAccess• AWSCertificateManagerReadOnly
Note
Les activités ou les coûts associés à l'utilisateur IAM sont facturés au propriétaire du compte AWS.
Enregistrement d'un nom de domaineLe nom de domaine complet (FQDN) est le nom spécifique d'une organisation ou d'une personne surInternet, suivi d'une extension de domaine de niveau supérieur, par exemple .com ou .org. Si vous n'avezpas de nom de domaine enregistré, vous pouvez en enregistrer un via Amazon Route 53 ou des dizainesd'autres registres du commerce. En général, vous accédez au site Web du registre et vous demandezun nom de domaine. Le registre interroge WHOIS afin de déterminer si le nom de domaine completdemandé est disponible. Si c'est le cas, le registre affiche habituellement la liste des noms associés quidiffèrent selon l'extension de domaine, et vous donne l'occasion d'acquérir l'un des noms disponibles.L'enregistrement dure généralement pendant une période de temps définie, par exemple un ou deux ansavant son renouvellement obligatoire.
Pour plus d'informations sur l'enregistrement des noms de domaine avec Amazon Route 53, consultezEnregistrement de noms de domaine à l'aide d'Amazon Route 53 dans le Amazon Route 53 Manuel dudéveloppeur.
Version 1.040
AWS Certificate Manager Manuel de l'utilisateurConfiguration de votre site ou application
Configuration de votre site Web ou de votreapplication
Vous pouvez installer votre site Web sur une instance Amazon EC2 Linux ou Windows. Pour plusd'informations sur les instances Amazon EC2 Linux, consultez Guide de l'utilisateur Amazon ElasticCompute Cloud pour Linux. Pour plus d'informations sur les instances Amazon EC2 Windows, consultezGuide de l'utilisateur Amazon Elastic Compute Cloud pour Microsoft Windows.
Bien que vous installiez votre site Web sur une instance Amazon EC2 vous ne pouvez pas déployerdirectement un certificat ACM sur cette instance. Vous devez déployer votre certificat à l'aide de l'undes services intégrés à ACM. Pour plus d'informations, consultez Services intégrés à AWS CertificateManager (p. 4).
Afin d'obtenir rapidement un site Web opérationnel sur Windows ou Linux, consultez les rubriquessuivantes.
Rubriques• Guide de démarrage rapide Linux (p. 41)• Guide de démarrage rapide Windows (p. 41)
Guide de démarrage rapide LinuxPour créer votre site Web ou votre application sur une instance Linux, vous pouvez choisir une imageAmazon Machine Image (AMI) Linux et installer dessus un serveur Web Apache. Pour plus d'informations,consultez Didacticiel : Installation d'un serveur Web LAMP sur Amazon Linux dans le Amazon EC2 Guidede l'utilisateur pour les instances Linux.
Guide de démarrage rapide WindowsAfin d'acquérir un serveur Microsoft Windows sur lequel vous pouvez installer votre site Web ou votreapplication, choisissez une AMI Windows Server livrée avec un serveur Web Microsoft Internet InformationServices (IIS). Utilisez ensuite le site Web par défaut ou créez-en un nouveau. Vous pouvez égalementinstaller un serveur WIMP sur votre instance Amazon EC2. Pour plus d'informations, consultez Didacticiel :Installation d'un serveur WIMP sur une instance Amazon EC2 exécutant Windows Server dans le AmazonEC2 Guide de l'utilisateur pour les instances Windows.
(Facultatif) Configuration d'une adresse e-mail pourvotre domaine
Note
Les étapes suivantes sont obligatoires uniquement si vous utilisez la validation par e-mail pourindiquer que vous possédez ou contrôlez le nom de domaine complet (FQDN) spécifié dansvotre demande de certificat. ACM nécessite que vous validiez la propriété ou le contrôle avantd'émettre un certificat. Vous pouvez utiliser la validation par e-mail ou la validation DNS. Pour plusd'informations sur la validation par e-mail, consultez Utilisation d'un e-mail pour valider la propriétédu domaine (p. 56).Si vous êtes en mesure de modifier la configuration DNS, nous vous recommandons d'utiliserla validation de domaine DNS plutôt que la validation par e-mail. La validation DNS supprime lebesoin de configurer des adresses e-mail pour le nom de domaine. Pour plus d'informations sur lavalidation DNS, consultez Utilisation de DNS pour valider la propriété du domaine (p. 52).
Version 1.041
AWS Certificate Manager Manuel de l'utilisateurBase de données WHOIS
Utilisez le site web de votre registre pour associer vos adresses de contact à votre domaine. Le registreajoute les adresses e-mail de contact à la base de données WHOIS et ajoute un ou plusieurs serveurs demessagerie aux enregistrements (MX) d'un serveur DNS. Si vous choisissez d'utiliser la validation par e-mail, ACM envoie l'e-mail aux adresses de contact et aux cinq adresses administratives courantes forméesà partir de votre enregistrement MX. ACM envoie jusqu'à huit e-mails de validation chaque fois que vouscréez un certificat, en renouvelez un ou demandez un nouvel e-mail de validation. L'e-mail de validationcontient les instructions à suivre pour confirmer que le propriétaire du domaine ou un représentant désignéapprouve le certificat ACM. Pour plus d'informations, consultez Utilisation d'un e-mail pour valider lapropriété du domaine (p. 56). Si vous rencontrez des problèmes liés à votre e-mail de validation,consultez Résolution des problèmes liés à la validation par e-mail (p. 111).
Base de données WHOISLa base de données WHOIS contient les informations de contact de votre domaine. Pour valider votreidentité, ACM envoie un e-mail aux trois adresses suivantes dans WHOIS. Vous devez vous assurer quevos informations de contact sont publiques ou que l'e-mail envoyé à une adresse cryptée est transféré versvotre adresse e-mail réelle.
• Inscrit du domaine• Contact technique• Contact administratif
Enregistrement MXLorsque vous enregistrez votre domaine, votre registre envoie votre enregistrement MX à un serveur desystème de noms de domaine (DNS). Un enregistrement MX indique les serveurs qui acceptent les e-mails pour votre domaine. L'enregistrement contient un nom de domaine complet (FQDN). Vous pouvezdemander un certificat pour des domaines ou sous-domaines apex.
Par exemple, si vous utilisez la console pour demander un certificat pour abc.xyz.example.com,ACM tente d'abord de rechercher l'enregistrement MX de ce sous-domaine. Si cet enregistrement estintrouvable, ACM effectue une recherche MX de xyz.example.com. Si cet enregistrement est introuvable,ACM effectue une recherche MX d'example.com. Si cet enregistrement est introuvable ou s'il n'existeaucun enregistrement MX, ACM choisit le domaine original pour lequel le certificat a été demandé(abc.xyz.example.com, dans cet exemple). ACM envoie alors un e-mail aux cinq adresses d'administrationsystème courantes suivantes pour le domaine ou sous-domaine.
• administrator@votre_nom_domaine
• hostmaster@votre_nom_domaine
• postmaster@votre_nom_domaine
• webmaster@votre_nom_domaine
• admin@votre_nom_domaine
Si vous utilisez l'opération d'API RequestCertificate ou la commande request-certificate AWS CLI,AWS n'effectue pas de recherche MX. En revanche, RequestCertificate vous permet de spécifiervotre nom de domaine et le nom d'un domaine de validation. Si vous spécifiez le paramètre facultatifValidationDomain, AWS envoie les cinq e-mails précédents vers ce domaine et non vers votredomaine.
ACM envoie toujours un e-mail de validation aux cinq adresses courantes répertoriées précédemmentsi vous utilisez la console, l'API ou l'AWS CLI. Cependant, AWS effectue une recherche MX uniquementlorsque vous utilisez la console pour demander un certificat.
Version 1.042
AWS Certificate Manager Manuel de l'utilisateur(Facultatif) Configuration de CAA
Si vous ne recevez pas d'e-mail de validation, consultez Pas de réception d'e-mail de validation (p. 112)pour obtenir des informations sur les causes possibles et les solutions de contournement.
(Facultatif) Configuration d'un enregistrement CAAVous pouvez le cas échéant configurer un enregistrement DNS d'autorisation d'autorité de certification(CAA) pour spécifier qu'AWS Certificate Manager (ACM) est autorisé à émettre un certificat pourvotre domaine ou sous-domaine. Une fois qu'il a validé votre domaine, ACM vérifie la présenced'enregistrements CAA pour s'assurer qu'il peut émettre un certificat pour vous. Vous pouvez choisir dene pas configurer un enregistrement CAA pour votre domaine ou laisser votre enregistrement vide si vousne souhaitez pas activer la vérification de CAA. Un enregistrement CAA contient les champs de donnéessuivants :
flags
Indique si la valeur du champ tag est prise en charge par ACM. Définissez cette valeur sur 0.balise
Le champ tag peut comporter l'une des valeurs suivantes. Notez que le champ iodef est ignoréactuellement.issue
Indique que l'autorité de certification ACM que vous indiquez dans le champ value est autorisée àémettre un certificat pour votre domaine ou sous-domaine.
issuewild
Indique que l'autorité de certification ACM que vous avez indiquée dans le champ value estautorisée à émettre un certificat générique pour votre domaine ou sous-domaine. Un certificatgénérique s'applique au domaine ou sous-domaine et à tous ses sous-domaines.
valeur
La valeur de ce champ dépend de la valeur du champ tag. Vous devez placer cette valeur entreguillemets ("").Lors de la valeur du champ tag est issue
Le champ value contient le nom de domaine de l'autorité de certification (CA). Ce champ peutcontenir le nom d'une CA autre qu'une CA Amazon. Toutefois, si vous ne disposez pas d'unenregistrement CAA qui spécifie l'une des quatre autorités de certification Amazon suivantes, ACMne peut pas émettre un certificat pour votre domaine ou sous-domaine :• amazon.com• amazontrust.com• awstrust.com• amazonaws.com
Le champ de valeur peut également contenir un point-virgule (;) pour indiquer qu'aucune CA nedoit être autorisée à émettre un certificat pour votre domaine ou sous-domaine. Utilisez ce champsi vous décidez à un moment donné que vous ne souhaitez plus recevoir un certificat émis pour undomaine particulier.
Lors de la valeur de tag est issuewild
Le champ value est le même que lorsque la valeur de tag est issue, sauf que la valeur s'appliqueaux certificats génériques.
Lorsqu'il existe un enregistrement CAA issuewild qui n'inclut pas de valeur CAACM, aucuncaractère générique ne peut être émis par ACM. Si aucun enregistrement issuewild ne s'applique,
Version 1.043
AWS Certificate Manager Manuel de l'utilisateur(Facultatif) Configuration de CAA
mais qu'il existe un enregistrement CAA issue pour ACM, des caractères génériques peuvent êtreémis par ACM.
Example Exemples d'enregistrements CAA
Dans les exemples suivants, votre nom de domaine est indiqué en premier, suivi du type d'enregistrement(CAA). Le champ flags a toujours la valeur 0. Le champ tags peut avoir pour valeur issue ou issuewild. Sile champ a pour valeur issue et que vous tapez le nom de domaine d'un serveur d'autorité de certificationdans le champ value, l'enregistrement CAA indique que le serveur spécifié est autorisé à émettre lecertificat demandé. Si vous tapez un point-virgule (« ; ») dans le champ value, l'enregistrement CAAindique qu'aucune autorité de certification n'est autorisée à émettre un certificat. La configuration desenregistrements CAA varie en fonction du fournisseur DNS.
Domain Record type Flags Tag Value
example.com. CAA 0 issue "SomeCA.com"example.com. CAA 0 issue "amazon.com"example.com. CAA 0 issue "amazontrust.com"example.com. CAA 0 issue "awstrust.com"example.com. CAA 0 issue "amazonaws.com"example.com CAA 0 issue ";"
Pour plus d'informations sur la manière d'ajouter ou de modifier des enregistrements DNS, consultez votrefournisseur DNS. Route 53 prend en charge les enregistrements CAA. Si Route 53 est votre fournisseurDNS, consultez Format CAA pour plus d'informations sur la création d'un enregistrement.
Version 1.044
AWS Certificate Manager Manuel de l'utilisateurDemande d'un certificat public
Émission et gestion des certificatsLes ACM certificats peuvent être utilisés pour établir des communications sécurisées sur Internet ouau sein d'un réseau interne. Vous pouvez demander un certificat approuvé publiquement directement àpartir d' ACM (un « ACM certificat ») ou importer un certificat approuvé publiquement émis par un tiers.Les certificats auto-signés sont également pris en charge. Pour provisionner la PKI interne de votreorganisation, vous pouvez émettre ACM des certificats signés par une autorité de certification privée crééeet gérée par ACM Private CA . L'autorité de certification peut résider dans votre compte ou être partagéeavec vous par un autre compte.
Note
Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour deplus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillezconsulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installerun serveur Web LAMP avec l'AMI Amazon Linux.
Note
Les certificats signés par une autorité de certification privée ne sont pas approuvés par défaut, lesadministrateurs doivent les installer dans les magasins d'approbation client.
Pour commencer à émettre des certificats, connectez-vous à Management Console et ouvrez la AWSconsole à l'adresse ACM acm/homehttps://console.aws.amazon.com/. Si la page d'introduction s'affiche,sélectionnez Get Started. Sinon, choisissez Certificate Manager ou Private CAs dans le volet denavigation de gauche.
Rubriques• Demande d'un certificat public (p. 45)• Demande d'un certificat privé (p. 47)• Utilisation de DNS pour valider la propriété du domaine (p. 52)• Utilisation d'un e-mail pour valider la propriété du domaine (p. 56)• Liste des certificats gérés par ACM (p. 60)• Description des ACM certificats (p. 62)• Suppression de certificats gérés parACM (p. 64)• Installation des ACM certificats (p. 65)• Renvoi d'un e-mail de validation (facultatif) (p. 65)
Demande d'un certificat publicLes sections suivantes expliquent comment utiliser la console ACM ou l'AWS CLI pour demander uncertificat ACM public.
Si vous rencontrez des problèmes lors d’une demande de certificat, veuillez consulter Dépannage desdemandes de certificat (p. 106).
Version 1.045
AWS Certificate Manager Manuel de l'utilisateurDemander un certificat public à l'aide de la console
Pour demander un certificat pour une PKI privée à l'aide ACM Private CA d' , consultez Demande d'uncertificat privé (p. 47) .
Rubriques• Demander un certificat public à l'aide de la console (p. 46)• Demander un certificat public à l'aide de l'interface de ligne de commande (p. 47)
Demander un certificat public à l'aide de la consolePour demander un certificat public ACM (console)
1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.
Choisissez Request a certificate.2. Sur la page Request a certificate (Demander un certificat) choisissez Request a public certificate
(Demander un certificat public) et Request a certificate (Demander un certificat) pour continuer.3. Dans la page Add domain names (Ajouter des noms de domaine), tapez votre nom de domaine.
Vous pouvez utiliser un nom de domaine complet (FQDN), tel que www.example.com , ou un nomde domaine strict ou apex tel que example.com . Vous pouvez également utiliser un astérisque(*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms desite dans le même domaine. Par exemple, *.example.com protège corp.example.com etimages.example.com . Le nom du caractère générique apparaît dans le champ Subject et dansl'extension Subject Alternative Name du ACM certificat.
Note
Lorsque vous demandez un certificat générique, l'astérisque (**) doit se trouver à laposition la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau desous-domaine. Par exemple, *.example.com peut protéger login.example.com , ettest.example.com , mais ne peut pas protéger test.login.example.com . Notezégalement que *.example.com protège uniquement les sous-domaines d' example.com ,mais pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étapesuivante.
4. Pour ajouter un autre nom, choisissez Add another name to this certificate (Ajouter un autre nom à cecertificat) et tapez le nom dans la zone de texte. C'est très utile pour protéger un nom de domaine strictou apex (comme example.com) et ses sous-domaines (comme *.example.com).
Lorsque vous avez terminé d'ajouter des noms, choisissez Next (Suivant).5. Sur la page Select validation method (Sélectionner une méthode de validation) choisissez DNS
Validation (Validation DNS) ou Email validation (Validation par e-mail), selon vos besoins.
Note
Si vous êtes en mesure de modifier la configuration DNS, nous vous recommandons d'utiliserla validation de domaine DNS plutôt que la validation par e-mail. La validation DNS aplusieurs avantages par rapport à la validation par e-mail. Veuillez consulter Utilisation deDNS pour valider la propriété du domaine (p. 52).
Avant qu'ACM n'émette un certificat, il valide que vous possédez ou contrôlez les noms de domainesde votre demande de certificat. Vous pouvez utiliser la validation par e-mail ou la validation DNS. Sivous choisissez la validation par e-mail, ACM envoie un e-mail de validation aux trois adresses decontact enregistrées dans la base de données WHOIS et aux cinq adresses d'administration systèmecourantes de chaque nom de domaine. Vous ou un représentant autorisé devez répondre à l'un deces e-mails. Pour plus d’informations, consultez Utilisation d'un e-mail pour valider la propriété dudomaine (p. 56). Si vous utilisez la validation DNS, il vous suffit d'ajouter un enregistrement CNAME
Version 1.046
AWS Certificate Manager Manuel de l'utilisateurDemander un certificat public à l'aidede l'interface de ligne de commande
fourni par ACM à votre configuration DNS. Pour plus d'informations sur la validation DNS, consultezUtilisation de DNS pour valider la propriété du domaine (p. 52).
Après avoir choisi une méthode de validation, choisissez Next (Suivant).6. Sur la page Add tags (Ajouter des balises) vous pouvez éventuellement baliser votre certificat.
Les balises sont des paires clé/valeur qui servent de métadonnées pour identifier et organiser lesressources AWS. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajoutde balises aux certificats après leur création, reportez-vous à la section Balisage des certificats AWSCertificate Manager (p. 82).
Lorsque vous avez terminé d'ajouter des balises, choisissez Review (Révision).7. Si la page Révision (Review) contient des informations correctes sur votre demande, choisissez
Confirm and request (Confirmer et demander). Une page de confirmation indique que votre demandeest en cours de traitement et que les domaines de certificat sont en cours de validation. Les certificatsen attente de validation sont dans l'état Pending validation (En attente de validation) .
Important
À moins que vous choisissiez de refuser, votre certificat est automatiquement enregistrédans au moins deux bases de données de transparence de certificats publics. Actuellement,vous ne pouvez pas utiliser la console pour refuser. Vous devez utiliser l'AWS CLI oul'API. Pour plus d’informations, consultez Refus de la journalisation de transparence descertificats (p. 37). Pour obtenir des informations générales sur les journaux de transparence,consultez Journalisation de transparence des certificats (p. 125).
Choisissez Continue (Continuer) pour revenir à la console ACM.
Demander un certificat public à l'aide de l'interface deligne de commandeUtilisez la commande request-certificate pour demander un nouveau certificat ACM public via la ligne decommande.
aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--idempotency-token 1234 \--options CertificateTransparencyLoggingPreference=DISABLED
Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat public.
{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}
Demande d'un certificat privéLes sections suivantes expliquent comment utiliser la ACM console ou une commande ACM de l'interfacede ligne de commande pour demander un certificat privé signé par une autorité de certification privée quia été précédemment créée à l'aide d' ACM Private CA . L'autorité de certification peut résider dans votrecompte ou être partagée avec vous par un autre compte. Pour plus d'informations sur la création d'une CAprivée, consultez Création d'une autorité de certification privée.
Version 1.047
AWS Certificate Manager Manuel de l'utilisateurConfiguration de l'accès à une autorité de certification privée
Les ACM certificats publics et privés suivent le standard X.509, mais les certificats destinés à une utilisationpublique sont soumis aux restrictions suivantes :
• Vous devez utiliser des noms d'objet DNS. Pour plus d'informations, veuillez consulter Noms dedomaine (p. 126)
• Vous pouvez utiliser uniquement un algorithme de clé privée RSA de 2048 bits.• est le seul algorithme de signature pris en chargeSHA256WithRSAEncryption.• Chaque certificat est valide pour et 13 mois (395 jours) le renouvelle automatiquement, si possible, après
11 mois.ACM
Les certificats signés par une autorité de certification privée sont libres de ces restrictions. Au lieu de cela,vous pouvez :
• utiliser n'importe quel nom d'objet• utiliser n'importe quel algorithme de clé privée pris en charge parACM Private CA• utiliser n'importe quel algorithme de signature pris en charge parACM Private CA• spécifier n'importe quelle période de validité
Cette flexibilité est avantageuse si vous devez identifier un objet par un nom spécifique ou si vous nepouvez pas effectuer facilement une rotation des certificats.
Note
La date de fin d'une certification privée doit être postérieure à la date de fin de la certificationdemandée, sinon la demande échoue.
L'autorité de certification privée doit avoir l'état Active et le type de clé privée de l'autorité de certificationdoit être RSA 2048 ou RSA 4096.
Note
Les certificats signés par une autorité de certification privée ne sont pas approuvés par défaut, lesadministrateurs doivent les installer dans les magasins d'approbation client.
Rubriques• Configuration de l'accès à une autorité de certification privée (p. 48)• Demander un certificat privé à l'aide de la ACM console (p. 49)• Demander un certificat privé à l'aide de l'interface de ligne de commande (p. 51)
Configuration de l'accès à une autorité de certificationprivéeVous pouvez utiliser ACM Private CA pour signer vos ACM certificats dans l'un ou l'autre des cas :
• Compte unique : L'autorité de certification qui signe et le ACM certificat émis résident dans le mêmeAWS compte.
Pour que l'émission et le renouvellement d'un compte unique soient activés, l'ACM PrivateCAadministrateur doit accorder l'autorisation au mandataire du ACM service de créer, récupérer etrépertorier des certificats. Pour ce faire, utilisez l'action ACM Private CA d'API CreatePermission oula AWS CLI commande create-permission de l' . Le propriétaire du compte attribue ces autorisations àun utilisateur ou un groupe IAM responsable de l'émission des certificats.
Version 1.048
AWS Certificate Manager Manuel de l'utilisateurDemander un certificat privé à l'aide de la ACM console
• Entre comptes : L'autorité de certification et le ACM certificat émis résident dans différents AWScomptes, et l'accès à l'autorité de certification a été accordé au compte où réside le certificat.
Pour permettre l'émission et le renouvellement entre comptes, l'ACM Private CAadministrateur doitattacher une stratégie basée sur les ressources à l'autorité de certification à l'aide de l'action ACMPrivate CA d'API PutPolicy ou de la stratégie AWS CLI put-policy de commande. La stratégie placesur liste blanche les mandataires des autres comptes qui ont un accès limité à l'autorité de certification.Pour plus d'informations, consultez Utilisation d'une stratégie basée sur les ressources avec l'autorité decertification privée ACM.
Le scénario entre comptes nécessite également ACM de configurer un rôle lié à un service (Service-Linked Role, SLR) pour interagir en tant que mandataire avec la stratégie PCA. La création d'un SLR esteffectuée automatiquement lors de l'émission du premier certificat.
ACM peut afficher une alerte s'il ne parvient pas à déterminer si un SLR existe sur votre compte. Sil'autorisation iam:GetRole requise a déjà été accordée au ACM SLR pour votre compte, l'alerte ne sereproduira pas après la création du SLR. Si cela se produit, vous ou l'administrateur de votre comptedevrez peut-être accorder l'autorisation iam:GetRole à ACM ou associer votre compte à la stratégieAWSCertificateManagerFullAccess gérée par ACM.
Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.
Important
Votre certificat ACM doit être associé activement à un service AWS pris en charge pour pouvoirêtre renouvelé automatiquement. Pour en savoir plus sur les ressources prises en charge parACM, consultez Services intégrés à AWS Certificate Manager (p. 4).
Demander un certificat privé à l'aide de la ACMconsole1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://
console.aws.amazon.com/acm/home.
Choisissez Request a certificate.2. Sur la page Request a certificate (Demander un certificat) choisissez Request a private certificate
(Demander un certificat privé) et Request a certificate (Demander un certificat) pour continuer.3. Sur la page Select a certificate authority (CA), cliquez sur le champ Select a CA (Sélectionner une
autorité de certification) pour afficher la liste des informations privées disponibles identifiées parARN.CAs Si l'autorité de certification est partagée à partir d'un autre compte, l'ARN est précédé par lesinformations de propriété. Choisissez une autorité de certification dans la liste.
Des détails sur l'autorité de certification s'affichent pour vous aider à vérifier que vous avez choisil'autorité de certification appropriée :
• Propriétaire• Tapez• Nom unique de l'objet• Organisation de la valeur• Unité d'organisation• Nom du pays• État ou province• Nom de la localité• Nom commun
Version 1.049
AWS Certificate Manager Manuel de l'utilisateurDemander un certificat privé à l'aide de la ACM console
Note
La console ACM affiche Inéligible pour les autorités de certification privées avec des clésECDSA.
Choisissez Nex t(Suivant).4. Dans la page Add domain names (Ajouter des noms de domaine), tapez votre nom de domaine.
Vous pouvez utiliser un nom de domaine complet (FQDN), tel que www.example.com , ou un nomde domaine strict ou apex tel que example.com . Vous pouvez également utiliser un astérisque(*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms desite dans le même domaine. Par exemple, *.example.com protège et corp.example.com.images.example.com Le nom du caractère générique apparaît dans le champ Subject et dansl'extension Subject Alternative Name du ACM certificat.
Note
Lorsque vous demandez un certificat générique, l'astérisque (**) doit se trouver à laposition la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau desous-domaine. Par exemple, *.example.com peut protéger login.example.com , ettest.example.com , mais ne peut pas protéger test.login.example.com . Notezégalement que *.example.com protège uniquement les sous-domaines d' example.com. Il ne protège pas le domaine strict ou apex ( example.com ). Pour protéger les deux,consultez l'étape suivante.
Note
Vous n'avez pas besoin de valider le domaine d'un certificat privé.5. Pour ajouter un autre nom, choisissez Add another name to this certificate (Ajouter un autre nom à ce
certificat) et tapez le nom dans la zone de texte. Cela est utile pour authentifier un nom de domainestrict ou apex (comme example.com ) et ses sous-domaines (comme *.example.com ).
Lorsque vous avez terminé d'ajouter des noms, choisissez Next (Suivant).6. Sur la page Add tags (Ajouter des balises) vous pouvez éventuellement baliser votre certificat.
Les balises sont des paires clé/valeur qui servent de métadonnées pour identifier et organiser lesressources AWS. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajoutde balises aux certificats après leur création, reportez-vous à la section Balisage des certificats AWSCertificate Manager (p. 82).
Lorsque vous avez fini d'ajouter les balises, choisissez Review and request (Revoir et demander).7. La page Vérifier et demander affiche des informations sur votre demande.
La première fois que vous utilisez une autorité de certification partagée avec vous à partir d'un autrecompte, vous ACM avertit qu'un rôle lié à un service (SLR) sera créé pour votre compte. Ce rôlepermet le renouvellement automatique des certificats que vous signez avec l'autorité de certification.Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM .
Si les informations sont correctes, choisissez Confirm and request (Confirmer et demander). vousACM renvoie à la page Certificates (Certificats) dans laquelle vous pouvez consulter des informationssur tous vos ACM certificats, qu'ils soient privés ou publics.
Note
ACMpeut afficher l'une des deux mentions à ce stade.
• Cela ACM ne permet pas de déterminer si un rôle SLR existe sur votre compte. Cela peutêtre dû à des paramètres d'autorisation incorrects. La demande de certificat peut continuer,mais pour activer le renouvellement automatique, vous ou votre administrateur devez
Version 1.050
AWS Certificate Manager Manuel de l'utilisateurDemander un certificat privé à l'aidede l'interface de ligne de commande
fournir l'autorisation nécessaire avant l'expiration du certificat. Pour plus d'informations,consultez Utilisation d'un rôle lié à un service avec ACM .
• Cela ACM a déterminé qu'il n'existe aucun SLR sur votre compte, et que celui-ci sera créépour vous.
Demander un certificat privé à l'aide de l'interface deligne de commandeUtilisez la commande request-certificate pour demander un certificat privé dans ACM.
aws acm request-certificate \--domain-name www.example.com \--idempotency-token 12563 \--options CertificateTransparencyLoggingPreference=DISABLED \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/12345678-1`234-1234-1234-123456789012
Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat privé.
{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}
Dans la plupart des cas, attache ACM automatiquement un rôle lié à un service (SLR) à votre compte lapremière fois que vous utilisez une autorité de certification partagée. Le SLR permet le renouvellementautomatique des certificats d'entité finale que vous émettez. Pour vérifier si le SLR est présent, vouspouvez exécuter une requête IAM avec la commande suivante :
aws iam get-role --role-name AWSServiceRoleForCertificateManager
Si le SLR est présent, la commande de sortie doit ressembler à ce qui suit :
{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{
Version 1.051
AWS Certificate Manager Manuel de l'utilisateurValider avec DNS
"LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } }}
Si le SLR est manquant, consultez Utilisation d'un rôle lié à un service avec ACM.
Utilisation de DNS pour valider la propriété dudomaine
Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWSCertificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les noms de domaine quevous avez indiqués dans votre demande. Lorsque vous demandez un certificat, vous pouvez choisirune validation par e-mail ou une validation DNS. Cette rubrique traite de la validation DNS. Pour plusd'informations sur la validation par e-mail, consultez Utilisation d'un e-mail pour valider la propriété dudomaine (p. 56).
Si vous rencontrez des problèmes lors de l'utilisation de la validation DNS, veuillez consulter Résolutiondes problèmes liés à la validation DNS (p. 109).
Note
La validation s'applique uniquement aux certificats publics émis par AWS Certificate Manager(ACM). ACM ne valide pas la propriété du domaine pour les certificats importés (p. 74) ou pourles certificats signés par une autorité de certification privée.
Note
Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour deplus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillezconsulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installerun serveur Web LAMP avec l'AMI Amazon Linux.
Le système de noms de domaine (DNS) est un service d'annuaire pour des ressources connectés à unréseau. Sur Internet, les serveurs DNS sont utilisés principalement pour traduire des noms de domaine enadresses IP numériques qui identifient et localisent des ressources telles que des ordinateurs et d'autresappareils. Les bases de données sur les serveurs DNS contiennent des enregistrements de domainesutilisés pour cette traduction et pour activer d'autres fonctionnalités. Par exemple, les enregistrements Aconstituent un type d'enregistrement DNS utilisé pour mapper des noms de domaine à des adresses IPV4.Les enregistrements MX sont utilisés pour acheminer des e-mails. Les enregistrements NS répertorienttous les serveurs de noms du domaine.
ACM; utilise des enregistrements CNAME (nom canonique) pour valider que vous possédez ou contrôlez ledomaine. Lorsque vous choisissez la validation DNS, ACM vous fournit un ou plusieurs enregistrement(s)CNAME à insérer dans votre base de données DNS. Par exemple, si vous demandez un certificatpour le domaine example.com avec www.example.com comme nom supplémentaire, ACM créedeux enregistrements CNAME pour vous. Chacun des enregistrements créés spécifiquement pour votredomaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un domaineque possède ACM et que ACM utilise pour renouveler automatiquement votre certificat. Vous ajoutez lesenregistrements CNAME à votre base de données DNS une seule fois. ACM renouvelle automatiquementvotre certificat aussi longtemps que le certificat est en cours d'utilisation et que l'enregistrement CNAMEdemeure en place. De plus, si vous utilisez Amazon Route 53 pour créer votre domaine, ACM peut écrireles enregistrements CNAME pour vous.
Version 1.052
AWS Certificate Manager Manuel de l'utilisateurValider avec DNS
Note
La résolution CNAME échoue si plusieurs CNAMEs des cinq sont chaînées dans votreconfiguration DNS. Si vous avez besoin d'un chaînage plus long, nous vous recommandonsd'utiliser la validation par e-mail (p. 56).
Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME avec un trait de soulignement dedébut, consultez Résolution des problèmes liés à la validation DNS (p. 109).
Le tableau suivant montre des exemples d'enregistrements CNAME pour cinq noms de domaine.L'icône _x Les valeurs sont de longues chaînes aléatoires générées par ACM . Par exemple_3639ac514e785e898d2646601fa951d5.example.com représente un nom généré. Notez que lesdeux premiers _x Les valeurs de la table sont les mêmes. Autrement dit, la chaîne aléatoire créée parACM pour le nom du caractère générique *.example.com est la même que celle créée pour le nom dedomaine de baseexample.com. Notez également qu'ACM crée différents enregistrements CNAME pourexample.com et www.example.com .
Nom de domaine Zone DNS Nom Tapez Value
*.example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.
example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.
www.exemple.com example.com _x3.www.example.com.CNAME _x4.acm-validations.aws.
host.example.com example.com _x5.host.example.com.CNAME _x6.acm-validations.aws.
subdomain.example.comsubdomain.example.com_x7.subdomain.example.com.CNAME _x8.acm-validations.aws.
host.subdomain.example.comsubdomain.example.com_x9.host.subdomain.example.com.CNAME _x10.acm-validations.aws.
La validation DNS offre de nombreux avantages par rapport à la validation par e-mail :
• DNS nécessite la création d'un seul enregistrement CNAME par nom de domaine lorsque vousdemandez un certificat ACM. La validation par e-mail envoie jusqu'à huit e-mails par nom de domaine.
• Vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet aussilongtemps que l'enregistrement DNS reste en place. En d'autres termes, vous pouvez créer plusieurscertificats qui ont le même nom de domaine. Vous n'avez pas besoin d'obtenir un nouvel enregistrementCNAME. Vous pouvez décider de le faire pour plusieurs raisons. Par exemple, il se peut que voussouhaitiez de nouveaux certificats qui couvrent différents sous-domaines. Il se peut que vous souhaitiezcréer le même certificat dans plusieurs régions (le jeton de validation fonctionne pour toutes les régions).Il se peut que vous souhaitiez remplacer un certificat que vous avez supprimé.
• ACM renouvelle automatiquement les certificats ACM que vous avez validés avec DNS. ACM renouvellechaque certificat avant qu'il n'expire, aussi longtemps que le certificat est en cours d'utilisation et quel'enregistrement DNS reste en place.
• ACM peut ajouter l'enregistrement CNAME pour vous si vous utilisez Route 53 pour gérer vosenregistrements DNS publics. Si vous n'utilisez pas Route 53 en tant que fournisseur DNS, contactezvotre fournisseur DNS pour savoir comment ajouter des enregistrements.
• Vous pouvez plus facilement automatiser le processus de validation DNS que vous le pouvez avec leprocessus de validation par e-mail.
Version 1.053
AWS Certificate Manager Manuel de l'utilisateurValider avec DNS
• Les certificats validés par e-mail sont renouvelables uniquement jusqu'à 825 jours après leur date devalidation initiale. Après 825 jours, le propriétaire du domaine ou un représentant autorisé doit demanderun nouveau certificat. Par contre, les certificats DNS sont renouvelables indéfiniment.
Toutefois, vous devrez peut-être utiliser la validation par e-mail si vous n'êtes pas autorisé à modifier lesenregistrements DNS pour votre domaine.
Pour utiliser la validation DNS :
1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home. Si la page d'introduction s'affiche, sélectionnez Get Started.Sinon, choisissez Request a certificate.
2. Dans la page Request a certificate, saisissez votre nom de domaine. Pour plus d'informations sur lasaisie de noms de domaine, consultez Demande d'un certificat public (p. 45).
3. Pour ajouter d'autres noms de domaine au certificat ACM, saisissez d'autres noms dans les zones detexte qui s'ouvrent sous le nom que vous venez d'entrer.
4. Choisissez Nex t(Suivant).5. Choisissez DNS validation.6. Choisissez Review and request. Vérifiez que le nom de domaine et la méthode de validation sont
corrects.7. Choisissez Confirm and request.8. Sur la page Validation récupérez le nom de l'enregistrement CNAME qui doit être ajouté à votre base
de données DNS. Vous pouvez effectuer cette opération de deux façons:
• Dans la section Domaine développez vos informations de domaine et enregistrez le Name (Nom) del'enregistrement CNAME.
Important
Les informations CNAME dont vous avez besoin n'incluent pas le nom de votre domaine. Sivous incluez votre nom de domaine dans l'enregistrement CNAME de la base de donnéesDNS, la validation échoue. Par exemple, le Name (Nom) affiché peut ressembler ausuivant :
_a79865eb4cd1a6ab990a45779b4e0b96.yourdomain.com
Toutefois, les informations CNAME requises ne comprennent que les éléments suivants :
_a79865eb4cd1a6ab990a45779b4e0b96
• Vous pouvez également choisir Export DNS configuration to a file (Exporter la configuration DNSvers un fichier) au bas de la page Validation. Les informations contenues dans le fichier doiventtoujours être ajoutées manuellement à votre base de données DNS.
9. Le bouton Create record in Route 53 s'affiche si les conditions suivantes sont vraies :
• Vous utilisez Route 53 comme fournisseur DNS.• Vous avez l'autorisation d'écrire dans la zone hébergée par Route 53.• Votre nom de domaine complet n'a pas encore été validé.
Si le bouton Create record in Route 53 (Créer un enregistrement dans Route 53) est manquantou désactivé, consultez La console ACM n'affiche pas le bouton « Create record in (Créer unenregistrement dans Route 53 » (p. 111).
Version 1.054
AWS Certificate Manager Manuel de l'utilisateurValider avec DNS
Actuellement, vous ne pouvez pas demander par programmation la création automatique par ACMde votre enregistrement dans Route 53. Toutefois, vous pouvez effectuer un appel d' AWS CLI oud'API à Route 53 pour créer l'enregistrement dans la base de données Route 53 DNS. Pour plusd'informations sur les jeux d'enregistrements Route 53, consultez Utilisation de jeux d'enregistrementsde ressources.
10. Ajoutez l'enregistrement de la console ou du fichier exporté à votre base de données DNS. Pourplus d'informations sur l'ajout d'un enregistrement à une base de données DNS, consultez Ajouter unCNAME à votre base de données de configuration DNS (p. 56) . Vous pouvez choisir Continue pourignorer cette étape. Vous pouvez y revenir ultérieurement en ouvrant la demande de certificat dans laconsole.
Note
Si votre nom de domaine complet a été validé lorsque vous avez demandé un certificatprécédent et que vous demandez un autre certificat pour le même nom de domaine complet,vous n'avez pas besoin d'ajouter un autre enregistrement DNS.
Note
L'ajout d'un enregistrement CNAME contenant déjà un nom de domaine (par exemple,.example.com) peut entraîner la duplication du nom de domaine (par exemple,.example.com.example.com). Pour éviter la duplication, vous pouvez copiermanuellement uniquement la partie de l'alias CNAME dont vous avez besoin. Celle-ci peutêtre sous la forme _3639ac514e785e898d2646601fa951d5.
11. Après la mise à jour de votre configuration DNS, choisissez Continue (Continuer). ACM affiche untableau qui inclut toutes vos certificats. Le certificat que vous avez demandé et son statut s'affichent.Une fois que votre fournisseur DNS a propagé la mise à jour de votre enregistrement, ACM peutprendre plusieurs heures pour valider le nom de domaine et émettre le certificat. Pendant ce temps,ACM indique le statut de validation comme Pending validation. Après avoir validé le nom de domaine,ACM change le statut de validation en Success. Une fois que AWS a émis le certificat, ACM change lestatut du certificat en Issued.
Note
Si ACM n'est pas en mesure de valider le nom de domaine dans un délai de 72 heuresà partir du moment où il génère une valeur CNAME pour vous, ACM change le statut ducertificat en Validation timed out. La raison la plus probable de ce résultat est que vousn'avez pas mis à jour votre configuration DNS avec la valeur ACM générée. Pour résoudre ceproblème, vous devez demander un nouveau certificat.
Version 1.055
AWS Certificate Manager Manuel de l'utilisateurAjouter un CNAME à votre base
de données de configuration DNS
Ajouter un CNAME à votre base de données deconfiguration DNSPour utiliser la validation DNS, vous devez être en mesure d'ajouter un enregistrement CNAME à labase de données de configuration DNS de votre domaine. Si nRoute 53'est pas votre fournisseur DNS,contactez votre fournisseur pour savoir comment ajouter des enregistrements à sa base de données DNS.Si Route 53 est votre fournisseur, ACM peut créer l'enregistrement CNAME pour vous comme indiquéprécédemment à l'étape 9. Si vous souhaitez ajouter l'enregistrement vous-même, consultez Modificationde jeux d'enregistrements de ressources dans le Manuel du développeur Route 53.
Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME avec un trait de soulignement dedébut, consultez Résolution des problèmes liés à la validation DNS (p. 109).
Note
Si vous n'êtes pas autorisé à modifier votre configuration DNS, vous devez utiliser la validation pare-mail.
Supprimer un CNAME de votre base de données deconfiguration DNSrenouvelle ACM automatiquement votre certificat aussi longtemps que le certificat est en cours d'utilisationet que l'enregistrement CNAME créé pour vous par reste en place dans votre base de données deconfiguration DNS.ACM Vous pouvez arrêter le renouvellement automatique en supprimant le certificat duservice AWS auquel il est associé ou en supprimant l'enregistrement CNAME. Si Route 53 n'est pas votrefournisseur DNS, contactez votre fournisseur pour savoir comment supprimer l'enregistrement. Si Route 53est votre fournisseur, consultez Suppression de jeux d'enregistrements de ressources dans le Manueldu développeur Route 53. Pour plus d'informations sur le renouvellement de certificats gérés, consultezRenouvellement géré pour les certificats émis par Amazon d'ACM (p. 67).
Utilisation d'un e-mail pour valider la propriété dudomaine
Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWSCertificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vousavez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS.Cette rubrique traite de la validation par e-mail. Pour plus d'informations sur la validation DNS, consultezUtilisation de DNS pour valider la propriété du domaine (p. 52).
Si vous rencontrez des problèmes lors de l'utilisation de la validation par e-mail, veuillez consulterRésolution des problèmes liés à la validation par e-mail (p. 111).
Note
La validation s'applique uniquement aux certificats publics émis par AWS Certificate Manager(ACM). ACM ne valide pas la propriété du domaine pour les certificats importés (p. 74) ou pourles certificats signés par une autorité de certification privée.
Note
Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour deplus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillez
Version 1.056
AWS Certificate Manager Manuel de l'utilisateurValider par e-mail
consulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installerun serveur Web LAMP avec l'AMI Amazon Linux.
AWS Certificate Manager (ACM) envoie des e-mails à trois adresses de contacts répertoriées dansWHOIS et à cinq adresses système courantes pour chaque domaine que vous spécifiez. Ainsi, jusqu'à8 messages électroniques seront envoyés pour chaque nom de domaine et autre nom d'objet que vousincluez dans votre demande. Par exemple, si vous spécifiez un seul nom de domaine, vous recevrezjusqu'à 8 messages électroniques. Pour valider, vous devez donner suite à 1 de ces 8 messages dansun délai de 72 heures. Si vous spécifiez 3 noms de domaine, vous recevrez jusqu'à 24 messages. Pourvalider, vous devez donner suite à au moins 3 de ces e-mails, 1 pour chaque nom que vous avez spécifié,dans un délai de 72 heures.
Cet e-mail est envoyé aux trois adresses de contact suivantes dans WHOIS :
• Inscrit du domaine• Contact technique• Contact administratif
Note
Certains registres vous permettent de masquer vos informations sur le contact dans votre listeWHOIS, et d'autres vous permettent de remplacer votre adresse e-mail réelle par une adresseconfidentielle (ou proxy). Afin d'éviter les problèmes liés à la réception de l'e-mail de validation dedomaine provenant d'ACM, vérifiez que les informations sur le contact sont visibles dans WHOIS.Si votre liste WHOIS contient une adresse e-mail confidentielle, vérifiez que l'e-mail envoyé à cetteadresse est transmis à votre adresse e-mail réelle. Vous pouvez aussi remplacer votre adresse e-mail confidentielle par votre adresse e-mail réelle.
Si vous utilisez la console pour demander un certificat, ACM effectue une recherche MX pour déterminerquels serveurs acceptent des e-mails pour votre domaine et envoie un courrier à cinq 5 adressesd'administration système courantes pour le premier domaine trouvé. Si vous utilisez l'RequestCertificateAPIou la commande AWS CLI request-certificate, ACM n'effectue pas de recherche MX. Par contre, il envoieun e-mail au nom de domaine que vous spécifiez dans le paramètre DomainNameou dans le paramètrefacultatif ValidationDomain. Pour plus d’informations, consultez Enregistrement MX (p. 42).
• administrator@your_domain_name
• hostmaster@your_domain_name
• postmaster@your_domain_name
• webmaster@your_domain_name
• admin@your_domain_name
Pour plus d'informations sur la manière dont ACM détermine les adresses électroniques pour vosdomaines, consultez (Facultatif) Configuration d'une adresse e-mail pour votre domaine (p. 41).
La console indique les adresses auxquelles les messages électroniques de validation ont été envoyéspour le premier nom de domaine que vous spécifiez dans votre demande. L'e-mail est envoyé de [email protected].
Version 1.057
AWS Certificate Manager Manuel de l'utilisateurValider par e-mail
Note
Il existe une exception pour le processus décrit ci-dessus. Si vous demandez un certificatACM pour un nom de domaine qui commence par www ou un caractère générique astérisque(*), ACM supprime le www ou l'astérisque du début et envoie un e-mail aux adressesadministratives. Ces adresses sont formées en ajoutant admin@, administrator@, hostmaster@,postmaster@ et webmaster@ devant la partie restante du nom de domaine. Par exemple,si vous demandez un certificat ACM pour www.example.com, l'e-mail n'est pas envoyé à[email protected] mais à [email protected]. De même, si vous demandez uncertificat ACM pour *.test.example.com, l'e-mail est envoyé à [email protected]. Lesadresses administratives courantes restantes sont formées de la même manière.
Note
Veillez à ce que l'e-mail soit envoyé aux adresses administratives d'un domaine apex,par exemple, au lieu des adresses administratives d'un sous-domaine, par exempleexample.com .test.example.com Pour ce faire, spécifiez l'ValidationDomainoption danslRequestCertificate'API ou la commande AWS CLI request-certificate. Cette fonctionnalité n'estpas pris en charge actuellement lorsque vous utilisez la console pour demander un certificat.
L'exemple suivant illustre l'e-mail de validation qui est envoyé pour chaque nom de domaine que vousspécifiez dans votre demande de certificat.
Version 1.058
AWS Certificate Manager Manuel de l'utilisateurValider par e-mail
Cliquez sur le lien qui vous envoie vers le site des approbations de certificats Amazon et choisissez IApprove.
Après avoir choisi I Approve, un site Web s'ouvre pour indiquer que votre demande a abouti.
Version 1.059
AWS Certificate Manager Manuel de l'utilisateurListe des certificats
Vous pouvez revenir à la console ACM en cliquant sur un lien dans la page de réussite. Plusieurs heurespeuvent être nécessaires à ACM pour valider le nom de domaine et émettre le certificat. Pendant ce temps,ACM indique le statut de validation comme Pending validation. Après avoir validé le nom de domaine, ACMchange le statut de validation en Success. Une fois que AWS a émis le certificat, ACM change le statut ducertificat en Issued.
Liste des certificats gérés par ACMVous pouvez utiliser la console ACM ou AWS CLI pour répertorier les certificats gérés par ACM
Rubriques• Affichage de la liste des certificats (console) (p. 60)• Affichage de la liste des certificats (CLI) (p. 61)
Affichage de la liste des certificats (console)Affichage des informations de certificatChaque certificat occupe une ligne dans la console. Par défaut, les colonnes suivantes sont affichées pourchaque certificat :
• Domain Name (Nom de domaine) – Nm de domaine complet pour le certificat.• Additional Names (Nom supplémentaires) – Noms supplémentaires pris en charge par ce certificat.
Version 1.060
AWS Certificate Manager Manuel de l'utilisateurAffichage de la liste des certificats (CLI)
• Status – Statut du certificat. Il peut s'agir de l'une des valeurs suivantes :• Pending validation• Issued• Inactif• Expiré• Révoqué• Failed (Échec)• Expiré
• En cours d'utilisation ?– Indique si le ACM certificat est associé activement à un AWS service commeElastic Load Balancing ou CloudFront . La valeur peut être No ou Yes.
Personnalisation de l’écran de la consoleVous pouvez sélectionner les colonnes que vous souhaitez afficher en choisissant l'icône d'engrenage
( ) dans le coin supérieur droit de la console. Vous pouvez choisir parmi les colonnes suivantes.
Affichage de la liste des certificats (CLI)Vous pouvez utiliser la commande list-certificates pour répertorier vos certificats gérés par ACM.
aws acm list-certificates --max-items 10
La commande list-certificates génère les informations suivantes.
{ "CertificateSummaryList": [
Version 1.061
AWS Certificate Manager Manuel de l'utilisateurDescription des certificats
{ "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "example.com" }, { "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "mydomain.com" } ]}
Par défaut, seuls les certificats qui sont pris en charge par Services intégrés à AWS CertificateManager (p. 4) sont répertoriés. Autrement dit, seuls les certificats avec keyTypes RSA_1024 ouRSA_2048 et avec au moins un domaine spécifié sont renvoyés. Pour afficher d'autres certificats quevous contrôlez, tels que des certificats sans domaine ou des certificats utilisant une taille de bits ouun algorithme différent, utilisez le paramètre --includes comme indiqué dans l'exemple suivant. Leparamètre vous permet de spécifier un membre de la structure de filtres.
aws acm list-certificates --max-items 10 --includes keyTypes=RSA_4096
Description des ACM certificatsVous pouvez utiliser la console ACM ou l'AWS CLI pour répertorier des métadonnées sur vos certificats.
Rubriques• Description des certificats (console) (p. 62)• Description des certificats (CLI) (p. 63)
Description des certificats (console)Pour afficher des métadonnées de certificat, sélectionnez la flèche immédiatement à gauche du nom dedomaine. La console affiche des informations similaires aux informations suivantes.
Version 1.062
AWS Certificate Manager Manuel de l'utilisateurDescription des certificats (CLI)
Description des certificats (CLI)Vous pouvez utiliser l'AWS CLI pour obtenir des informations sur un certificat émis, supprimer un certificatou renvoyer l'e-mail de validation.
Récupération des champs de certificat ACMVous pouvez utiliser la commande describe-certificate pour répertorier les métadonnées d'un certificat.
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012
La commande describe-certificate génère les informations suivantes.
{ "Certificate": { "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012", "Status": "EXPIRED", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED" }, "SubjectAlternativeNames": [ "example.com", "www.example.com" ], "DomainName": "gregpe.com", "NotBefore": 1450137600.0, "RenewalEligibility": "INELIGIBLE", "NotAfter": 1484481600.0, "KeyAlgorithm": "RSA-2048", "InUseBy": [ "arn:aws:cloudfront::account:distribution/E12KXPQHVLSYVC" ], "SignatureAlgorithm": "SHA256WITHRSA", "CreatedAt": 1450212224.0, "IssuedAt": 1450212292.0, "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE" }, { "Name": "KEY_ENCIPHERMENT" } ], "Serial": "07:71:71:f4:6b:e7:bf:63:87:e6:ad:3c:b2:0f:d0:5b", "Issuer": "Amazon", "Type": "AMAZON_ISSUED", "ExtendedKeyUsages": [ { "OID": "1.3.6.1.5.5.7.3.1", "Name": "TLS_WEB_SERVER_AUTHENTICATION" }, { "OID": "1.3.6.1.5.5.7.3.2", "Name": "TLS_WEB_CLIENT_AUTHENTICATION" } ], "DomainValidationOptions": [ { "ValidationEmails": [
Version 1.063
AWS Certificate Manager Manuel de l'utilisateurSuppression de certificats
"[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]" ], "ValidationDomain": "example.com", "DomainName": "example.com" }, { "ValidationEmails": [ "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]" ], "ValidationDomain": "www.example.com", "DomainName": "www.example.com" } ], "Subject": "CN=example.com" }}
Suppression de certificats gérés parACMVous pouvez utiliser la console ACM ou l'AWS CLI pour supprimer un certificat.
Important
La suppression d'un certificat émis par une autorité de certification privée n'a aucun effet surl'autorité de certification. Vous continuerez à être facturé pour l'autorité de certification jusqu'à ceque celle-ci soit supprimée. Pour de plus amples informations, veuillez consulter Suppression devotre autorité de certification privée dans le Guide de l'utilisateur AWS Certificate Manager PrivateCertificate Authority.
Suppression de certificats (console)Dans la liste des certificats, cochez la case correspondant au certificat ACM que vous souhaitez supprimer.Pour Actions, choisissez Supprimer.
Note
Vous ne pouvez pas supprimer un certificat ACM qui est en cours d'utilisation par un autre serviceAWS. Pour supprimer un certificat en cours d'utilisation, vous devez commencer par supprimerl'association de ce certificat. Cette opération est effectuée à l'aide de la console ou de l'interfacede ligne de commande du service associé.
Suppression de certificats (CLI)Vous pouvez utiliser la commande delete-certificate pour supprimer les métadonnées d'un certificat.
aws acm delete-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
Version 1.064
AWS Certificate Manager Manuel de l'utilisateurInstallation des ACM certificats
Installation des ACM certificatsVous ne pouvez pas utiliser ACM pour installer un certificat public directement sur votre application ousite web AWS basé sur . Vous devez utiliser l'un des services intégrés à ACM. Pour plus d’informations,consultez Services intégrés à AWS Certificate Manager (p. 4).
ACMLes certificats signés par une autorité de certification dans ACM Private CA et destinés à votre PKIprivée peuvent être exportés et installés manuellement sur n'importe quel système disposant d'un accèsadministratif. Ces certificats ne sont pas approuvés sur l'Internet public.
Renvoi d'un e-mail de validation (facultatif)Vous pouvez utiliser l'e-mail pour valider que vous possédez ou contrôlez un domaine. Chaque e-mailcontient un jeton de validation que vous pouvez utiliser pour approuver une demande de certificat.Cependant, étant donné que l'e-mail de validation nécessaire pour le processus d'approbation peut êtrebloqué par des filtres anti-spam ou perdu en transit, le jeton de validation expire automatiquement au boutde 72 heures. Si vous ne recevez pas l'e-mail d'origine ou que le jeton a expiré, vous pouvez demanderque l'e-mail soit renvoyé.
En cas de problèmes persistants liés à la validation des e-mails, veuillez consulter la section Résolutiondes problèmes liés à la validation par e-mail (p. 111) dans le Troubleshooting (p. 106).
Note
Les informations suivantes s'appliquent uniquement aux certificats fournis par ACM et uniquementaux certificats qui utilisent la validation par e-mail. L'e-mail de validation n'est pas obligatoire pourles certificats que vous avez importés dansACM (p. 74). Pour de plus amples informations surla validation de domaine DNS, veuillez consulter Utilisation de DNS pour valider la propriété dudomaine (p. 52).
Rubriques• Renvoie d'un e-mail (console) (p. 65)• Renvoie d'un e-mail (CLI) (p. 65)
Renvoie d'un e-mail (console)Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home. Pour un certificat répertorié affichant l’état Pending validation(En attente de validation), activez sa case à cocher, choisissez Actions, puis Resend validation email(Renvoyer un e-mail de validation). Si la période de 72 heures est dépassée et que le certificat est passé àl'état Timed out, vous ne pouvez pas renvoyer l'e-mail de validation.
Renvoie d'un e-mail (CLI)Vous pouvez utiliser la commande resend-validation-email pour renvoyer un e-mail de validation.
aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com
Version 1.065
AWS Certificate Manager Manuel de l'utilisateurRenvoie d'un e-mail (CLI)
Note
La commande resend-validation-email s'applique uniquement aux certificats ACM pour lesquelsvous utilisez la validation par e-mail. La validation n'est pas obligatoire pour les certificats que vousavez importés dans ACM ou pour les certificats privés que vous gérez avec ACM.
Version 1.066
AWS Certificate Manager Manuel de l'utilisateurValidation automatique
Renouvellement géré pour lescertificats émis par Amazon d'ACM
ACM fournit un renouvellement géré pour vos certificats SSL/TLS émis par Amazon. Cela inclut lescertificats publics et privés émis à l'aide d'ACM. ACM renouvelle automatiquement vos certificats sipossible, sans action requise de votre part. Un certificat peut faire l'objet d'un renouvellement automatiquesous réserve des considérations suivantes :
• ÉLIGIBLE s'il est associé à un autre service AWS, comme Elastic Load Balancing ou CloudFront.• ÉLIGIBLE s'il est exporté depuis la délivrance ou le dernier renouvellement.• ÉLIGIBLE s'il s'agit d'un certificat privé émis en appelant l'API ACM RequestCertificate.• ÉLIGIBLE s'il s'agit d'un certificat privé émis via la console de gestion (p. 47).• NON ÉLIGIBLE s'il s'agit d'un certificat privé émis en appelant l'API ACM Private CAIssueCertificate.
• NON ÉLIGIBLE s'il est importé (p. 74).• NON ÉLIGIBLE si déjà expiré.
Quand ACM renouvelle un certificat, l'Amazon Resource Name (ARN) du certificat ne change pas. Lescertificats ACM sont aussi des ressources régionales (p. 3). Si vous possédez des certificats pour le mêmenom de domaine dans plusieurs régions AWS, ACM renouvelle chacun de ces certificats indépendamment.
Important
Votre certificat ACM doit être associé activement à un service AWS pris en charge pour pouvoirêtre renouvelé automatiquement. Pour en savoir plus sur les ressources prises en charge parACM, consultez Services intégrés à AWS Certificate Manager (p. 4).
Pour plus d'informations sur le renouvellement géré des certificats, consultez les rubriques suivantes. Sivous rencontrez des problèmes avec le renouvellement, consultez Dépannage du renouvellement descertificats gérés (p. 114).
Note
Si des messages d'erreur s'affichent lors de la création ou du renouvellement des certificatsACM Private CA via ACM, consultez la section Dépannage Gestion des exceptions de certificatprivé (p. 121).
Rubriques• Comment fonctionne la validation automatique (p. 67)• Vérifier le statut d'un renouvellement de certificat (p. 69)• Demander un e-mail de validation de domaine pour un renouvellement de certificat (p. 72)
Comment fonctionne la validation automatiqueAvant de renouveler un certificat, ACM essaie automatiquement de valider chaque nom de domaine qu'ilcontient. Si le certificat est en cours d’utilisation (c’est-à-dire associé à un AWS intégré à ACM) et si tousles noms de domaine du certificat peuvent être validés, ACM renouvelle le certificat. Si ACM ne peut pasvalider automatiquement un nom de domaine, il informe le propriétaire du domaine que l’action manuelleest nécessaire pour valider le domaine et terminer le renouvellement du certificat.
Version 1.067
AWS Certificate Manager Manuel de l'utilisateurRenouvellement pour les domaines validés par DNS
Renouvellement pour les domaines validés par DNSPour revalider un domaine qui a été validé à l’origine par DNS, ACM vérifie 60 jours avant l’expiration sile certificat est actuellement utilisé, puis vérifie l’enregistrement DNS pour le domaine. Si le jeton CNAMErequis est présent et accessible, ACM prend en compte le nom de domaine validé et renouvelle le certificat.
Renouvellement pour les domaines validés par e-mailPour revalider un domaine qui a été initialement validé par e-mail, ACM tente régulièrement de s’yconnecter via HTTPS et examine le certificat TLS qui est renvoyé. Pour les domaines qui commencentpar www., ACM envoie également des demandes HTTPS au domaine parent. Par exemple, si votredomaine est www.example.com, ACM envoie des demandes périodiques à www.example.comet à example.com. Pour les domaines qui ne commencent pas par www., ACM envoie égalementdes demandes HTTPS à www.domain. ACM traite les noms de domaine génériques (par exemple,*.example.com) identique au domaine parent. Pour obtenir des exemples, consultez le tableau suivant.
Exemples de noms de domaine qu'ACM utilise pour la validation automatique
Nom de domaine du certificat Noms de domaine utilisés par ACM pour lavalidation automatique
exemple.com example.com
www.exemple.com
www.exemple.com www.exemple.com
example.com
*.example.com example.com
www.exemple.com
subdomain.example.com subdomain.example.com
www.subdomain.example.com
www.subdomain.example.com www.subdomain.example.com
subdomain.example.com
*.subdomain.example.com subdomain.example.com
www.subdomain.example.com
Si le certificat TLS renvoyé correspond à celui en cours de renouvellement, ACM prend en compte le nomde domaine validé et renouvelle le certificat. Un renouvellement automatique réussi n’entraîne pas denotification par e-mail.
Quand le renouvellement automatique de certificatéchoueSi ACM ne peut pas automatiquement valider un ou plusieurs noms de domaine dans un certificat, ACMnotifie le propriétaire du domaine que celui-ci doit agir pour le valider le domaine manuellement. Undomaine peut exiger une validation manuelle pour les raisons suivantes :
Version 1.068
AWS Certificate Manager Manuel de l'utilisateurVérifier le statut du renouvellement
• Pour la validation DNS, le jeton CNAME requis dans l’enregistrement DNS est manquant ouinaccessible.
• Pour la validation TLS, ACM ne peut pas établir une connexion HTTPS avec le domaine, ou le certificatqui est renvoyé dans la réponse aux demandes HTTPS ne correspond pas à celui qui ACM est en coursde renouvellement.
Lorsque votre certificat expire dans 45 jours et qu'un ou plusieurs noms de domaine du certificat exigentune validation manuelle, ACM en avertit le propriétaire du domaine de différentes façons.
Pour les certificats validés par e-mail :
Si le certificat a été validé par e-mail la dernière fois, ACM envoie un e-mail au propriétaire du domainepour chaque nom de domaine nécessitant une validation manuelle. Pour s'assurer que cet e-mail peutêtre reçu, le propriétaire du domaine doit correctement configurer les e-mails pour chaque domaine.Pour plus d'informations, consultez la section (Facultatif) Configuration d'une adresse e-mail pour votredomaine (p. 41). L'e-mail contient un lien qui effectue la validation. Ce lien expire après 72 heures.Le cas échéant, vous pouvez utiliser la console AWS Certificate Manager, l'AWS CLI ou l'API pourdemander qu'ACM renvoie l'e-mail de validation de domaine. Pour plus d'informations, consultez lasection Demander un e-mail de validation de domaine pour un renouvellement de certificat (p. 72).
Important
Les certificats validés par e-mail sont renouvelés automatiquement jusqu'à 825 jours aprèsla date de leur dernière validation manuelle. Après 825 jours, le propriétaire du domaineou un représentant autorisé doit revalider manuellement la propriété du domaine pourprocéder au renouvellement. Pour éviter ce problème, nous vous recommandons de créer unnouveau certificat et d'utiliser la validation DNS si vous êtes en mesure de le faire. En effet,les certificats DNS sont validés indéfiniment tant qu'ils sont configurés correctement.
Par notification sur votre AWS Personal Health Dashboard
ACM envoie ces notifications à votre AWS Personal Health Dashboard pour vous avertir qu'un ouplusieurs noms de domaine du certificat nécessitent une validation pour le certificat puisse êtrerenouvelé. ACM envoie ces notifications lorsque votre certificat expire dans 45 jours, 30 jours, 15 jours,7 jours, 3 jours et 1 jour. Ces notifications ont uniquement un but informatif.
Note
ACM écrit les avis d'événement de renouvellement successifs dans un seul événement devotre chronologie PHD. Chaque avis remplace le précédent jusqu'à ce que le renouvellementaboutisse.
Vérifier le statut d'un renouvellement de certificatUtilisez la console AWS Certificate Manager, l'API ACM, l'AWS CLI ou le Tableau de bord d'état personnelpour vérifier le statut du renouvellement d'un certificat ACM. Si vous utilisez la console, AWS CLI, ou l'APIACM, le renouvellement du certificat peut avoir l'une des quatre valeurs d'état répertoriées ci-dessous. Desvaleurs similaires sont affichées si vous utilisez le Tableau de bord d'état personnel.
Renouvellement automatique en attente
ACM essaie automatiquement de valider les noms de domaine dans le certificat. Pour plusd'informations, consultez la section Comment fonctionne la validation automatique (p. 67). Aucuneaction supplémentaire n'est requise.
Pending validation
ACM ne peut pas automatiquement valider les noms de domaine dans le certificat. Vous devezagir pour valider ces noms de domaine ou le certificat ne sera pas renouvelé. Si vous avez utilisé
Version 1.069
AWS Certificate Manager Manuel de l'utilisateurVérification du statut (console)
initialement la validation par e-mail pour le certificat, recherchez un e-mail d'ACM, puis suivez le liencontenu dans cet e-mail pour effectuer la validation. Si vous avez utilisé la validation DNS, vérifiez quevotre enregistrement DNS existe et que votre certificat est toujours en cours d'utilisation.
Success (Succès)
Tous les noms de domaine du certificat sont validés et ACM a renouvelé le certificat. Aucune actionsupplémentaire n'est requise.
Failed (Échec)
Un ou plusieurs noms de domaine n'ont pas été validés avant l'expiration du certificat et ACM n'a pasrenouvelé le certificat. Vous pouvez demander un nouveau certificat (p. 45).
Un certificat est éligible pour un renouvellement s'il est associé à un autre service AWS, tel que ElasticLoad Balancing ou CloudFront, ou s'il a été exporté depuis son émission ou son dernier renouvellement.
Note
La disponibilité des modifications apportées à l'état du certificat peut prendre jusqu'à plusieursheures.
Rubriques• Vérification du statut (console) (p. 70)• Vérification du statut (API) (p. 70)• Vérification du statut (CLI) (p. 70)• Vérifiez le statut du tableau de bord de santé personnel (PHD) (p. 71)
Vérification du statut (console)La procédure suivante explique comment utiliser la console ACM pour vérifier la statut de renouvellementd'un certificat ACM.
1. Ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm/home.2. Développez un certificat pour afficher ses détails.3. Recherchez Renewal Status, dans la section Details. Si vous ne voyez pas le statut, ACM n'a pas
commencé le processus de renouvellement géré pour ce certificat.
Vérification du statut (API)Pour un exemple Java qui montre comment utiliser l’ DescribeCertificate pour vérifier le statut, voirDescription d'un certificat (p. 88).
Vérification du statut (CLI)L'exemple suivant montre comment vérifier le statut du renouvellement de votre certificat ACM avec l'AWSCommand Line Interface (AWS CLI).
$ aws acm describe-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e
Dans la réponse, notez la valeur dans le champ RenewalStatus. Si vous ne voyez pas le champRenewalStatus, ACM n'a pas commencé le processus de renouvellement géré pour votre certificat.
Version 1.070
AWS Certificate Manager Manuel de l'utilisateurVérifiez le statut du tableau debord de santé personnel (PHD)
Vérifiez le statut du tableau de bord de santépersonnel (PHD)ACM tente de renouveler automatiquement votre certificat ACM soixante jours avant son expiration.Veuillez consulter Comment fonctionne la validation automatique (p. 67). Si ACM ne peut pasrenouveler automatiquement votre certificat, il envoie des notifications d'événement de renouvellement decertificat à votre Tableau de bord d'état personnel à des intervalles de 45 jours, 30 jours, 15 jours, 7 jours,3 jours et 1 jour de l'expiration pour vous informer que vous devez agir. L'exemple Tableau de bord d'étatpersonnel fait partit du service AWS Health. Il ne nécessite aucune configuration et peut être affiché parn'importe quel utilisateur authentifié dans votre compte. Pour plus d'informations, consultez la sectionGuide de l'utilisateur AWS Health.
Note
ACM écrit les avis d'événement de renouvellement successifs dans un seul événement de votrechronologie PHD. Chaque avis remplace le précédent jusqu'à ce que le renouvellement aboutisse.
Pour utiliser l'Tableau de bord d'état personnel :
1. Connectez-vous à Tableau de bord d'état personnel à l'adresse https://phd.aws.amazon.com/phd/home#/.
2. Choisissez Event Log.3. Pour Filter by tags or attributes, choisissez Service.4. Choisissez Certificate Manager.5. Choisissez Apply (Appliquer).6. Pour Event category, choisissez Scheduled Change.7. Choisissez Apply (Appliquer).
Si ACM a récemment renouvelé un certificat ACM, vous verrez des informations similaires à ce qui suit.
Version 1.071
AWS Certificate Manager Manuel de l'utilisateurDemande d'e-mail (facultatif)
Demander un e-mail de validation de domaine pourun renouvellement de certificat
Une fois les adresses e-mail de contact configurées pour votre domaine (consultez (Facultatif)Configuration d'une adresse e-mail pour votre domaine (p. 41)), vous pouvez utiliser la console AWSCertificate Manager ou l'API ACM pour demander à ce qu'ACM vous envoie un e-mail de validation dedomaine pour votre renouvellement de certificat. Pour ce faire, procédez comme suit :
• Vous avez utilisé la validation par e-mail lors de votre demande initiale de certificat ACM.• Le statut de renouvellement de votre certificat est Validation en attente. Pour plus d'informations sur
l'identification du statut de renouvellement d'un certificat, consultez Vérifier le statut d'un renouvellementde certificat (p. 69).
Version 1.072
AWS Certificate Manager Manuel de l'utilisateurDemande d'e-mail (facultatif)
• Vous n'avez pas reçu ou avez perdu l'e-mail original de validation de domaine envoyé par ACM pour lerenouvellement du certificat.
Pour demander à ce qu'ACM renvoie l'e-mail de validation de domaine (console)
1. Ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm/home.2. Cochez la case à côté du certificat qui exige une validation de domaine manuelle. Puis, choisissez
Actions, Renvoyer un e-mail de validation.
Pour demander qu'ACM renvoie l'e-mail de validation de domaine (API ACM)
Utilisez le ResendValidationEmail dans le ACM de l’API. Pour ce faire, transmettez l'ARN du certificat, dudomaine exigeant la validation manuelle et du domaine dans lequel vous souhaitez recevoir les e-mails devalidation de domaine. L'exemple suivant montre comment procéder avec l'AWS CLI. Cet exemple contientdes sauts de ligne pour faciliter la lecture.
$ aws acm resend-validation-email --certificate-arn arn:aws:acm:us-east-2:111122223333:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e --domain subdomain.example.com --validation-domain example.com
Version 1.073
AWS Certificate Manager Manuel de l'utilisateur
Importation de certificats dans AWSCertificate Manager
En plus de demander des certificats SSL/TLS fournis par AWS Certificate Manager (ACM), vous pouvezimporter des certificats que vous avez obtenus hors d'AWS. Ce cas peut se produire si vous avez déjàobtenu un certificat auprès d'un émetteur tiers ou que les certificats fournis par ACM ne répondent pas àvos besoins.
Une fois que vous avez importé un certificat SSL/TLS obtenu en dehors de AWS et que vous l'avez associéà des services intégrés à ACM, vous pouvez réimporter ce certificat tout en conservant ses associations.Plusieurs certificats avec le même nom de domaine peuvent être importés, mais ils doivent être importésun par un.
Une fois que vous avez importé un certificat, vous pouvez l'utiliser avec les services AWS qui sont intégrésà ACM (p. 4). Les certificats que vous importez fonctionnent de la même manière que ceux fournis parACM, à une exception importante près : ACM ne fournit pas de renouvellement géré (p. 67) pour lescertificats importés.
Important
Vous êtes chargé de surveiller la date d'expiration de vos certificats importés et de les renouveleravant leur expiration. Si vous importez un nouveau certificat ayant le même ARN que le certificatarrivant à expiration, le nouveau certificat remplace l'ancien. En outre, ACM associe le nouveaucertificat aux mêmes services et ressources que l'ancien certificat.
Important
Nous recommandons de ne pas épingler un certificat ACM. Pour de plus amples informations,veuillez consulter Épinglage de certificat (p. 36) et Résolution des problèmes liés à l'épinglage decertificat (p. 120).
Pour renouveler un certificat importé, vous pouvez obtenir un nouveau certificat auprès de l'émetteur devotre certificat et l'importer ensuite dans ACM, ou vous pouvez demander un nouveau certificat (p. 45) àACM.
Tous les certificats présents dans ACM sont des ressources régionales, y compris les certificats que vousimportez. Pour utiliser le même certificat avec les équilibreurs de charge Elastic Load Balancing dansdifférentes régions AWS, vous devez importer le certificat dans chaque région où vous souhaitez l'utiliser.Pour utiliser un certificat avec Amazon CloudFront, vous devez l'importer dans la région USA Est (Virginiedu Nord). Pour plus d'informations, consultez la section Régions prises en charge (p. 3).
Pour plus d'informations sur la procédure à suivre pour importer des certificats dans ACM, consultezles rubriques suivantes. Si vous rencontrez des problèmes lors de l'importation d'un certificat, consultezRésolution des problèmes liés à l'importation d'un certificat (p. 119).
Rubriques• Conditions préalables à l'importation de certificats (p. 75)• Format de certificat et de clé pour l'importation (p. 75)• Importation d'un certificat (p. 77)
Version 1.074
AWS Certificate Manager Manuel de l'utilisateurConditions préalables requises
• Réimportation d'un certificat (p. 78)
Conditions préalables à l'importation de certificatsPour importer un certificat SSL/TLS auto-signé dans –ACM, vous devez fournir le certificat et sa clé privée.Pour importer un certificat signé, vous devez également inclure la chaîne de certificats. Votre certificat doitrépondre aux critères suivants :
• Le certificat doit spécifier un algorithme de chiffrement et une taille de clé. Les algorithmes suivants sontpris en charge par ACM :• 1024 bits RSA (RSA_1024)• 2048 bits RSA (RSA_2048)• 4096 bits RSA (RSA_4096)• Elliptic Prime Curve 256 bits (EC_prime256v1)• Elliptic Prime Curve 384 bits (EC_secp384r1)• Elliptic Prime Curve 521 bits (EC_secp521r1)
Important
Notez que les services intégrés autorisent uniquement les algorithmes et tailles de clés qu'ilsprennent en charge pour les associer à leurs ressources. Par exemple, la longueur de clé publiquedoit être de 1024 ou 2048 bits pour une intégration avec CloudFront. Pour plus d'informations,consultez la page ///Documentation pour chaque service.
• Pour Elastic Load Balancing, consultez Écouteurs HTTPS pour votre équilibreur de charged'application et Utilisation d'un certificat SSL/TLS avec un équilibreur de charge.
• Pour CloudFront, consultez Protocoles SSL/TLS et chiffrements pris en charge et Exigences enmatière de taille de clés publiques.
• Le certificat doit être un certificat SSL/TLS SSL/TLS X.509 version 3. Il doit contenir une clé publique,le nom de domaine complet (FQDN) ou l'adresse IP de votre site Web, ainsi que des informations surl'émetteur. Le certificat peut être auto-signé par votre clé privée ou par la clé privée d'une autorité decertification émettrice. Si votre certificat est signé par une autorité de certification, vous devez inclure lachaîne de certificats lorsque vous importez votre certificat.
• Le certificat doit être valide au moment de son importation. Vous ne pouvez pas importer de certificatavant le début de sa période de validité et après la fin de celle-ci. Le champ de certificat NotBeforecontient la date de début de validité et le champ NotAfter contient la date de fin de validité.
• La clé privée doit être non chiffrée. Vous ne pouvez pas importer une clé privée qui est protégée par unmot de passe ou une phrase secrète.
• Le certificat, la clé privée et la chaîne de certificats doivent être codés PEM–. Pour plus d'informations etd'exemples, consultez Format de certificat et de clé pour l'importation (p. 75).
• L'algorithme de chiffrement d'un certificat importé doit correspondre à l'algorithme de la CA de signature.Par exemple, si le type de clé de l'autorité de certification est RSA, le type de clé de certificat doitégalement être RSA.
Format de certificat et de clé pour l'importationLe certificat, la chaîne de certificats et la clé privée (le cas échéant) sont importés séparément et doiventêtre codés PEM. PEM signifie Privacy Enhanced Mail. Le format PEM est souvent utilisé pour représenter
Version 1.075
AWS Certificate Manager Manuel de l'utilisateurFormat du certificat
des certificats, des demandes de certificats, des chaînes de certificats et des clés. Les fichiers PEM portentgénéralement l'extension –.pem, mais ce n'est pas obligatoire.
Les exemples suivants illustrent le format des fichiers à importer. Si les composants vous parviennent dansun seul fichier, utilisez un éditeur de texte (avec précaution) pour les séparer en trois fichiers. Notez que sivous modifiez l'un des caractères d'un fichier PEM de façon incorrecte, ou si vous ajoutez un ou plusieursespaces à la fin d'une ligne, le certificat, la chaîne de certificats ou la clé privée est non valide.
Example 1. Certificat codé PEM–
-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----
Example 2. Chaîne de certificats codée PEM–
Une chaîne de certificats contient un ou plusieurs certificats. Vous pouvez utiliser un éditeur de texte, lacommande copy sous Windows ou la commande Linux cat pour concaténer vos fichiers de certificatsdans une chaîne. Les certificats doivent être concaténés dans l'ordre de façon à ce que chacun d'entre euxcertifie directement celui qui le précède. Si vous importez un certificat privé, copiez le certificat racine endernier. L'exemple suivant contient trois certificats, mais votre chaîne de certificats peut en contenir plus oumoins.
Important
Ne copiez pas votre certificat dans la chaîne de certificats.
-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----
Example 3. Clés privées codées PEM (certificat privé uniquement)
Les certificats X.509 version 3 utilisent des algorithmes de clé publique. Lorsque vous créez un certificatX.509 ou une demande de certificat, vous spécifiez l'algorithme et la taille de clé en bits qui doivent êtreutilisés pour créer la paire de clés privée-–publique. La clé publique est placée dans le certificat ou lademande. Vous devez conserver secrète la clé privée qui lui est associée. Spécifiez la clé privée lorsquevous importez le certificat. La clé doit être non chiffrée. L'exemple ci-dessous illustre une clé privée RSA.
-----BEGIN RSA PRIVATE KEY-----Base64–encoded private key-----END RSA PRIVATE KEY-----
L'exemple suivant illustre une clé privée à courbes elliptiques codée PEM–. En fonction de la façon dontvous créez la clé, le bloc de paramètres peut ne pas être inclus. Si le bloc de paramètres est inclus, ACM lesupprime avant d'utiliser la clé pendant le processus d'importation.
-----BEGIN EC PARAMETERS-----Base64–encoded parameters-----END EC PARAMETERS-----
Version 1.076
AWS Certificate Manager Manuel de l'utilisateurImportation d'un certificat
-----BEGIN EC PRIVATE KEY-----Base64–encoded private key-----END EC PRIVATE KEY-----
Importation d'un certificatPour importer un certificat dans ACM, vous pouvez utiliser AWS Management Console, l'AWS CLI ou l'APIACM. Les rubriques suivantes vous montrent comment utiliser la AWS Management Console et l'AWS CLI.
Note
La clé privée d’un certificat importé ne doit pas dépasser 5 Ko (5 120 octets).
Rubriques• Importation à l'aide de la console (p. 77)• Importation à l'aide de l'AWS CLI (p. 77)
Importation à l'aide de la consoleL'exemple suivant montre comment importer un certificat à l'aide d'AWS Management Console.
1. Ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home. S'il s'agit de lapremière fois que vous utilisez ACM, recherchez l'en-tête AWS Certificate Manager et cliquez sur lebouton Get Started (Mise en route) en dessous.
2. Choisissez Import a certificate.3. Procédez comme suit :
a. Pour Certificate body, collez le certificat codé PEM à importer.b. Pour Certificate private key, collez la clé privée codée PEM, non chiffrée, correspondant à la clé
publique du certificat.
Important
Actuellement, Services intégrés à AWS Certificate Manager (p. 4) prend uniquement encharge les algorithmes RSA_1024 et RSA_2048.
c. (Facultatif) Pour Certificate chain, collez la chaîne de certificats codée PEM.4. Choisissez Review and import.5. Vérifiez les informations concernant votre certificat, puis choisissez Import.
Importation à l'aide de l'AWS CLIL'exemple suivant montre comment importer un certificat à l'aide de l'AWS Command Line Interface (AWSCLI). Dans cet exemple il est supposé que :
• Le certificat codé PEM est stocké dans un fichier nommé Certificate.pem.• La chaîne de certificats codée PEM est stockée dans un fichier nommé CertificateChain.pem.• La clé privée non chiffrée, codée PEM est stockée dans un fichier nommé PrivateKey.pem.
Pour utiliser l'exemple, remplacez les noms de fichier par les vôtres et tapez la commande sur une seuleligne continue. L'exemple suivant inclut des sauts de ligne et des espace supplémentaires pour le rendreplus facile à lire.
Version 1.077
AWS Certificate Manager Manuel de l'utilisateurRéimportation d'un certificat
$ aws acm import-certificate --certificate fileb://Certificate.pem \ --certificate-chain fileb://CertificateChain.pem \ --private-key fileb://PrivateKey.pem
Si la commande import-certificate aboutit, elle renvoie l'Amazon Resource Name (ARN) du certificatimporté.
Réimportation d'un certificatSi vous avez importé un certificat et que vous l'avez associé à d'autres services AWS, vous pouvez leréimporter avant qu'il n'expire, tout en conservant les associations de service AWS du certificat d'origine.Pour plus d'informations sur les services AWS intégrés à ACM, consultez Services intégrés à AWSCertificate Manager (p. 4).
Les conditions suivantes s'appliquent lorsque vous réimportez un certificat :
• Vous pouvez ajouter ou supprimer des noms de domaine.• Vous ne pouvez pas supprimer tous les noms de domaine à partir d'un certificat.• Vous pouvez ajouter de nouvelles extensions Key Usage, mais les valeurs d'extension existantes ne
peuvent pas être supprimés.• Vous pouvez ajouter de nouvelles extensions Extended Key Usage, mais les valeurs d'extension
existantes ne peuvent pas être supprimés.• Le type et la taille de clé ne peuvent pas être modifiés.• Vous ne pouvez pas appliquer de balises de ressource lors de la réimportation d'un certificat.
Rubriques• Réimportation à l'aide de la console (p. 78)• Réimportation à l'aide de l'AWS CLI (p. 79)
Réimportation à l'aide de la consoleL'exemple suivant montre comment réimporter un certificat à l'aide d'AWS Management Console.
1. Ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.2. Sélectionnez ou développez le certificat à réimporter.3. Ouvrez le volet des détails du certificat et cliquez sur le bouton Reimport certificate. Si vous avez
sélectionné le certificat en cochant la case en regard de son nom, choisissez Reimport certificate dansle menu Actions.
4. Pour Certificate body, collez le certificat end-entity codé PEM.5. Pour Certificate private key, collez la clé privée codée PEM non chiffrée associée à la clé publique du
certificat.
Important
Actuellement, Services intégrés à AWS Certificate Manager (p. 4) prend uniquement encharge les algorithmes RSA_1024 et RSA_2048.
6. (Facultatif) Pour Certificate chain, collez la chaîne de certificats codée PEM. La chaîne de certificatscomprend un ou plusieurs certificats pour toutes les autorités de certification émettrices intermédiaires,et le certificat racine. Si le certificat à importer est auto-affecté, aucune chaîne de certificats n'estnécessaire.
Version 1.078
AWS Certificate Manager Manuel de l'utilisateurRéimportation à l'aide de l'AWS CLI
7. Choisissez Review and import.8. Vérifiez les informations concernant votre certificat. Si elles ne contiennent aucune erreur, choisissez
Reimport.
Réimportation à l'aide de l'AWS CLIL'exemple suivant montre comment réimporter un certificat à l'aide de l'AWS Command Line Interface(AWS CLI). Dans cet exemple il est supposé que :
• Le certificat codé PEM est stocké dans un fichier nommé Certificate.pem.• La chaîne de certificats codée PEM est stockée dans un fichier nommé CertificateChain.pem.• (Certificats privés uniquement) La clé privée non chiffrée codée PEM est stockée dans un fichier nomméPrivateKey.pem.
• Vous avez l'ARN du certificat que vous souhaitez réimporter.
Pour utiliser l'exemple suivant, remplacez les noms de fichier et l'ARN par les vôtres et tapez la commandesur une seule ligne continue. L'exemple suivant inclut des sauts de ligne et des espace supplémentairespour le rendre plus facile à lire.
Note
Pour réimporter un certificat, vous devez spécifier son ARN.
$ aws acm import-certificate --certificate fileb://Certificate.pem \ --certificate-chain fileb://CertificateChain.pem \ --private-key fileb://PrivateKey.pem \ --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
Si la commande import-certificate aboutit, elle renvoie l'Amazon Resource Name (ARN) ducertificat.
Version 1.079
AWS Certificate Manager Manuel de l'utilisateurExportation d'un certificat privé à l'aide de la console
Exportation d’un certificat privéVous pouvez exporter un certificat émis par ACM Private CA pour l’utiliser n'importe où dans votreenvironnement PKI privé. Le fichier exporté contient le certificat, la chaîne de certificats et la clé privéechiffrée. Ce fichier doit être stocké de manière sécurisée. Pour plus d'informations sur ACM Private CA,consultez Guide de l'utilisateur AWS Certificate Manager Private Certificate Authority.
Note
Vous ne pouvez pas exporter la clé privée d’une clé publiquement approuvée ACM certificat.
Rubriques• Exportation d'un certificat privé à l'aide de la console (p. 80)• Exportation d’un certificat privé à l’aide de l’interface de ligne de commande (p. 80)
Exportation d'un certificat privé à l'aide de laconsole
1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.
2. Choisissez Certificate Manager3. Sélectionnez le certificat que vous voulez exporter.4. Dans le menu Actions, choisissez Exporter (certificats privés uniquement).5. Entrez et confirmez une phrase secrète pour la clé privée.6. Choisissez Génération de l'encodage PEM.7. Vous pouvez copier le certificat, la chaîne de certificats et la clé chiffrée dans la mémoire ou choisir
Exporter dans un fichier pour chaque élément.8. Sélectionnez Effectué.
Exportation d’un certificat privé à l’aide de l’interfacede ligne de commande
Utilisez la commande export-certificate pour exporter un certificat privé et une clé privée. Vous devezattribuer le code secret lorsque vous exécutez la commande. Pour renforcer la sécurité, stockez votre codesecret de manière sécurisée dans un fichier avant d'utiliser cette commande. Cela empêche le stockage devotre code secret dans l'historique des commandes et empêche les autres personnes de voir le code secretlorsque vous le saisissez.
L'exemple suivant achemine la sortie de la commande vers jq pour appliquer le format PEM.
aws acm export-certificate \--certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \--passphrase fileb://path-to-passphrase-file \| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
Version 1.080
AWS Certificate Manager Manuel de l'utilisateurExportation d’un certificat privé à l’aidede l’interface de ligne de commande
Cela produit un certificat codé en base64, au format PEM et contenant également contenant la chaîne decertificats et la clé privée chiffrée, comme dans l'exemple abrégé suivant.
-----BEGIN CERTIFICATE-----MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAwEzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcxNTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA...8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthHFFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=-----END CERTIFICATE----------BEGIN CERTIFICATE-----MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAwEzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP...j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB-----END CERTIFICATE----------BEGIN ENCRYPTED PRIVATE KEY-----MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNANJM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt...ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFlwEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVyFs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==-----END ENCRYPTED PRIVATE KEY-----
Pour la sortie de tous les éléments dans un fichier, ajoutez la redirection > à l'exemple précédent, ce quidonne le résultat suivant.
aws acm export-certificate \--certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \--passphrase fileb://path-to-passphrase-file \| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \> /tmp/export.txt
Version 1.081
AWS Certificate Manager Manuel de l'utilisateurRestrictions liées aux balises
Balisage des certificats AWSCertificate Manager
Une balise est une étiquette que vous pouvez attribuer à un certificat ACM. Chaque balise se composed'une clé et d'une valeur. Vous pouvez utiliser la console AWS Certificate Manager, l'AWS Command LineInterface (AWS CLI) ou l'API ACM pour ajouter, afficher ou supprimer des balises pour les certificats ACM.Vous pouvez choisir les balises à afficher dans la console ACM.
Vous pouvez créer des balises personnalisées qui répondent à vos besoins. Par exemple, vous pouvezbaliser plusieurs certificats ACM avec une balise Environment = Prod ou Environment = Beta pouridentifier l'environnement auquel est destiné chaque certificat ACM. La liste suivante contient quelquesexemples supplémentaires d'autres balises personnalisées :
• Admin = Alice
• Purpose = Website
• Protocol = TLS
• Registrar = Route53
D'autres ressources AWS prennent également en charge le balisage. Vous pouvez donc attribuer la mêmebalise à différentes ressources pour indiquer si ces ressources sont liées. Par exemple, vous pouvezattribuer une balise telle que Website = example.com au certificat ACM, à l’équilibreur de charge et àd'autres ressources utilisées pour votre site web example.com.
Rubriques• Restrictions liées aux balises (p. 82)• Gestion des balises (p. 83)
Restrictions liées aux balisesLes restrictions de base suivantes s'appliquent aux balises des certificats ACM :
• Le nombre maximal de balises par certificat ACM est de 50.• La longueur maximale d'une clé de balise est de 127 caractères.• La longueur maximale d'une valeur de balise est de 255 caractères.• Les clés et valeurs de balise sont sensibles à la casse.• Le préfixe aws: est réservé à AWS. Vous ne pouvez pas ajouter, modifier ou supprimer des balises dont
la clé commence par aws:. Les balises avec le préfixe aws: ne sont pas comptabilisées en fonction dela limite de balises par ressource.
• Si vous prévoyez d'utiliser votre schéma de balisage sur plusieurs services et ressources, n'oubliez pasque d'autres services peuvent avoir d'autres restrictions concernant les caractères autorisés. Reportez-vous à la documentation correspondant à ce service.
• Les balises du certificat ACM ne peuvent pas être utilisées dans les Groupes de ressources et l'Éditeurde balises de l'AWS Management Console.
Pour plus d'informations sur les conventions de balisage AWS, consultez Balisage des ressources AWS.
Version 1.082
AWS Certificate Manager Manuel de l'utilisateurGestion des balises
Gestion des balisesVous pouvez ajouter, modifier et supprimer des balises à l'aide d'AWS Management Console, de l'AWSCommand Line Interface ou de l'API AWS Certificate Manager.
Gestion des balises (console)Vous pouvez utiliser AWS Management Console pour ajouter, supprimer ou modifier des balises. Vouspouvez également afficher des balises dans les colonnes.
Ajout d'une balise (console)Utilisez la procédure suivante pour ajouter des balises à l'aide de la console ACM.
Pour ajouter une balise à un certificat (console)
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Certificate Manager àl'adresse https://console.aws.amazon.com/acm/home.
2. Choisissez la flèche en regard du certificat que vous voulez baliser.3. Dans le volet des détails, faites défiler jusqu'à Tags.4. Choisissez Edit et Add Tag.5. Saisissez une clé et une valeur pour la balise.6. Choisissez Save.
Suppression d'une balise (console)Utilisez la procédure suivante pour supprimer des balises à l'aide de la console ACM.
Pour supprimer une balise (console)
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Certificate Manager àl'adresse https://console.aws.amazon.com/acm/home.
2. Choisissez la flèche en regard du certificat contenant une balise que vous voulez supprimer.3. Dans le volet des détails, faites défiler jusqu'à Tags.4. Choisissez Edit.5. Choisissez le signe X en regard de la balise que vous voulez supprimer.6. Choisissez Save.
Modification d'une balise (console)Utilisez la procédure suivante pour modifier des balises à l'aide de la console ACM.
Pour modifier une balise (console)
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Certificate Manager àl'adresse https://console.aws.amazon.com/acm/home.
2. Choisissez la flèche en regard du certificat que vous voulez modifier.3. Dans le volet des détails, faites défiler jusqu'à Tags.4. Choisissez Edit.5. Modifiez la clé ou la valeur de la balise.
Version 1.083
AWS Certificate Manager Manuel de l'utilisateurGestion des balises (AWS Command Line Interface)
6. Choisissez Save.
Affichage des balises en colonnes (console)Utilisez la procédure suivante pour afficher les balises en colonnes dans la console ACM.
Pour afficher les balises en colonnes (console)
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Certificate Manager àl'adresse https://console.aws.amazon.com/acm/home.
2. Choisissez les balises que vous voulez afficher sous forme de colonnes en choisissant l'icône en
forme d'engrenage dans le coin supérieur droit de la console.3. Activez la case à cocher en regard de la balise que vous voulez afficher dans une colonne.
Gestion des balises (AWS Command Line Interface)Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à l'aide del'AWS CLI.
• add-tags-to-certificate
• list-tags-for-certificate
• remove-tags-from-certificate
Gestion des balises (API AWS Certificate Manager)Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à l'aide del'API.
• AddTagsToCertificate
• ListTagsForCertificate
• RemoveTagsFromCertificate
Version 1.084
AWS Certificate Manager Manuel de l'utilisateurAddTagsToCertificate
Utilisation de l'API ACMVous pouvez utiliser l'API AWS Certificate Manager pour interagir par programmation avec le service enenvoyant des demandes HTTP. Pour de plus amples informations, veuillez consulter Référence d'API AWSCertificate Manager.
En plus de l'API Web (ou de l'API HTTP), vous pouvez utiliser les kits SDK AWS et les outils de ligne decommande pour interagir avec ACM et d'autres services. Pour plus d'informations, consultez Outils pourAmazon Web Services.
Les rubriques suivantes vous montrent comment utiliser l'un des kits SDK AWS, le kitAWS SDK for Java,pour effectuer les opérations disponibles dans l'API AWS Certificate Manager.
Rubriques• Ajout de balises à un certificat (p. 85)• Suppression d'un certificat (p. 86)• Description d'un certificat (p. 88)• Exportation d'un certificat (p. 90)• Récupération d'un certificat et d'une chaîne de certificats (p. 92)• Importation d'un certificat (p. 93)• Liste des certificats (p. 96)• Renouvellement d'un certificat (p. 97)• Affichage d'une liste de balises de certificat (p. 99)• Suppression de balises dans un certificat (p. 100)• Demande de certificat (p. 102)• Renvoi d'un e-mail de validation (p. 103)
Ajout de balises à un certificatL'exemple suivant montre comment utiliser la fonction AddTagsToCertificate.
package com.amazonaws.samples; import java.io.IOException; import java.nio.ByteBuffer; import java.nio.charset.StandardCharsets; import java.nio.file.Files; import java.nio.file.Paths; import com.amazonaws.auth.AWSStaticCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder; import com.amazonaws.services.certificatemanager.model.ImportCertificateRequest; import com.amazonaws.services.certificatemanager.model.ImportCertificateResult; /** * This sample demonstrates how to use the ImportCertificate function in the AWS Certificate Manager * service. * * Input parameters: * Accesskey - AWS access key * SecretKey - AWS secret key
Version 1.085
AWS Certificate Manager Manuel de l'utilisateurDeleteCertificate
* CertificateArn - Use to reimport a certificate (not included in this example). * region - AWS region * Certificate - PEM file that contains the certificate to import. Ex: /data/certs/servercert.pem * CertificateChain - The certificate chain, not including the end-entity certificate. * PrivateKey - The private key that matches the public key in the certificate. * * Output parameter: * CertificcateArn - The ARN of the imported certificate. * */ public class AWSCertificateManagerSample { public static void main(String[] args) throws IOException { String accessKey = ""; String secretKey = ""; String certificateArn = null; Regions region = Regions.DEFAULT_REGION; String serverCertFilePath = ""; String privateKeyFilePath = ""; String caCertFilePath = ""; ImportCertificateRequest req = new ImportCertificateRequest() .withCertificate(getCertContent(serverCertFilePath)) .withPrivateKey(getCertContent(privateKeyFilePath)) .withCertificateChain(getCertContent(caCertFilePath)).withCertificateArn(certificateArn); AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard().withRegion(region) .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(accessKey, secretKey))) .build(); ImportCertificateResult result = client.importCertificate(req); System.out.println(result.getCertificateArn()); List<Tag> expectedTags = ImmutableList.of(Tag.builder().withKey("key").withValue("value").build()); AddTagsToCertificateRequest addTagsToCertificateRequest = AddTagsToCertificateRequest.builder() .withCertificateArn(result.getCertificateArn()) .withTags(tags) .build(); client.addTagsToCertificate(addTagsToCertificateRequest); } private static ByteBuffer getCertContent(String filePath) throws IOException { String fileContent = new String(Files.readAllBytes(Paths.get(filePath))); return StandardCharsets.UTF_8.encode(fileContent); } }
Suppression d'un certificatL'exemple suivant montre comment utiliser la fonction DeleteCertificate. En cas de réussite, la fonctionrenvoie un ensemble vide {}.
Version 1.086
AWS Certificate Manager Manuel de l'utilisateurDeleteCertificate
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DeleteCertificateRequest;import com.amazonaws.services.certificatemanager.model.DeleteCertificateResult;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceInUseException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;
/** * This sample demonstrates how to use the DeleteCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to delete. * */
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception{
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Create a request object and specify the ARN of the certificate to delete. DeleteCertificateRequest req = new DeleteCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");
// Delete the specified certificate. DeleteCertificateResult result = null; try { result = client.deleteCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceInUseException ex) { throw ex; }
Version 1.087
AWS Certificate Manager Manuel de l'utilisateurDescribeCertificate
catch (ResourceNotFoundException ex) { throw ex; }
// Display the result. System.out.println(result);
}}
Description d'un certificatL'exemple suivant montre comment utiliser la fonction DescribeCertificate.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DescribeCertificateRequest;import com.amazonaws.services.certificatemanager.model.DescribeCertificateResult;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;
/** * This sample demonstrates how to use the DescribeCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to be described. * * Output parameter: * Certificate information * */
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception{
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard()
Version 1.088
AWS Certificate Manager Manuel de l'utilisateurDescribeCertificate
.withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Create a request object and set the ARN of the certificate to be described. DescribeCertificateRequest req = new DescribeCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");
DescribeCertificateResult result = null; try{ result = client.describeCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }
// Display the certificate information. System.out.println(result);
}}
En cas de réussite, l'exemple précédent affiche des informations similaires à ce qui suit.
{ Certificate: { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example.com, SubjectAlternativeNames: [www.example.com], DomainValidationOptions: [{ DomainName: www.example.com, }], Serial: 10: 0a, Subject: C=US, ST=WA, L=Seattle, O=ExampleCompany, OU=sales, CN=www.example.com, Issuer: ExampleCompany, ImportedAt: FriOct0608: 17: 39PDT2017, Status: ISSUED, NotBefore: ThuOct0510: 14: 32PDT2017, NotAfter: SunOct0310: 14: 32PDT2027, KeyAlgorithm: RSA-2048, SignatureAlgorithm: SHA256WITHRSA, InUseBy: [], Type: IMPORTED, }}
Version 1.089
AWS Certificate Manager Manuel de l'utilisateurExportCertificate
Exportation d'un certificatL'exemple suivant montre comment utiliser la fonction ExportCertificate. La fonction exporte un certificatprivé. émis par une autorité de certification (CA) privée au format PKCS #8. (Il n’est pas possible d’exporterdes certificats publics, qu’ils soient émis par ACM ou importés.) Il exporte également la chaîne de certificatset la clé privée. Dans l'exemple, la phrase passe de la clé est stockée dans un fichier local.
package com.amazonaws.samples;
import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;
import com.amazonaws.services.certificatemanager.model.ExportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ExportCertificateResult;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;
import java.io.FileNotFoundException;import java.io.IOException;import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;
public class ExportCertificate {
public static void main(String[] args) throws Exception {
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.your_region) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Initialize a file descriptor for the passphrase file. RandomAccessFile file_passphrase = null;
// Initialize a buffer for the passphrase. ByteBuffer buf_passphrase = null;
// Create a file stream for reading the private key passphrase. try { file_passphrase = new RandomAccessFile("C:\\Temp\\password.txt", "r"); }
Version 1.090
AWS Certificate Manager Manuel de l'utilisateurExportCertificate
catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }
// Create a channel to map the file. FileChannel channel_passphrase = file_passphrase.getChannel();
// Map the file to the buffer. try { buf_passphrase = channel_passphrase.map(FileChannel.MapMode.READ_ONLY, 0, channel_passphrase.size());
// Clean up after the file is mapped. channel_passphrase.close(); file_passphrase.close(); } catch (IOException ex) { throw ex; }
// Create a request object. ExportCertificateRequest req = new ExportCertificateRequest();
// Set the certificate ARN. req.withCertificateArn("arn:aws:acm:region:account:" +"certificate/M12345678-1234-1234-1234-123456789012");
// Set the passphrase. req.withPassphrase(buf_passphrase);
// Export the certificate. ExportCertificateResult result = null;
try { result = client.exportCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch (InvalidTagException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }
// Clear the buffer. buf_passphrase.clear();
// Display the certificate and certificate chain. String certificate = result.getCertificate(); System.out.println(certificate);
String certificate_chain = result.getCertificateChain(); System.out.println(certificate_chain);
Version 1.091
AWS Certificate Manager Manuel de l'utilisateurGetCertificate
// This example retrieves but does not display the private key. String private_key = result.getPrivateKey(); }}
Récupération d'un certificat et d'une chaîne decertificats
L'exemple suivant montre comment utiliser la fonction GetCertificate.
package com.amazonaws.samples;
import com.amazonaws.regions.Regions;import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.GetCertificateRequest;import com.amazonaws.services.certificatemanager.model.GetCertificateResult;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.RequestInProgressException;import com.amazonaws.AmazonClientException;
/** * This sample demonstrates how to use the GetCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to retrieve. * * Output parameters: * Certificate - A base64-encoded certificate in PEM format. * CertificateChain - The base64-encoded certificate chain in PEM format. * */
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception{
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from the credential profiles file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials))
Version 1.092
AWS Certificate Manager Manuel de l'utilisateurImportCertificate
.build();
// Create a request object and set the ARN of the certificate to be described. GetCertificateRequest req = new GetCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");
// Retrieve the certificate and certificate chain. // If you recently requested the certificate, loop until it has been created. GetCertificateResult result = null; long totalTimeout = 120000l; long timeSlept = 0l; long sleepInterval = 10000l; while (result == null && timeSlept < totalTimeout) { try { result = client.getCertificate(req); } catch (RequestInProgressException ex) { Thread.sleep(sleepInterval); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }
timeSlept += sleepInterval; }
// Display the certificate information. System.out.println(result); }}
L'exemple précédent crée une sortie similaire à ce qui suit :
{Certificate: -----BEGIN CERTIFICATE----- base64-encoded certificate-----END CERTIFICATE-----,CertificateChain: -----BEGIN CERTIFICATE----- base64-encoded certificate chain -----END CERTIFICATE-----}
Importation d'un certificatL'exemple suivant montre comment utiliser la fonction ImportCertificate.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;
Version 1.093
AWS Certificate Manager Manuel de l'utilisateurImportCertificate
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import com.amazonaws.services.certificatemanager.model.ImportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ImportCertificateResult;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;import java.io.FileNotFoundException;import java.io.IOException;
import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;
/** * This sample demonstrates how to use the ImportCertificate function in the AWS Certificate Manager * service. * * Input parameters: * Certificate - PEM file that contains the certificate to import. * CertificateArn - Use to reimport a certificate (not included in this example). * CertificateChain - The certificate chain, not including the end-entity certificate. * PrivateKey - The private key that matches the public key in the certificate. * * Output parameter: * CertificcateArn - The ARN of the imported certificate. * */public class AWSCertificateManagerSample {
public static void main(String[] args) throws Exception {
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException( "Cannot load the credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Initialize the file descriptors. RandomAccessFile file_certificate = null; RandomAccessFile file_chain = null; RandomAccessFile file_key = null;
// Initialize the buffers. ByteBuffer buf_certificate = null; ByteBuffer buf_chain = null; ByteBuffer buf_key = null;
// Create the file streams for reading. try { file_certificate = new RandomAccessFile("C:\\Temp\\certificate.pem", "r");
Version 1.094
AWS Certificate Manager Manuel de l'utilisateurImportCertificate
file_chain = new RandomAccessFile("C:\\Temp\\chain.pem", "r"); file_key = new RandomAccessFile("C:\\Temp\\private_key.pem", "r"); } catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }
// Create channels for mapping the files. FileChannel channel_certificate = file_certificate.getChannel(); FileChannel channel_chain = file_chain.getChannel(); FileChannel channel_key = file_key.getChannel();
// Map the files to buffers. try { buf_certificate = channel_certificate.map(FileChannel.MapMode.READ_ONLY, 0, channel_certificate.size()); buf_chain = channel_chain.map(FileChannel.MapMode.READ_ONLY, 0, channel_chain.size()); buf_key = channel_key.map(FileChannel.MapMode.READ_ONLY, 0, channel_key.size());
// The files have been mapped, so clean up. channel_certificate.close(); channel_chain.close(); channel_key.close(); file_certificate.close(); file_chain.close(); file_key.close(); } catch (IOException ex) { throw ex; }
// Create a request object and set the parameters. ImportCertificateRequest req = new ImportCertificateRequest(); req.setCertificate(buf_certificate); req.setCertificateChain(buf_chain); req.setPrivateKey(buf_key);
// Import the certificate. ImportCertificateResult result = null; try { result = client.importCertificate(req); } catch(LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }
// Clear the buffers. buf_certificate.clear(); buf_chain.clear(); buf_key.clear();
// Retrieve and display the certificate ARN. String arn = result.getCertificateArn();
Version 1.095
AWS Certificate Manager Manuel de l'utilisateurListCertificates
System.out.println(arn); }}
Liste des certificatsL'exemple suivant montre comment utiliser la fonction ListCertificates.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListCertificatesRequest;import com.amazonaws.services.certificatemanager.model.ListCertificatesResult;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import com.amazonaws.AmazonClientException;
import java.util.Arrays;import java.util.List;
/** * This sample demonstrates how to use the ListCertificates function in the AWS Certificate * Manager service. * * Input parameters: * CertificateStatuses - An array of strings that contains the statuses to use for filtering. * MaxItems - The maximum number of certificates to return in the response. * NextToken - Use when paginating results. * * Output parameters: * CertificateSummaryList - A list of certificates. * NextToken - Use to show additional results when paginating a truncated list. * */
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception{
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
Version 1.096
AWS Certificate Manager Manuel de l'utilisateurRenewCertificate
// Create a request object and set the parameters. ListCertificatesRequest req = new ListCertificatesRequest(); List<String> Statuses = Arrays.asList("ISSUED", "EXPIRED", "PENDING_VALIDATION", "FAILED"); req.setCertificateStatuses(Statuses); req.setMaxItems(10);
// Retrieve the list of certificates. ListCertificatesResult result = null; try { result = client.listCertificates(req); } catch (Exception ex) { throw ex; }
// Display the certificate list. System.out.println(result); }}
L'exemple précédent crée une sortie similaire à ce qui suit :
{ CertificateSummaryList: [{ CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example1.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example2.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example3.com }]}
Renouvellement d'un certificatL'exemple suivant illustre comment utiliser la fonction RenewCertificate. La fonction renouvelle un certificatprivé émis par une autorité de certification (CA) privée et exporté avec la fonction ExportCertificate.À l'heure actuelle, seuls les certificats privé exportés peuvent être renouvelés avec cette fonction.Pour renouveler vos certificats ACM PCA avec ACM, vous devez d'abord accorder les autorisationsappropriées au mandataire du service ACM. Pour plus d'informations, consultez la section relative à l'octroid'autorisations de renouvellement de certificats à ACM.
package com.amazonaws.samples;
import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
Version 1.097
AWS Certificate Manager Manuel de l'utilisateurRenewCertificate
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;
import com.amazonaws.services.certificatemanager.model.RenewCertificateRequest;import com.amazonaws.services.certificatemanager.model.RenewCertificateResult;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.ValidationException;
import java.io.FileNotFoundException;import java.io.IOException;import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;
public class RenewCertificate {
public static void main(String[] args) throws Exception {
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.your_region) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Create a request object and specify the ARN of the certificate to renew. RenewCertificateRequest req = new RenewCertificateRequest(); req.withCertificateArn("arn:aws:acm:region:account:" +"certificate/M12345678-1234-1234-1234-123456789012");
// Renew the certificate. RenewCertificateResult result = null; try { result = client.renewCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (ValidationException ex) { throw ex; }
// Display the result. System.out.println(result); }
Version 1.098
AWS Certificate Manager Manuel de l'utilisateurListTagsForCertificate
}
Affichage d'une liste de balises de certificatL'exemple suivant montre comment utiliser la fonction ListTagsForCertificate.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateRequest;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateResult;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.regions.Regions;
/** * This sample demonstrates how to use the ListTagsForCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate whose tags you want to list. **/
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception{
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Create a request object and specify the ARN of the certificate. ListTagsForCertificateRequest req = new ListTagsForCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");
// Create a result object. ListTagsForCertificateResult result = null;
Version 1.099
AWS Certificate Manager Manuel de l'utilisateurRemoveTagsFromCertificate
try { result = client.listTagsForCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(ResourceNotFoundException ex) { throw ex; }
// Display the result. System.out.println(result);
}}
L'exemple précédent crée une sortie similaire à ce qui suit :
{Tags: [{Key: Purpose,Value: Test}, {Key: Short_Name,Value: My_Cert}]}
Suppression de balises dans un certificatL'exemple suivant montre comment utiliser la fonction RemoveTagsFromCertificate.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateRequest;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateResult;import com.amazonaws.services.certificatemanager.model.Tag;
import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import java.util.ArrayList;
/** * This sample demonstrates how to use the RemoveTagsFromCertificate function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - The ARN of the certificate from which you want to remove one or more tags. * Tags - A collection of key-value pairs that specify which tags to remove. **/
public class AWSCertificateManagerExample {
public static void main(String[] args) throws Exception {
Version 1.0100
AWS Certificate Manager Manuel de l'utilisateurRemoveTagsFromCertificate
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Specify the tags to remove. Tag tag1 = new Tag(); tag1.setKey("Short_Name"); tag1.setValue("My_Cert");
Tag tag2 = new Tag() .withKey("Purpose") .withValue("Test");
// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);
// Create a request object. RemoveTagsFromCertificateRequest req = new RemoveTagsFromCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setTags(tags);
// Create a result object. RemoveTagsFromCertificateResult result = null; try { result = client.removeTagsFromCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(InvalidTagException ex) { throw ex; } catch(ResourceNotFoundException ex) { throw ex; }
// Display the result. System.out.println(result); }}
Version 1.0101
AWS Certificate Manager Manuel de l'utilisateurRequestCertificate
Demande de certificatL'exemple suivant illustre comment utiliser la fonction DeleteCertificate.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RequestCertificateRequest;import com.amazonaws.services.certificatemanager.model.RequestCertificateResult;
import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
import java.util.ArrayList;
/** * This sample demonstrates how to use the RequestCertificate function in the AWS Certificate * Manager service. * * Input parameters: * DomainName - FQDN of your site. * DomainValidationOptions - Domain name for email validation. * IdempotencyToken - Distinguishes between calls to RequestCertificate. * SubjectAlternativeNames - Additional FQDNs for the subject alternative names extension. * * Output parameter: * Certificate ARN - The Amazon Resource Name (ARN) of the certificate you requested. **/
public class AWSCertificateManagerExample {
public static void main(String[] args) {
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Specify a SAN. ArrayList<String> san = new ArrayList<String>(); san.add("www.example.com");
Version 1.0102
AWS Certificate Manager Manuel de l'utilisateurResendValidationEmail
// Create a request object and set the input parameters. RequestCertificateRequest req = new RequestCertificateRequest(); req.setDomainName("example.com"); req.setIdempotencyToken("1Aq25pTy"); req.setSubjectAlternativeNames(san);
// Create a result object and display the certificate ARN. RequestCertificateResult result = null; try { result = client.requestCertificate(req); } catch(InvalidDomainValidationOptionsException ex) { throw ex; } catch(LimitExceededException ex) { throw ex; }
// Display the ARN. System.out.println(result);
}
}
L'exemple précédent crée une sortie similaire à ce qui suit :
{CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012}
Renvoi d'un e-mail de validationL'exemple suivant montre comment utiliser la fonction ResendValidationEmail.
package com.amazonaws.samples;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ResendValidationEmailRequest;import com.amazonaws.services.certificatemanager.model.ResendValidationEmailResult;
import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.InvalidStateException;import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;
/** * This sample demonstrates how to use the ResendValidationEmail function in the AWS Certificate
Version 1.0103
AWS Certificate Manager Manuel de l'utilisateurResendValidationEmail
* Manager service. * * Input parameters: * CertificateArn - Amazon Resource Name (ARN) of the certificate request. * Domain - FQDN in the certificate request. * ValidationDomain - The base validation domain that is used to send email. **/
public class AWSCertificateManagerExample {
public static void main(String[] args) {
// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }
// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();
// Create a request object and set the input parameters. ResendValidationEmailRequest req = new ResendValidationEmailRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setDomain("gregpe.io"); req.setValidationDomain("gregpe.io");
// Create a result object. ResendValidationEmailResult result = null; try { result = client.resendValidationEmail(req); } catch(ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidDomainValidationOptionsException ex) { throw ex; }
// Display the result. System.out.println(result.toString());
}}
Version 1.0104
AWS Certificate Manager Manuel de l'utilisateurResendValidationEmail
L'exemple précédent renvoie votre e-mail de validation et affiche un ensemble vide.
{}
Version 1.0105
AWS Certificate Manager Manuel de l'utilisateurDemandes de certificats
TroubleshootingSi vous rencontrez des problèmes lors de l'utilisation d'AWS Certificate Manager, consultez les rubriquessuivantes.
Note
Si vous ne voyez pas votre problème abordé dans cette section, nous vous recommandons deconsulter le Centre de connaissances AWS.
Rubriques• Dépannage des demandes de certificat (p. 106)• Dépannage de la validation des certificats (p. 108)• Dépannage du renouvellement des certificats gérés (p. 114)• Dépannage d'autres problèmes (p. 119)• Gestion des exceptions (p. 3)
Dépannage des demandes de certificatConsultez les rubriques suivantes si vous rencontrez des problèmes lors d'une demande de certificat ACM.
Rubriques• Dépassement du délai d'attente de la demande de certificat (p. 106)• Échec de la demande de certificat (p. 106)
Dépassement du délai d'attente de la demande decertificatLes demandes de certificats ACM expirent si elles ne sont pas validées dans les 72 heures. Pour corrigerce problème, supprimez votre demande et choisissez Request a certificate pour recommencer. Pour deplus amples informations, veuillez consulter Utilisation de DNS pour valider la propriété du domaine (p. 52)ou Utilisation d'un e-mail pour valider la propriété du domaine (p. 56). Nous vous recommandons d'utiliserla validation DNS dans la mesure du possible.
Échec de la demande de certificatSi votre demande échoue, ACM et vous-même recevez l'un des messages d'erreur ci-dessous. Suivez lesétapes suggérées pour résoudre le problème. Vous ne pouvez pas soumettre à nouveau une demandede certificat ayant échoué. Une fois que vous avez résolu le problème, vous devez envoyer une nouvelledemande.
Rubriques• Message d'erreur : Aucun contact disponible (p. 107)
Version 1.0106
AWS Certificate Manager Manuel de l'utilisateurÉchec de la demande
• Message d'erreur : Domaine non autorisé (p. 107)• Message d'erreur : Vérification supplémentaire nécessaire (p. 107)• Message d'erreur : Domaine public non valide (p. 108)• Message d'erreur : Autre (p. 108)
Message d'erreur : Aucun contact disponibleVous avez choisi la validation par e-mail lors d'une demande de certificat, mais ACM n'a pas trouvéd'adresse e-mail à utiliser pour valider un ou plusieurs noms de domaine dans la demande. Pour résoudrece problème, vous pouvez procéder de l'une des manières suivantes :
• Vérifiez que vous avez une adresse e-mail de travail enregistrée dans WHOIS et que cette adresseapparaît lorsque vous effectuez une recherche WHOIS standard sur les noms de domaine figurant dansla demande de certificat. En général, vous utilisez pour cela votre registre de domaine.
• Vérifiez que votre domaine est configuré pour recevoir des e-mails. Le serveur de noms de votredomaine doit avoir un enregistrement MX pour permettre aux serveurs de messagerie d'ACM de savoiroù ils doivent envoyer l'e-mail de validation de domaine (p. 56).
L'une des tâches précédentes suffit pour résoudre ce problème. Il est inutile d'effectuer les deux. Une foisque vous avez résolu le problème, demandez un nouveau certificat.
Pour plus d'informations sur la façon de vous assurer que vous recevez les e-mails de validationde domaine provenant d'ACM, consultez (Facultatif) Configuration d'une adresse e-mail pour votredomaine (p. 41) ou Pas de réception d'e-mail de validation (p. 112). Si vous suivez ces étapes et quevous continuez à obtenir le message Aucun contact disponible, signalez le problème à AWS pour que nouspuissions l'examiner.
Message d'erreur : Domaine non autoriséUn ou plusieurs des noms de domaine de la demande de certificat ont été signalés comme domaineinapproprié par VirusTotal . Pour corriger le problème, essayez ce qui suit :
• Recherchez votre nom de domaine sur le VirusTotal site web. Si votre domaine est signalé commesuspect, consultez l'aide de Google pour les sites Web piratés afin de savoir ce que vous pouvez faire.
• Si vous pensez que le résultat est un faux positif, avertissez l'organisation qui signale le domaine.VirusTotalest un agrégat de plusieurs antivirus et analyseurs d'URL et ne peut pas supprimer sondomaine d'une liste noire elle-même.
Une fois que vous avez corrigé le problème et que le VirusTotal registre a été mis à jour, demandez unnouveau certificat.
Si vous voyez cette erreur et que votre domaine n'est pas inclus dans la VirusTotal liste, visitez le Centre AWS Support et créez une demande. Si vous n'avez pas de contrat d'assistance, envoyez un message auForum de discussion ACM.
Message d'erreur : Vérification supplémentaire nécessaireACM requiert davantage d'informations pour traiter cette demande de certificat. Cela peut se produireen tant que mesure de protection contre la fraude, par exemple lorsque le domaine se classe dansles 1 000 meilleurs sites Web d'Alexa. Pour fournir ces informations, utilisez le Centre de support pourcontacter AWS Support. Si vous n'avez pas de plan de support, publiez un nouveau fil de discussion dansle forum de discussion ACM.
Version 1.0107
AWS Certificate Manager Manuel de l'utilisateurValidation des certificats
Note
Vous ne pouvez pas demander un certificat pour des noms de domaine qui sont la propriétéd'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ouelasticbeanstalk.com.
Message d'erreur : Domaine public non valideUn ou plusieurs noms de domaine figurant dans la demande de certificat ne sont pas valides. En général,cela provient du fait qu'un nom de domaine figurant dans la demande ne correspond pas à un domainede niveau supérieur valide. Essayez de renouveler votre demande de certificat, en corrigeant les fautesd'orthographe ou de frappe qui existaient dans la demande qui a échoué, et assurez-vous que tous lesnoms de domaine figurant dans la demande correspondent à des domaines de niveau supérieur valides.Par exemple, vous ne pouvez pas demander un certificat ACM pour example.invalidpublicdomain, car« invalidpublicdomain » n'est pas un domaine de niveau supérieur valide. Si vous continuez à recevoir cemotif d'échec, contactez le Centre de Support. Si vous n'avez pas de plan de support, publiez un nouveaufil de discussion dans le forum de discussion ACM.
Message d'erreur : AutreEn règle générale, cet échec se produit lorsqu'un ou plusieurs noms de domaine figurant dans la demandede certificat contient une coquille. Essayez de renouveler votre demande de certificat en corrigeant lesfautes d'orthographe ou de frappe qui existaient dans la demande qui a échoué. Si vous continuez àrecevoir ce motif d'échec, utilisez le Centre de Support pour contacter AWS Support. Si vous n'avez pas deplan de support, publiez un nouveau fil de discussion dans le forum de discussion ACM.
Dépannage de la validation des certificatsSi l'état de la demande de certificat ACM est Validation en attente, la demande est en attente d'uneaction de votre part. Si vous avez choisi la validation par e-mail lorsque vous avez fait la demande, vousou un représentant autorisé devez répondre aux e-mails de validation. Ces messages ont été envoyésaux adresses des contacts WHOIS enregistrés et aux autres adresses électroniques courantes dudomaine demandé. Pour plus d’informations, consultez Utilisation d'un e-mail pour valider la propriété dudomaine (p. 56). Si vous avez choisi la validation DNS, vous devez écrire l'enregistrement CNAME créé parACM pour vous dans votre base de données DNS. Pour plus d’informations, consultez Utilisation de DNSpour valider la propriété du domaine (p. 52).
Important
Vous devez valider que vous possédez ou contrôlez chaque nom de domaine que vous avezinclus dans votre demande de certificat. Si vous avez choisi la validation par e-mail, vous recevrezdes e-mails de validation pour chaque domaine. Si ce n'est pas le cas, consultez Pas de réceptiond'e-mail de validation (p. 112). Si vous choisissez la validation DNS, vous devez créer unenregistrement CNAME pour chaque domaine.Note
Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour deplus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillezconsulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installerun serveur Web LAMP avec l'AMI Amazon Linux.
Nous vous recommandons d'utiliser la validation DNS plutôt que la validation par e-mail.
Consultez la rubrique suivante si vous rencontrez des problèmes liés à la validation DNS.
Rubriques
Version 1.0108
AWS Certificate Manager Manuel de l'utilisateurValidation DNS
• Résolution des problèmes liés à la validation DNS (p. 109)• Résolution des problèmes liés à la validation par e-mail (p. 111)
Résolution des problèmes liés à la validation DNSConsultez les conseils suivants si vous rencontrez des problèmes pour valider un certificat avec DNS.
Tip
La première étape du dépannage DNS consiste à vérifier l'état actuel de votre domaine à l'aided'outils tels que les suivants :
• dig — Linux, Windows• nslookup — Linux, Windows• whois — Linux, Windows
Rubriques• Dépannage des problèmes d'autorisation d'autorité de certification (CAA) (p. 109)• Traits de soulignement interdits par le fournisseur DNS (p. 109)• Période de fin par défaut ajoutée par le fournisseur DNS (p. 110)• Échec de la validation DNS surGoDaddy (p. 110)• Résolution des problèmes avec le domaine .IO (p. 110)• La console ACM n'affiche pas le bouton « Create record in (Créer un enregistrement dans
Route 53 » (p. 111)• Échec de la validation Route 53 sur les domaines privés (p. 111)
Dépannage des problèmes d'autorisation d'autorité decertification (CAA)Vous pouvez utiliser des enregistrements DNS de CAA pour spécifier que l'autorité de certification (CA)Amazon peut émettre des certificats ACM pour votre domaine ou sous-domaine. Si vous recevez uneerreur lors de l'émission de certificat indiquant La validation a échoué pour un ou plusieurs domaines enraison d'une erreur d'authentification d'autorité de certification (CAA), vérifiez vos enregistrements DNS deCAA. Si vous recevez cette erreur après que votre demande de certificat ACM a été validée avec succès,vous devez mettre à jour vos enregistrements CAA et demander à nouveau un certificat. Le champ devaleur d'au moins l'un de vos enregistrements CAA doit contenir l'un des noms de domaine suivants :
• amazon.com• amazontrust.com• awstrust.com• amazonaws.com
Si vous ne souhaitez pas qu'ACM effectue une vérification de CAA, ne configurez pas d'enregistrementCAA pour votre domaine ou laissez vos enregistrements CAA vides. Pour plus d'informations sur lacréation d'un enregistrement CAA, consultez (Facultatif) Configuration d'un enregistrement CAA (p. 43).
Traits de soulignement interdits par le fournisseur DNSSi votre fournisseur DNS interdit les traits de soulignement de début dans les valeurs CNAME, vouspouvez supprimer le trait de soulignement de la valeur fournie par ACM et valider ainsi votre domaine.
Version 1.0109
AWS Certificate Manager Manuel de l'utilisateurValidation DNS
Par exemple, la valeur CNAME _x2.acm-validations.aws peut être modifiée en x2.acm-validations.aws à des fins de validation. Toutefois, le paramètre de nom CNAME doit toujourscommencer par un trait de soulignement de début.
Vous pouvez utiliser une des valeurs figurant dans la partie droite du tableau ci-dessous pour valider undomaine.
Nom Tapez Value
_<valeuraléatoire>.example.com.
CNAME _<valeur aléatoire>.acm-validations.aws.
_<valeuraléatoire>.example.com.
CNAME <valeur aléatoire>.acm-validations.aws.
Période de fin par défaut ajoutée par le fournisseur DNSCertains fournisseurs DNS ajoutent par défaut une période de fin à la valeur CNAME que vousfournissez. Par conséquent, l'ajout de la période vous-même provoque une erreur. Par exemple, «<random_value>.acm-validations.aws. » est rejeté tandis que « <random_value>.acm-validations.aws » est accepté.
Échec de la validation DNS surGoDaddyLa validation DNS pour les domaines enregistrés auprès de Godaddy et autres registres peut échouer saufsi vous modifiez les valeurs CNAME fournies par ACM. Prenant example.com comme nom de domaine,l'enregistrement CNAME émis a la forme suivante :
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
Vous pouvez créer un enregistrement CNAME compatible avec GoDaddy en tronquant le domaine apex (ycompris le point) à la fin du champ NAME, comme suit :
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
Résolution des problèmes avec le domaine .IOLe domaine .IO est attribué au Territoire Britannique de l'Océan Indien. Actuellement, le registre desdomaines n'affiche pas vos informations publiques provenant de la base de données WHOIS. Cecidemeure vrai, que vous disposiez d'un service de protection de la vie privée activé ou désactivé.Lorsqu'une recherche WHOIS est effectuée, seules des informations d'enregistrement brouillées sontrenvoyées. Par conséquent, ACM ne peut pas envoyer d'e-mail de validation aux trois adresses de contactenregistrées suivantes qui sont habituellement disponibles dans WHOIS.
• Inscrit du domaine• Contact technique• Contact administratif
ACMToutefois, envoie un e-mail de validation aux cinq adresses système courantes suivantes oùyour_domain est le nom de domaine que vous avez entré lorsque vous avez demandé initialement uncertificat. .io Il s'agit du domaine de premier niveau.
Version 1.0110
AWS Certificate Manager Manuel de l'utilisateurValidation par e-mail
• administrator@your_domain.io• hostmaster@your_domain.io• postmaster@your_domain.io• webmaster@your_domain.io• admin@your_domain.io
Pour recevoir un e-mail de validation pour un domaine .IO, vérifiez que l'un de vos cinq comptes demessagerie ci-dessus est activé. Sinon, vous ne recevrez pas d'e-mail de validation et aucun certificat ACMne vous sera délivré.
Note
Nous vous recommandons d'utiliser la validation DNS plutôt que la validation par e-mail. Pour plusd’informations, consultez Utilisation de DNS pour valider la propriété du domaine (p. 52).
La console ACM n'affiche pas le bouton « Create record in (Créerun enregistrement dans Route 53 »Si vous sélectionnez Amazon Route 53 comme votre fournisseur DNS, AWS Certificate Manager peutinteragir directement avec lui pour valider la propriété du domaine. Dans certains cas, le bouton Createrecord in (Créer un enregistrement dans) Route 53 peut ne pas être disponible lorsque vous l'attendez. Sicela se produit, passez en revue les causes possibles suivantes.
• Vous n'utilisez pas Route 53 comme votre fournisseur DNS.• Vous êtes connecté à ACM et Route 53 via différents comptes.• Vous manquez des autorisations IAM pour créer des enregistrements dans une zone hébergée par
Route 53.• Vous ou quelqu'un d'autre a déjà validé le domaine.• Le domaine n'est pas accessible publiquement.
Échec de la validation Route 53 sur les domaines privésRoute 53 est exclusivement un service DNS public. Vous ne pouvez pas l'utiliser pour héberger desenregistrements DNS pour des domaines privés, tels que ceux pris en charge par ACM Private CA. Lors dela validation DNS, ACM recherche un CNAME dans une zone hébergée publiquement. Lorsqu'il n'en trouvepas, il expire au bout de 72 heures avec le statut Validation timed out (Validation expirée).
Résolution des problèmes liés à la validation par e-mailConsultez les conseils suivants si vous rencontrez des problèmes pour valider un certificat par e-mail.
Rubriques• Pas de réception d'e-mail de validation (p. 112)• E-mail envoyé au sous-domaine (p. 113)• Informations de contact masquées (p. 114)• Renouvellement de certificats (p. 114)• Limitation WHOIS (p. 114)
Version 1.0111
AWS Certificate Manager Manuel de l'utilisateurValidation par e-mail
Pas de réception d'e-mail de validationLorsque vous demandez un certificat à ACM et que vous choisissez la validation par e-mail, l'e-mailde validation de domaine est envoyé aux trois adresses de contact spécifiées dans WHOIS et à cinqadresses administratives courantes. Pour plus d’informations, consultez Utilisation d'un e-mail pour validerla propriété du domaine (p. 56). Si vous rencontrez des problèmes de réception d'e-mail de validation,consultez les suggestions qui suivent.
Où chercher l'e-mail
L'e-mail de validation est envoyé aux adresses de contact répertoriées dans WHOIS et aux adressesadministratives courantes du domaine. L'e-mail n'est pas envoyé au propriétaire du compte AWS, saufsi le propriétaire est également répertorié comme contact du domaine dans WHOIS. Consultez la listedes adresses e-mail qui s'affichent dans la console ACM (ou qui sont retournées par la CLI ou l'API)pour déterminer où vous devez rechercher l'e-mail de validation. Pour consulter la liste, cliquez surl'icône en regard du nom de domaine dans la case Validation not complete.
L'e-mail est marqué comme courrier indésirable
Recherchez l'e-mail de validation dans votre dossier Courrier indésirable.trie GMail automatiquement votre e-mail
Si vous utilisez GMail , l'e-mail de validation peut avoir été automatiquement trié dans les onglets Updates ou Promotions.
Le registre de domaine n'affiche pas d'informations sur le contact ou la protection de la confidentialité estactivée
Dans certains cas, l'inscrit du domaine, les contacts techniques et administratifs dans WHOIS nesont peut-être pas disponibles publiquement, et AWS ne peut donc pas joindre ces contacts. Vouspouvez choisir de configurer votre registre pour qu'il répertorie votre adresse e-mail dans WHOIS,mais les registres ne prennent pas tous cette option en charge. Vous pouvez être contraint d'apporterla modification directement dans le registre de votre domaine. Dans d'autres cas, les informationsde contact du domaine utilisent peut-être une adresse confidentielle, comme celles fournies viaWhoisGuard ou PrivacyGuard .
Pour les domaines achetés au service Route 53, la protection de la confidentialité est activée pardéfaut et votre adresse e-mail est mappée à une adresse e-mail whoisprivacyservice.org oucontact.gandi.net. Vérifiez que votre adresse e-mail d'inscrit figurant dans le fichier avec votreregistre de domaine est à jour afin que l'e-mail envoyé à ces adresses e-mail masquées puisse êtreenvoyé à une adresse e-mail que vous contrôlez.
Note
La protection de la confidentialité pour certains domaines que vous achetez avec Route 53est activée même si vous choisissez de rendre vos informations de contact publiques. Parexemple, la protection de la confidentialité pour le domaine de niveau supérieur .ca ne peutpas être désactivée par programmation par Route 53. Vous devez contacter l'AWS SupportCenter pour lui demander de désactiver la protection de la confidentialité.
Si les coordonnées du contact d'e-mail pour votre domaine ne sont pas disponibles via WHOISou que l'e-mail envoyé aux coordonnées du contact n'atteint pas le propriétaire du domaine ou unreprésentant autorisé, nous vous recommandons de configurer votre domaine ou sous-domainepour recevoir l'e-mail envoyé à une ou plusieurs adresses administratives courantes comprenant lepréfixe admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domainedemandé. Pour plus d'informations sur la configuration d'un d'e-mail pour votre domaine, consultez ladocumentation de votre fournisseur de services de messagerie et suivez les instructions indiquées àl'adresse (Facultatif) Configuration d'une adresse e-mail pour votre domaine (p. 41). Si vous utilisez
Version 1.0112
AWS Certificate Manager Manuel de l'utilisateurValidation par e-mail
Amazon WorkMail, consultez Utilisation des utilisateurs dans le Guide de l'administrateur AmazonWorkMail.
Après voir mis à disposition au moins une des huit adresses e-mail auxquelles AWS envoie un e-mailde validation et avoir confirmé que vous pouvez recevoir un e-mail pour cette adresse, vous êtes prêtà demander un certificat via ACM. Une fois que vous avez créé une demande de certificat, vérifiez quel'adresse e-mail prévue s'affiche dans la liste des adresses e-mail dans AWS Management Console.Pendant que le certificat a l'état Validation en attente, vous pouvez développer la liste pour l'afficheren cliquant sur l'icône en regard du nom de domaine dans la case Validation non terminée. Vouspouvez également afficher la liste à l'étape 3 : Valide de l'ACMassistant Demander un certificat. Lesadresses e-mail répertoriées sont celles auxquelles l'e-mail a été envoyé.
Enregistrements MX manquants ou configurés de façon incorrecte
Un enregistrement MX est un enregistrement de ressource situé dans la base de données du systèmede noms de domaine (DNS), qui spécifie un ou plusieurs serveurs de messagerie qui acceptent lese-mails pour votre domaine. Si votre enregistrement MX est manquant ou mal configuré, aucun e-mail ne peut être envoyé à l'une des cinq adresses d'administration système courantes spécifiées àla section Utilisation d'un e-mail pour valider la propriété du domaine (p. 56). Corrigez ce problèmed'enregistrement MX manquant ou mal configuré et essayez de renvoyer l'e-mail ou de redemandervotre certificat.
Note
Actuellement, nous vous recommandons de patienter au moins une heure avant d'essayer derenvoyer l'e-mail ou de demander votre certificat.
Note
Pour éviter de demander un enregistrement MX, vous pouvez utiliserl'ValidationDomainoption de lRequestCertificate'API ou la commande AWS CLI request-certificate pour spécifier le nom de domaine auquel ACM envoie les e-mails de validation. Sivous utilisez l'API ou l'AWS CLI, AWS n'effectue pas de recherche MX.
Contacter le Centre de support
Si, après avoir consulté les conseils précédents, vous ne recevez toujours pas l'e-mail de validation dedomaine, accédez au Centre de support AWS Support et créez une demande. Si vous n'avez pas decontrat d'assistance, envoyez un message au Forum de discussion ACM.
E-mail envoyé au sous-domaineSi vous utilisez la console et demandez un certificat pour un nom de sous-domaine commesub.test.example.com , ACM vérifie s'il existe un enregistrement MX pour sub.test.example.com. Dans le cas contraire, le domaine parent test.example.com est vérifié, et ainsi de suite, jusqu'audomaine de baseexample.com. Si un enregistrement MX est trouvé, la recherche s'arrête et un e-mail de validation est envoyé aux adresses administratives courantes du sous-domaine. Ainsi, parexemple, si un enregistrement MX est trouvé pour test.example.com, un e-mail est envoyé à[email protected], [email protected] et aux autres adresses administrativesspécifiées dans Utilisation d'un e-mail pour valider la propriété du domaine (p. 56). Si aucun enregistrementMX n'est trouvé dans tous les sous-domaines, un e-mail est envoyé au sous-domaine pour lequel vousavez initialement demandé le certificat. Pour une discussion approfondie sur la manière de configurer votree-mail et sur le fonctionnement d'ACM avec DNS et la base de données WHOIS, consultez (Facultatif)Configuration d'une adresse e-mail pour votre domaine (p. 41).
Au lieu d'utiliser la console, vous pouvez utiliser l'ValidationDomainoption de lRequestCertificate'APIou la commande AWS CLI request-certificate pour spécifier le nom de domaine auquel ACM envoie les e-mails de validation. Si vous utilisez l'API ou l'AWS CLI, AWS n'effectue pas de recherche MX.
Version 1.0113
AWS Certificate Manager Manuel de l'utilisateurRenouvellement des certificats
Informations de contact masquéesUn problème fréquent survient lorsque vous tentez de créer un nouveau certificat. Certains registres vouspermettent de masquer vos informations de contact dans votre liste WHOIS. D'autres vous permettent deremplacer vos adresses de messagerie réelles par une adresse privée (ou proxy). Cela vous empêche derecevoir un e-mail de validation à vos adresses de contact enregistrées.
Pour recevoir l'e-mail, vérifiez que vos informations de contact sont publiques dans WHOIS, ou si votreliste WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette adresseest transmis à votre adresse e-mail réelle. Une fois que votre configuration WHOIS est complète et aussilongtemps que votre demande de certificat n'a pas expiré, vous pouvez choisir de renvoyer l'e-mail devalidation. ACM effectue une nouvelle recherche WHOIS/MX et envoie un e-mail de validation à votreadresse de contact publique.
Renouvellement de certificatsSi vous avez rendu vos informations WHOIS publiques lorsque vous avez demandé un nouveau certificat,puis masqué vos informations par la suite, ACM ne peut pas extraire vos adresses de contact inscriteslorsque vous tentez de renouveler votre certificat. ACM envoie un e-mail de validation à ces adressesde contact et aux cinq adresses administratives courantes formées à l'aide de votre enregistrement MX.Pour résoudre ce problème, rendez à nouveau vos informations WHOIS publiques et renvoyez les e-mailsde validation. ACM effectue une nouvelle recherche WHOIS/MX et envoie un e-mail de validation à vosadresses de contact publiques.
Limitation WHOISIl peut arriver qu'ACM soit incapable de contacter le serveur WHOIS alors que vous avez envoyé plusieursrequêtes d'un e-mail de validation. Ce problème est externe à AWS. Cela signifie qu'AWS ne contrôlepas les serveurs WHOIS et ne peut pas empêcher la limitation du serveur WHOIS. Si vous rencontrez ceproblème, créez une demande auprès du Centre AWS Support qui vous aidera à le contourner.
Dépannage du renouvellement des certificats gérésACM essaie de renouveler automatiquement vos certificats ACM avant qu'ils n'expirent, afin qu'aucuneaction ne soit requise de votre part. Si vous rencontrez des problèmes liés au Renouvellement géré pourles certificats émis par Amazon d'ACM (p. 67), consultez les rubriques suivantes.
Préparation de la validation automatique de domaineAvant qu'ACM ne puisse renouveler automatiquement vos certificats, procédez comme suit :
• Votre certificat doit être associé à un service AWS intégré à ACM. Pour en savoir plus sur les ressourcesprises en charge par ACM, consultez Services intégrés à AWS Certificate Manager (p. 4).
• ACM doit être en mesure de valider chaque nom de domaine répertorié dans votre certificat.
Pour les certificats validés par e-mail :
Configurez la ressource AWS disposant de votre certificat ACM pour accepter les demandes HTTPSà partir d'Internet. Veillez à ce que les demandes HTTPS de noms de domaine contenus dans votrecertificat soient acheminés vers la ressource qui possède votre certificat.
Pour les certificats validés par DNS :
Assurez-vous que votre configuration DNS contient les enregistrements CNAME corrects.
Version 1.0114
AWS Certificate Manager Manuel de l'utilisateurTraitement des échecs de
renouvellement géré des certificats
Traitement des échecs de renouvellement géré descertificatsLorsqu'un certificat est à 60 jours de sa date d'expiration, ACM tente de le renouveler automatiquementtoutes les heures. Si ACM ne peut pas renouveler le certificat après 15 jours, vous recevrez un e-mail avec des instructions supplémentaires indiquant comment corriger manuellement le problème derenouvellement. Ce processus varie selon la façon dont le certificat a été validé initialement.
Renouvellement géré des certificats pour les certificats validéspar e-mailLes certificats validés par e-mail nécessitent une validation de domaine tous les 825 jours. Pourprocéder au renouvellement, ACM envoie un e-mail pour chaque nom de domaine restant à l'étatPENDING_VALIDATION. Le propriétaire du domaine ou un représentant autorisé doit agir pour validerchaque nom de domaine dont la validation a échoué. Consultez Valider par e-mail (p. 56) pour obtenirdes instructions sur l'identification des domaines qui sont à l'état PENDING_VALIDATION et répétez leprocessus de validation pour ces domaines.
Renouvellement géré des certificats pour les certificats validéspar DNSACM ne tente pas de validation TLS pour les certificats validés par DNS. Si ACM ne peut pasrenouveler un certificat que vous avez validé avec une validation DNS, c'est très probablement dû àdes enregistrements CNAME manquants ou inexacts dans votre configuration DNS. Si cela se produit,ACM vous informe que le certificat n'a pas pu être renouvelé automatiquement. Vous devez insérer lesenregistrements CNAME corrects dans votre base de données DNS. Vous trouverez les enregistrementsCNAME pour vos domaines en développant votre certificat et ses entrées de domaine dans la consoleACM. Consultez les figures ci-dessous pour plus de détails. Vous pouvez également extraire desenregistrements CNAME à l'aide de l'DescribeCertificateopération de lACM'API ou de la commande describe-certificate de l'ACMinterface de ligne de commande. Pour plus d’informations, consultez Utilisationde DNS pour valider la propriété du domaine (p. 52).
Version 1.0115
AWS Certificate Manager Manuel de l'utilisateurTraitement des échecs de
renouvellement géré des certificats
Version 1.0116
AWS Certificate Manager Manuel de l'utilisateurTraitement des échecs de
renouvellement géré des certificats
Choisissez le certificat cible à partir de la console.
Version 1.0117
AWS Certificate Manager Manuel de l'utilisateurTraitement des échecs de
renouvellement géré des certificats
Version 1.0118
AWS Certificate Manager Manuel de l'utilisateurDépannage d'autres problèmes
Développez la fenêtre de certificat pour trouver les informations CNAME du certificat.
Si le problème persiste, contactez le Centre de support.
Présentation des délais de renouvellementRenouvellement géré pour les certificats émis par Amazon d'ACM (p. 67) est un processus asynchrone.Cela signifie que les étapes ne se succèdent pas immédiatement. Lorsque tous les noms de domaine d'uncertificat ACM ont été validés, un délai est possible avant qu'ACM n'obtienne le nouveau certificat. Il peuty avoir un délai supplémentaire entre le moment où ACM obtient le certificat renouvelé et le moment où cedernier est déployé pour les ressources AWS qui l'utilisent. Par conséquent, l'affichage des modificationsapportées à l'état du certificat dans la console peut prendre jusqu'à plusieurs heures.
Dépannage d'autres problèmesCette section contient des directives sur les problèmes qui ne sont pas liés à la délivrance ou à la validationdes certificats ACM.
Rubriques• Résolution des problèmes liés à l'importation d'un certificat (p. 119)• Résolution des problèmes liés à l'épinglage de certificat (p. 120)• Résolution des problèmes API Gateway (p. 120)• Que faire lorsqu'un certificat de travail échoue de manière inattendue (p. 120)• Problèmes liés au rôle lié à un ACM service (Service-Linked Role, SLR) (p. 121)
Résolution des problèmes liés à l'importation d'uncertificatVous pouvez importer des certificats tiers dans ACM et les associer à des services intégrés. Si vousrencontrez des problèmes, passez en revue les rubriques consacrées aux prérequis et aux formats decertificats. Notez en particulier les éléments suivants :
• Vous pouvez importer uniquement les certificats SSL/TLS X.509 version 3.• Votre certificat peut être auto-–signé ou signé par une autorité de certification (CA).• Si votre certificat est signé par une autorité de certification, vous devez inclure une chaîne de certificats
intermédiaire qui fournit un chemin d'accès à la racine de l'autorité.• Si votre certificat est auto-signé, vous devrez peut-être inclure une chaîne de certificats intermédiaire et
vous devrez inclure la clé secrète.• Chaque certificat de la chaîne doit directement certifier celui qui le précède.• N'incluez pas votre certificat d'entité finale dans la chaîne de certificats intermédiaire.• Votre certificat, votre chaîne de certificats et votre clé privée (le cas échéant) doivent être codés PEM.• Votre clé privée (le cas échéant) ne doit pas être chiffrée.• Les services intégrés à ACM doivent utiliser des algorithmes et des tailles de clé pris en charge par ACM.
Consultez le AWS Certificate Manager Guide de l'utilisateur et la documentation de chaque service afinde vous assurer que votre certificat fonctionnera.
• La prise en charge des certificats par les services intégrés peut varier selon que le certificat est importédans IAM ou dans ACM.
• Le certificat doit être valide au moment de l'importation.
Version 1.0119
AWS Certificate Manager Manuel de l'utilisateurÉpinglage de certificat
• Les informations détaillées de l'ensemble de vos certificats sont affichées dans la console. Par défaut,toutefois, si vous appelez l'ListCertificatesAPI ou la commande AWS CLI list-certificates sans spécifierle keyTypes filtre, seuls les RSA_1024 certificats RSA_2048 ou sont affichés.
Résolution des problèmes liés à l'épinglage decertificatPour renouveler un certificat, ACM génère une nouvelle paire de clés publiques-privées. Si votreapplication utilise le processus Épinglage de certificat (p. 36), parfois appelé épinglage SSL, pour épinglerun certificat ACM, l'application ne pourra peut-être pas se connecter à votre domaine une fois qu'AWS aurarenouvelé le certificat. C'est pourquoi nous vous recommandons de ne pas épingler de certificat ACM. Sivotre application doit épingler un certificat, vous pouvez procéder comme suit :
• Importez votre propre certificat dans ACM (p. 74) et épinglez votre application au certificat importé. ACMne fournit pas de gestion de renouvellement pour les certificats importés.
• Si vous utilisez un certificat public, épinglez votre application à tous les certificats racine Amazondisponibles. Si vous utilisez un certificat privé, épinglez votre application au certificat racine de votre CA.
Résolution des problèmes API GatewayLorsque vous déployez un point de terminaison d'API optimisé pour les périphériques, API Gatewayconfigure automatiquement une distribution CloudFront. La distribution CloudFront appartient à APIGateway, pas à votre compte. La distribution est liée au certificat ACM que vous avez utilisé lors dudéploiement de votre API. Pour supprimer la liaison et autoriser ACM à supprimer votre certificat, vousdevez supprimer le domaine personnalisé API Gateway qui est associé au certificat.
Lorsque vous déployez un point de terminaison d'API régional, API Gateway crée un équilibreur de charged'application (ALB) en votre nom. L'équilibreur de charge appartient à API Gateway et n'est pas visiblepour vous. L'ALB est lié au certificat ACM que vous avez utilisé lors du déploiement de votre API. Poursupprimer la liaison et autoriser ACM à supprimer votre certificat, vous devez supprimer le domainepersonnalisé API Gateway qui est associé au certificat.
Que faire lorsqu'un certificat de travail échoue demanière inattendueSi vous avez associé avec succès un ACM certificat à un service intégré, mais que le certificat cesse defonctionner et que le service intégré commence à renvoyer des erreurs, la cause peut être une modificationdes autorisations dont le service a besoin pour utiliser un ACM certificat .
Par exemple, Elastic Load Balancing (ELB) nécessite l'autorisation de déchiffrer une clé gérée par AWSKMS le client (CMK) qui, à son tour, déchiffre la clé privée du certificat. Cette autorisation est accordée parune stratégie basée sur les ressources qui ACM s'applique lorsque vous associez un certificat à ELB. SiELB perd l'octroi pour cette autorisation, il échouera la prochaine fois qu'il tentera de déchiffrer la clé decertificat.
Pour examiner le problème, vérifiez l'état de vos octrois à l'aide de la AWS KMS console à l'adresse https://console.aws.amazon.com/kms . Ensuite, effectuez l'une des actions suivantes :
• Si vous pensez que les autorisations accordées à un service intégré ont été révoquées, consultezla console du service intégré, dissociez le certificat du service, puis associez-le à nouveau. Celaréappliquera la stratégie basée sur les ressources et mettra un nouvel octroi en place.
• Si vous pensez que les autorisations accordées à ACM ont été révoquées, contactez AWSSupport .https://console.aws.amazon.com/support/home#/
Version 1.0120
AWS Certificate Manager Manuel de l'utilisateurProblèmes liés au rôle lié à un ACMservice (Service-Linked Role, SLR)
Problèmes liés au rôle lié à un ACM service (Service-Linked Role, SLR)Lorsque vous émettez un certificat signé par une autorité de certification privée qui a été partagé avecvous par un autre compte, ACM tente d'abord d'utiliser pour configurer un rôle lié à un service (SLR) afind'interagir en tant que mandataire avec une stratégie d'accès basée sur les ACM Private CA ressources.Si vous émettez un certificat privé à partir d'une autorité de certification partagée et que le SLR n'est pas enplace, ne ACM sera pas en mesure de renouveler automatiquement ce certificat pour vous.
ACM peut afficher une alerte s'il ne parvient pas à déterminer si un SLR existe sur votre compte. Sil'autorisation iam:GetRole requise a déjà été accordée au ACM SLR pour votre compte, l'alerte ne sereproduira pas après la création du SLR. Si cela se produit, vous ou l'administrateur de votre comptedevrez peut-être accorder l'autorisation iam:GetRole à ACM ou associer votre compte à la stratégieAWSCertificateManagerFullAccess gérée par ACM.
Pour de plus amples informations, veuillez consulter Autorisations de rôles liés à un service dans le IAMGuide de l'utilisateur.
Gestion des exceptionsUne commande AWS Certificate Manager peut échouer pour plusieurs raisons. Pour de plus amplesinformations sur chaque exception, veuillez consulter le tableau ci-dessous.
Gestion des exceptions de certificat privéLes exceptions suivantes peuvent se produire lorsque vous tentez de renouveler un certificat PKI privédélivré par ACM Private CA.
Code d'échec ACM Commentaire
PCA_ACCESS_DENIED L'autorité de certification privée n'a pas accordéd'autorisations ACM. Cela déclenche un coded'échec PCA AccessDeniedException.
Pour résoudre le problème, accordez lesautorisations nécessaires au mandataire du ACMservice à l'aide de l'CreatePermissionopérationPCA.
PCA_INVALID_DURATION La période de validité du certificat demandédépasse la période de validité de l'autorité decertification privée émettrice. Cela déclenche uncode d'échec PCA ValidationException.
Pour résoudre le problème, installez un nouveaucertificat d'autorité de certification avec une périodede validité appropriée.
PCA_INVALID_STATE L'autorité de certification privée appelée n'est pasdans l'état correct pour effectuer l'opération ACMdemandée. Cela déclenche un code d'échec PCAInvalidStateException.
Résolvez le problème comme suit :
Version 1.0121
AWS Certificate Manager Manuel de l'utilisateurGestion des exceptions de certificat privé
Code d'échec ACM Commentaire• Si l'autorité de certification a le statut CREATING,
attendez que la création se termine, puisinstallez le certificat de l'autorité de certification.
• Si l'autorité de certification a le statutPENDING_CERTIFICATE, installez le certificatde l'autorité de certification.
• Si l'autorité de certification a un statutDISABLED, mettez-le à jour en lui attribuant l'étatACTIVE.
• Si l'autorité de certification a un statut DELETED,restaurez-le.
• Si l'autorité de certification a un statut EXPIRED,installez un nouveau certificat
• Si l'autorité de certification a un statut FAILED, etque vous ne pouvez pas résoudre le problème,contactez AWS Support.
PCA_LIMIT_EXCEEDED L'autorité de certification privée a atteint un quotad'émission. Cela déclenche un code d'échec PCALimitExceededException. Essayez de répétervotre demande avant de continuer avec cette aide.
Si l'erreur persiste, contactez AWS Support pourdemander une augmentation du quota.
PCA_REQUEST_FAILED Une erreur réseau ou système s'est produite.Cela déclenche un code d'échec PCARequestFailedException. Essayez de répétervotre demande avant de continuer avec cette aide.
Si vous obtenez toujours la même erreur, contactezAWS Support.
PCA_RESOURCE_NOT_FOUND L'autorité de certification privée a été définitivementsupprimée. Cela déclenche un code d'échec PCAResourceNotFoundException. Vérifiez quevous avez utilisé l'ARN correct. Si cela échoue,vous ne pourrez pas utiliser cette autorité decertification.
Pour remédier au problème, créez une nouvelleautorité de certification.
SLR_NOT_FOUND Afin de renouveler un certificat signé par uneautorité de certification privée qui réside dansun autre compte, ACM nécessite un rôle lié à unservice (Service Linked Role, SLR) sur le compteoù réside le certificat. Si vous devez recréer unSLR supprimé, consultez Création du rôle SLRpourACM (p. 19) .
Version 1.0122
AWS Certificate Manager Manuel de l'utilisateurCertificat ACM
ConceptsCette section fournit les définitions des concepts utilisés par AWS Certificate Manager.
Rubriques• Certificat ACM (p. 123)• Autorités de certification racine ACM (p. 125)• Domaine apex (p. 125)• Chiffrement à clé asymétrique (p. 125)• Autorité de certification (p. 125)• Journalisation de transparence des certificats (p. 125)• Système de noms de domaine (p. 126)• Noms de domaine (p. 126)• Chiffrement et déchiffrement (p. 127)• Nom de domaine complet (FQDN) (p. 128)• Infrastructure à clés publiques (ICP) (p. 128)• Certificat racine (p. 128)• Secure Sockets Layer (SSL) (p. 128)• HTTPS sécurisé (p. 128)• Certificats de serveur SSL (p. 128)• Chiffrement à clé symétrique (p. 129)• Transport Layer Security (TLS) (p. 129)• Trust (p. 129)
Certificat ACMACM génère des certificats X.509 version 3. Chaque est valide pour 13 mois (395 jours) et contient lespostes suivants.
• Contraintes élémentaires : indique si l'objet du certificat est une autorité de certification (CA)• Authority Key Identifier (Identifiant de clé d'autorité) : permet l'identification de la clé publique qui
correspond à la clé privée utilisée pour signer le certificat.• Subject Key Identifier (Identificateur de clé d'objet) : permet l'identification des certificats qui contiennent
une clé publique particulière.• Key Usage (Utilisation de la clé) : définit l'objectif de la clé publique intégrée dans le certificat.• Extended Key Usage (Utilisation étendue de la clé) : spécifie un ou plusieurs objectifs pour lesquels la clé
publique peut être utilisée en plus des objectifs spécifiés par l'extension Key Usage (Utilisation de la clé).• CRL Distribution Points (Points de distribution CRL) : indique où obtenir les informations CRL.
Le texte brut d'un certificat émis par ACM ressemble à l'exemple suivant :
Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA
Version 1.0123
AWS Certificate Manager Manuel de l'utilisateurCertificat ACM
Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl
Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5
Version 1.0124
AWS Certificate Manager Manuel de l'utilisateurAutorités de certification racine ACM
Autorités de certification racine ACMLes certificats d'entité finale publics émis par ACM tirent leur approbation des autorités de certificationracine Amazon suivantes :
Nom unique Algorithme de chiffrement
CN=Amazon Root CA 1, O=Amazon, C=US 2048 bits RSA (RSA_2048)
CN=Amazon Root CA 2, O=Amazon, C=US 4096 bits RSA (RSA_4096)
CN=Amazon Root CA 3, O=Amazon, C=US Elliptic Prime Curve 256 bits (EC_prime256v1)
CN=Amazon Root CA 4, O=Amazon, C=US Elliptic Prime Curve 384 bits (EC_secp384r1)
La racine par défaut de l'approbation pour les certificats émis par ACM est CN=Amazon Root CA 1,O=Amazon, C=US, qui offre une sécurité RSA 2 048 bits. Les autres racines sont réservées à uneutilisation future. Toutes les racines sont signées par le certificat de l'autorité de certification racine (RootCertificate Authority) Starfield Services.
Pour de plus amples informations, veuillez consulter Amazon Trust Services.
Domaine apexVeuillez consulter Noms de domaine (p. 126).
Chiffrement à clé asymétriqueContrairement à la Chiffrement à clé symétrique (p. 129), le chiffrement asymétrique utilise des clésdifférentes mais mathématiquement liées pour chiffrer et déchiffrer le contenu. L'une des clés est publique,et elle est généralement mise à disposition dans un certificat X.509 v3. L'autre clé est privée, et elle eststockée de manière sécurisée. Le certificat X.509 lie l'identité d'un utilisateur, d'un ordinateur ou d'une autreressource (l'objet du certificat) à la clé publique.
Les certificats ACM sont des certificats SSL/TLS X.509 qui lient l'identité de votre site web et les détails devotre organisation à la clé publique qui se trouve dans le certificat. ACM utilise la clé CMK pour chiffrer laclé privée. Pour plus d'informations, consultez Sécurité de la clé privée ACM (p. 10),
Autorité de certificationUne autorité de certification (CA) est une entité qui émet des certificats numériques. Dans le commerce,le type le plus courant de certificat numérique repose sur la norme ISO X.509. L'autorité de certificationémet des certificats numériques signés qui affirment l'identité de l'objet du certificat et lient cette identité àla clé publique figurant dans le certificat. En règle générale, l'autorité de certification gère la révocation ducertificat.
Journalisation de transparence des certificatsPour assurer une protection contre les certificats SSL/TLS qui sont émis par erreur ou par une CAcompromise, certains navigateurs exigent que les certificats publics émis pour votre domaine soient
Version 1.0125
AWS Certificate Manager Manuel de l'utilisateurSystème de noms de domaine
enregistrés dans un journal de transparence de certificats. Le nom de domaine est enregistré. La clé privéene l'est pas. Les certificats qui ne sont pas consignés génèrent normalement une erreur dans le navigateur.
Vous pouvez surveiller les journaux pour vous assurer que seuls les certificats que vous avez autorisésont été émis pour votre domaine. Vous pouvez utiliser un service tel que Certificate Search pour vérifier lesjournaux.
Avant que la CA Amazon émette un certificat SSL/TLS approuvé publiquement pour votre domaine, ellesoumet le certificat à au moins deux serveurs de journalisation de transparence de certificats. Ces serveursajoutent le certificat dans leurs bases de données publiques et renvoient un horodatage de certificat signé(SCT) à la CA Amazon. La CA intègre alors ce SCT dans le certificat, signe le certificat et vous le délivre.Les horodatages sont inclus avec les autres extensions X.509.
X509v3 extensions:
CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C
La journalisation de transparence des certificats est automatique lorsque vous demandez ou renouvelezun certificat, sauf si vous choisissez de refuser ce processus. Pour plus d'informations sur le refus de lajournalisation, consultez Refus de la journalisation de transparence des certificats (p. 37).
Système de noms de domaineLe système de noms de domaine (DNS) est un système d'attribution de noms distribué hiérarchique pourles ordinateurs et autres ressources connectés à Internet ou un réseau privé. DNS est principalementutilisé pour traduire des noms de domaine textuels, tels que aws.amazon.comen adresses IP numériques(Internet Protocol) du formulaire 111.122.133.144. La base de données DNS de votre domaine contientcependant un certain nombre d’enregistrements qui peuvent être utilisés à d’autres fins. Par exemple, avecACM, vous pouvez utiliser un enregistrement CNAME pour valider que vous possédez ou contrôlez undomaine lorsque vous demandez un certificat. Pour plus d'informations, consultez Utilisation de DNS pourvalider la propriété du domaine (p. 52),
Noms de domaineUn nom de domaine est une chaîne de texte telle que www.example.com, qui peut être convertie par lesystème de noms de domaine (DNS) en adresse IP. Les réseaux informatiques, y compris Internet, utilisentdes adresses IP plutôt que des noms textuels. Un nom de domaine se compose d'étiquettes distinctesséparées par des points.
TLD
Version 1.0126
AWS Certificate Manager Manuel de l'utilisateurChiffrement et déchiffrement
L'étiquette la plus à droite est appelée « domaine de premier niveau » (TLD). Exemples courants : .com,.net, et .edu. En outre, le TLD pour les entités enregistrées dans certains pays est une abréviationdu nom du pays et est appelé code pays. Il peut s'agir, par exemple, de .uk pour le Royaume-Uni, de.ru pour la Russie, et de .fr pour la France. Lorsque des codes pays sont utilisés, une hiérarchie dedeuxième niveau est souvent introduite pour le domaine de premier niveau afin d'identifier le type de l'entitéenregistrée. Par exemple, le domaine de premier niveau .co.uk identifie les entreprises commerciales auRoyaume-Uni.
Domaine apex
Le nom du domaine apex inclut le domaine de premier niveau et se construit à partir de ce dernier. Pourles noms de domaines qui comprennent un code pays, le domaine apex inclut le code et les étiquettes, lecas échéant, qui identifient le type de l'entité enregistrée. Le domaine apex n'inclut pas les sous-domaines(voir le paragraphe suivant). dans www.example.com, le nom du domaine apex est example.com. danswww.example.co.uk, le nom du domaine apex est example.co.uk. Les autres noms qui sont souventutilisés à la place de apex incluent base, nu, root, root apex ou zone apex.
Subdomain
Les noms de sous-domaine précèdent le nom du domaine apex et sont séparés de celui-ci et les unsdes autres par un point. Le nom de sous-domaine le plus courant est www, mais n'importe quel nomest possible. En outre, les noms de sous-domaine peuvent avoir plusieurs niveaux. Par exemple, dansjake.dog.animals.example.com, les sous-domaines sont jakedog et animals, dans cet ordre.
FQDN
Le nom de domaine complet (FQDN) est le nom DNS complet d'un ordinateur, d'un site Web ou d'une autreressource connectée à un réseau ou à Internet. Par exemple, aws.amazon.com est le nom de domainecomplet de Amazon Web Services. Un nom de domaine complet inclut tous les domaines jusqu'audomaine de premier niveau.– Par exemple, [subdomain1].[subdomain2]...[subdomainn].[apexdomain].[top–level domain] représente le format général d'un nom de domaine complet.
PQDN
Un nom de domaine qui n'est pas entièrement qualifié est appelé « nom de domaine partiellementqualifié » (PQDN), et il s'agit d'un nom ambigu. Un nom comme [subdomain1.subdomain2.] est un nomde domaine partiellement qualifié parce que le domaine racine ne peut pas être déterminé.
Registration
Le droit d'utiliser un nom de domaine est délégué par des bureaux d'enregistrement de nom de domaine.Ces bureaux sont généralement accrédités par l'ICANN (Internet Corporation for Assigned Names andNumbers). En outre, d'autres outils appelés registres conservent les bases de données des domainesde premier niveau. Lorsque vous demandez un nom de domaine, le bureau d'enregistrement envoie vosinformations au registre du domaine de premier niveau approprié. Le registre attribue un nom de domaine,met à jour la base de données du domaine de premier niveau et publie vos informations sur WHOIS.Généralement, les noms de domaine doivent être achetés.
Chiffrement et déchiffrementLe chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse leprocessus et récupère les données d'origine. Les données non chiffrées sont généralement appelées« texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement appelées « textechiffré ». Le chiffrement HTTPS des messages entre les clients et les serveurs utilise des algorithmeset des clés. Les algorithmes définissent la procédure étape par étape qui permet de convertir desdonnées en texte brut en texte chiffré (chiffrement) et à reconvertir en texte brut d'origine du texte chiffré
Version 1.0127
AWS Certificate Manager Manuel de l'utilisateurNom de domaine complet (FQDN)
(déchiffrement). Les clés sont utilisées par les algorithmes pendant le processus de chiffrement ou dedéchiffrement. Les clés peuvent être publiques ou privées.
Nom de domaine complet (FQDN)Veuillez consulter Noms de domaine (p. 126).
Infrastructure à clés publiques (ICP)Une infrastructure à clés publiques (ICP) se compose des matériels, logiciels, personnes, stratégies,documents et procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser, stocker etrévoquer des certificats numériques. L'ICP facilite le transfert sécurisé des informations sur les réseauxinformatiques.
Certificat racineUne autorité de certification (CA) appartient généralement à une structure hiérarchique qui contientplusieurs autres autorités de certification liées par des relations parent-enfant clairement établies. Lesautorités de certification subordonnées sont certifiées par leurs autorités de certification parent, ce qui créeune chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité decertification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé.
Secure Sockets Layer (SSL)Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques quiassurent la sécurité des communications sur un réseau informatique. TLS est le successeur de SSL. Ilsutilisent tous deux des certificats X.509 pour authentifier le serveur. Les deux protocoles négocient une clésymétrique entre le client et le serveur, qui sert à chiffrer les données circulant entre les deux entités.
HTTPS sécuriséHTTPS signifie HTTP via SSL/TLS, une forme sécurisée de HTTP prise en charge par tous les navigateurset serveurs principaux. Toutes les demandes et réponses HTTP sont chiffrées avant d’être envoyéessur un réseau. HTTPS combine le protocole HTTP avec les techniques cryptographiques symétriques,asymétriques et basées sur le certificat X.509. HTTPS fonctionne en insérant une couche de sécuritécryptographique sous la couche d'application HTTP et au-dessus de la couche de transport TCP dans lemodèle Open Systems Interconnection (OSI). La couche de sécurité utilise le protocole Secure SocketsLayer (SSL) ou le protocole Transport Layer Security (TLS).
Certificats de serveur SSLLes transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un certificat deserveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet ducertificat. Le certificat SSL/TLS est signé par une autorité de certification (CA) et contient, entre autres, lenom du serveur, la période de validité, la clé publique et l'algorithme de signature.
Version 1.0128
AWS Certificate Manager Manuel de l'utilisateurChiffrement à clé symétrique
Chiffrement à clé symétriqueLe chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données numériques. (Voiraussi Chiffrement à clé asymétrique (p. 125).)
Transport Layer Security (TLS)Veuillez consulter Secure Sockets Layer (SSL) (p. 128).
TrustPour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesurede vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificatsappelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification(CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Lenavigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validationaboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse.
Version 1.0129
AWS Certificate Manager Manuel de l'utilisateur
Historique du documentLe tableau suivant décrit l'historique des versions de la documentation d'AWS Certificate Manager à partirde 2018.
update-history-change update-history-description update-history-date
Ajout de la prise en charge entrecomptes (p. 130)
Ajout de la prise en chargeentre comptes pour l’utilisationd’autorités de certification privéesà partir de ACM Private CA. Pourplus d'informations, consultezhttps://docs.aws.amazon.com/acm/latest/userguide/ca-access.html,
August 17, 2020
Prise en charge de régionssupplémentaires (p. 130)
Ajout d'une prise en chargerégionale pour les régionsAWS Chine (Beijing et Ningxia)Pour obtenir la liste complètedes régions prises en charge,veuillez consulter https://docs.aws.amazon.com/general/latest/gr/rande.html#acm-pca_region.
March 4, 2020
Ajout du test du workflow derenouvellement (p. 130)
Les clients peuvent désormaistester manuellement laconfiguration de leur flux detravail de renouvellement géréACM. Pour plus d'informations,consultez Test de la configurationde renouvellement géré ACM.
March 14, 2019
Journalisation de transparencedu certificat désormais pardéfaut (p. 130)
Ajout de la possibilité de publierACM des certificats publics dansles journaux de transparence descertificats par défaut.
April 24, 2018
Lancement ACM PrivateCA (p. 130)
Lancement d'ACM PrivateCertificate Manager (CM), etextension d'AWS CertificateManager qui permet auxutilisateurs d'établir uneinfrastructure gérée sécuriséepour émettre et révoquer descertificats numériques privés.Pour plus d'informations,consultez Autorité de certificationprivée (PCA) AWS.
April 4, 2018
Journalisation de la transparencedu certificat (p. 130)
Ajout de la journalisation detransparence de certificats auxbonnes pratiques
March 27, 2018
Version 1.0130
AWS Certificate Manager Manuel de l'utilisateur
Le tableau suivant décrit l'historique des versions de la documentation d'AWS Certificate Manager avant2018.
Modification Description : Date de parution
Nouveau contenu Ajout de validation DNS àUtilisation de DNS pour valider lapropriété du domaine (p. 52).
21 novembre 2017
Nouveau contenu Ajout de nouveaux exemples decode Java à Utilisation de l'APIACM (p. 85).
12 octobre 2017
Nouveau contenu Informations sur lesenregistrements CAA ajoutéesà (Facultatif) Configuration d'unenregistrement CAA (p. 43).
21 septembre 2017
Nouveau contenu Ajout d'informationssur les domaines .IO àTroubleshooting (p. 106).
07 juillet 2017
Nouveau contenu Ajout d'informations sur laréimportation d'un certificatà Réimportation d'uncertificat (p. 78).
07 juillet 2017
Nouveau contenu Ajout d'informations surl'épinglage de certificat àBonnes pratiques (p. 35) et àTroubleshooting (p. 106).
07 juillet 2017
Nouveau contenu Ajout de AWS CloudFormationà Services intégrés à AWSCertificate Manager (p. 4)
27 mai 2017
Mise à jour: Ajout d'informations àQuotas (p. 6).
27 mai 2017
Nouveau contenu Ajout de la documentationsur Identity and AccessManagement pour AWSCertificate Manager (p. 11).
28 avril 2017
Mise à jour: Ajout d'un graphique pourmontrer les adresses auxquellesl'e-mail de validation est envoyé.Veuillez consulter Utilisation d'une-mail pour valider la propriété dudomaine (p. 56).
21 avril 2017
Mise à jour: Ajout d'informations sur laconfiguration de l'e-mail pourvotre domaine. Veuillez consulter(Facultatif) Configuration d'uneadresse e-mail pour votredomaine (p. 41).
6 avril 2017
Version 1.0131
AWS Certificate Manager Manuel de l'utilisateur
Modification Description : Date de parution
Mise à jour: Ajout d'informations surla vérification du statut derenouvellement d'un certificatdans la console. Veuillezconsulter Vérifier le statutd'un renouvellement decertificat (p. 69).
28 mars 2017
Mise à jour: Mise à jour de la documentationrelative à l'utilisation d'ElasticLoad Balancing.
21 mars 2017
Nouveau contenu Ajout de la prise en charged'AWS Elastic Beanstalk etAmazon API Gateway. Veuillezconsulter Services intégrés àAWS Certificate Manager (p. 4).
21 mars 2017
Mise à jour: Mise à jour de la documentationsur Renouvellement géré (p. 67).
20 février 2017
Nouveau contenu Ajout de la documentation surImportation de certificats (p. 74).
13 octobre 2016
Nouveau contenu Ajout de la prise en charged'AWS CloudTrail pour lesactions ACM Veuillez consulterUtilisation d’CloudTrail avec unAWS Certificate Manager (p. 22).
25 mars 2016
Nouveau guide : Cette version présente AWSCertificate Manager.
21 janvier 2016
Version 1.0132
AWS Certificate Manager Manuel de l'utilisateur
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenud'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Version 1.0cxxxiii
