在私有 PKI 中续订证书 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在私有 PKI 中续订证书

由 ACM Private CA 中的私有 CA 签名的 ACM 证书符合条件进行托管续订。与公开受信任 ACM 证书不同,私有 PKI 的证书不需要验证。当管理员在客户端信任存储区中安装相应的根 CA 证书时,就会建立信任。

注意

只有使用 ACM 控制台或 ACM API 的 RequestCertificate 操作获得的证书才符合托管续订条件。使用 PCA API 的 IssueCertificate 操作直接从 ACM Private CA 颁发的证书不由 ACM 管理。

当证书还剩 60 天过期时,ACM 会自动尝试续订。这包括手动导出和安装的证书(例如,在本地数据中心中)。客户也可以随时使用 ACM API 的 RenewCertificate 操作强制续订。有关强制续订的 Java 实现示例,请参阅 续订证书

续订后,证书部署到服务的方式有如下几种:

  • 如果证书 ACM 集成服务关联,则新证书将替换旧证书,而无需额外的客户操作。

  • 如果证书不与 ACM 集成服务关联,则需要客户操作才能导出并安装续订的证书。您可以手动执行这些操作,或借助 Amazon HealthAmazon EventBridgeAmazon Lambda 执行,如下所示:

    1. 在 EventBridge 中创建规则来侦听 ACM 运行状况事件。ACM 每次尝试续订证书时都写入运行状况事件。有关这些通知的更多信息,请参阅 使用 Personal Health Dashboard (PHD) 检查状态

    2. 在 EventBridge 规则中,添加一个目标以调用 Lambda。

    3. 在 Lambda 函数中,调用 ACM API 的 ExportCertificate 操作。

    4. 通过在目标系统上手动安装证书来完成续订过程。