AWS Certificate Manager - Guide de l`utilisateur

Transcription

AWS Certificate Manager
Guide de l'utilisateur
Version 1.0
AWS Certificate Manager Guide de l'utilisateur
AWS Certificate Manager: Guide de l'utilisateur
Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any
manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other
trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to,
or sponsored by Amazon.
Table of Contents
Qu'est-ce qu'AWS Certificate Manager ? .......................................................................................... 1
Concepts ............................................................................................................................. 2
Caractéristiques d'un certificat ACM ......................................................................................... 3
Renouvellement géré ............................................................................................................. 5
Régions prises en charge ...................................................................................................... 5
Services pris en charge ......................................................................................................... 6
Restrictions .......................................................................................................................... 6
Nombre de noms de domaine par certificat ACM ............................................................... 7
Tarification ........................................................................................................................... 7
Configuration ................................................................................................................................ 8
Configuration d'AWS et d'IAM ................................................................................................. 8
Inscription à AWS ......................................................................................................... 8
Créer un utilisateur IAM ................................................................................................. 9
Enregistrement d'un nom de domaine ...................................................................................... 9
Configuration d'une adresse e-mail .......................................................................................... 9
Configuration de votre site Web ou de votre application ............................................................ 10
Guide de démarrage rapide Linux .................................................................................. 11
Guide de démarrage rapide Windows ............................................................................. 11
Mise en route ............................................................................................................................. 12
Demande et gestion de certificats .......................................................................................... 12
Demande de certificat .................................................................................................. 12
Validation de la propriété du domaine ............................................................................ 13
Gestion des certificats ACM .......................................................................................... 18
Elastic Load Balancing ......................................................................................................... 21
Amazon CloudFront ............................................................................................................. 23
Importation de certificats .............................................................................................................. 25
Conditions préalables à l'importation de certificats .................................................................... 26
Importation de certificats (AWS Management Console) ............................................................. 26
Importation de certificats (API ACM) ...................................................................................... 26
Dépannage ......................................................................................................................... 27
Balisage des certificats ACM ........................................................................................................ 29
Restrictions liées aux balises ................................................................................................ 29
Gestion des balises ............................................................................................................. 30
Gestion des balises (console) ....................................................................................... 30
Gestion des balises (AWS Command Line Interface) ........................................................ 31
Gestion des balises (API AWS Certificate Manager) ......................................................... 31
Autorisations et stratégies ............................................................................................................ 32
Stratégies gérées ................................................................................................................ 32
AWSCertificateManagerReadOnly .................................................................................. 32
AWSCertificateManagerFullAccess ................................................................................. 33
Liaison d'une stratégie gérée à l'aide d'AWS Management Console ..................................... 33
Stratégies en ligne .............................................................................................................. 33
Liste des certificats ...................................................................................................... 34
Récupération d'un certificat ........................................................................................... 34
Suppression d'un certificat ............................................................................................ 34
Accès en lecture seule à ACM ...................................................................................... 35
Accès complet à ACM ................................................................................................. 35
Accès administrateur à toutes les ressources AWS .......................................................... 36
Stratégies des ressources intégrées ....................................................................................... 36
Exemples de stratégies IAM pour Elastic Load Balancing .................................................. 36
Exemples de stratégies IAM pour Amazon CloudFront ...................................................... 36
Utilisation de AWS CloudTrail ....................................................................................................... 37
Journalisation des appels d'API ACM ..................................................................................... 37
Ajout de balises .......................................................................................................... 39
Suppression d'un certificat ............................................................................................ 39
Version 1.0
iv
Description d'un certificat ..............................................................................................
Récupération d'un certificat ...........................................................................................
Importation d'un certificat ..............................................................................................
Liste des certificats ......................................................................................................
Etablissement d'une liste de balises ...............................................................................
Suppression de balises ................................................................................................
Demande de certificat ..................................................................................................
Renvoi d'un e-mail de validation ....................................................................................
Journalisation des appels d'API liés à ACM .............................................................................
Création d'un équilibreur de charge ................................................................................
Enregistrement d'Amazon EC2 ......................................................................................
Déchiffrement d'une clé privée ......................................................................................
Déchiffrement d'une clé privée ......................................................................................
Utilisation de l'API ACM ...............................................................................................................
DeleteCertificate ..................................................................................................................
DescribeCertificate ...............................................................................................................
GetCertificate ......................................................................................................................
Liste des certificats ACM ......................................................................................................
RequestCertificate ...............................................................................................................
ResendValidationEmail .........................................................................................................
Sécurité de la clé privée ACM .......................................................................................................
Dépannage .................................................................................................................................
Pas de réception d'e-mail de validation ...................................................................................
E-mail envoyé au sous-domaine ............................................................................................
Délai d'attente de la demande de certificat dépassé .................................................................
Échec de la demande de certificat .........................................................................................
Aucun contact disponible ..............................................................................................
Domaine non autorisé ..................................................................................................
Vérification supplémentaire nécessaire ...........................................................................
Domaine public non valide ............................................................................................
Autre .........................................................................................................................
Validation non terminée ........................................................................................................
Historique du document ...............................................................................................................
Version 1.0
v
40
41
42
43
44
45
45
46
47
47
48
49
50
52
52
53
55
56
57
58
60
61
61
62
62
63
63
63
64
64
64
64
66
Qu'est-ce qu'AWS Certificate
Manager ?
AWS Certificate Manager (ACM) gère la complexité de la mise en service, du déploiement et de la
gestion des certificats SSL/TLS pour vos sites Web et applications basés sur AWS. Vous pouvez
utiliser les certificats fournis par ACM (p. 12) (certificats ACM) ou ceux que vous importez dans
ACM (p. 25). Vous utilisez ACM pour demander, importer et gérer le certificat, puis d'autres services
AWS pour associer le certificat à votre site Web ou votre application. Comme le montre l'illustration
suivante, vous pouvez utiliser des certificats stockés dans ACM avec Elastic Load Balancing et
Amazon CloudFront. Vous ne pouvez pas utiliser de certificats émis par Amazon hors d'AWS.
Pour plus d'informations sur les services intégrés à ACM, consultez les rubriques suivantes :
• Démarrer avec Elastic Load Balancing (p. 21)
• Mise en route de Amazon CloudFront (p. 23)
Pour consulter des informations générales sur ACM, reportez-vous aux rubriques suivantes.
Rubriques
• Concepts (p. 2)
• Caractéristiques d'un certificat ACM (p. 3)
• Renouvellement géré (p. 5)
• Régions prises en charge (p. 5)
Version 1.0
1
Concepts
• Services pris en charge (p. 6)
• Restrictions (p. 6)
• Tarification (p. 7)
Concepts
Cette section présente les termes de base et les concepts associés à AWS Certificate Manager (ACM).
Autorité de certification
Une autorité de certification (CA) est une entité qui émet des certificats numériques. Dans le
commerce, le type le plus courant de certificat numérique repose sur la norme ISO X.509.
L'autorité de certification émet des certificats numériques signés qui affirment l'identité de l'objet du
certificat et lient cette identité à la clé publique figurant dans le certificat. En général, l'autorité de
certification gère la révocation du certificat.
Système de noms de domaine
Le système de noms de domaine (DNS) est un système d'attribution de noms distribué
hiérarchique pour les ordinateurs et autres ressources connectés à Internet ou un réseau privé.
DNS convertit les noms de domaine textuels, tels que http://aws.amazon.com, en adresses IP
numériques (Internet Protocol).
Nom de domaine
Le nom de domaine complet (FQDN) est le nom complet, en texte clair, d'un ordinateur ou d'une
autre ressource connectée à Internet. Par exemple, aws.amazon.com est le nom de domaine
complet d'Amazon Web Services. Un nom de domaine complet se compose de différentes
parties. Dans l'exemple précédent, aws est le nom de l'hôte situé dans le domaine amazon.com,
et .com est appelé le domaine de niveau supérieur. Le suffixe .com est généralement utilisé
pour représenter une activité commerciale. Il existe de nombreux domaines de niveau supérieur
différents, notamment .net et .edu.
Chiffrement et déchiffrement
Le chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse
le processus et récupère les données d'origine. Les données non chiffrées sont généralement
appelées « texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement
appelées « texte chiffré ». Le chiffrement HTTPS des messages entre les clients et les serveurs
utilise des algorithmes et des clés. Les algorithmes définissent la procédure étape par étape qui
permet de convertir des données en texte brut en texte chiffré (chiffrement) et à reconvertir en
texte brut d'origine du texte chiffré (déchiffrement). Les clés sont utilisées par les algorithmes
pendant le processus de chiffrement ou de déchiffrement. Les clés peuvent être publiques ou
privées.
Nom de domaine complet (FQDN)
Voir Nom de domaine (p. 2).
Infrastructure à clés publiques (ICP)
Une infrastructure à clés publiques (ICP) se compose des matériels, logiciels, personnes,
stratégies, documents et procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser,
stocker et révoquer des certificats numériques. L'ICP facilite le transfert sécurisé des informations
sur les réseaux informatiques.
Certificat racine
Une autorité de certification appartient généralement à une structure hiérarchique qui contient
plusieurs autorités de certification liées par des relations parent-enfant clairement établies. Les
autorités de certification subordonnées sont certifiées par leurs autorités de certification parent,
ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est
appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général,
ce certificat est auto-signé.
Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles
cryptographiques qui assurent la sécurité des communications sur un réseau informatique. TLS
Version 1.0
2
Caractéristiques d'un certificat ACM
est le successeur de SSL. Ils utilisent tous deux les certificats X.509 pour authentifier le serveur,
et ces deux protocoles négocient une clé symétrique entre le client et le serveur, qui sert à chiffrer
les données circulant entre les deux entités.
HTTPS sécurisé
HTTPS signifie HTTP via SSL/TLS, une forme sécurisée de HTTP prise en charge par tous
les navigateurs et serveurs principaux. Toutes les demandes et réponses HTTP sont chiffrées
avant d’être envoyées sur un réseau. HTTPS combine le protocole HTTP avec les techniques
cryptographiques symétriques, asymétriques et basées sur le certificat X.509. HTTPS fonctionne
en insérant une couche de sécurité cryptographique sous la couche d'application HTTP et audessus de la couche de transport TCP dans le modèle Open Systems Interconnection (OSI). La
couche de sécurité utilise le protocole Secure Sockets Layer (SSL) ou le protocole Transport
Layer Security (TLS).
Certificats de serveur SSL
Les transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un
certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le
certificat à l'objet du certificat. Le certificat SSL/TLS est signé par une autorité de certification (CA)
et contient, entre autres, le nom du serveur, la période de validité, la clé publique et l'algorithme de
signature.
Chiffrement à clé symétrique
Le chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données
numériques.
Transport Layer Security (TLS)
Voir Secure Sockets Layer (SSL) (p. 2).
Approbation
Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être
en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit
nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance,
appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique
signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique
afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de
verrouillage dans la barre d'adresse.
Les certificats fournis par ACM ont les caractéristiques présentées et dans cette section.
Note
Ces caractéristiques s'appliquent uniquement aux certificats fournis par ACM. Elles ne
peuvent pas s'appliquer aux certificats que vous importez dans ACM (p. 25).
Validation du domaine
Les certificats ACM sont des certificats de domaine validé. Autrement dit, le champ d'objet d'un
certificat ACM identifie un nom de domaine et rien de plus. Un e-mail est envoyé au propriétaire
inscrit pour chaque nom de domaine figurant dans la demande. Le propriétaire du domaine ou un
représentant autorisé peut approuver la demande de certificat en suivant les instructions indiquées
dans l'e-mail. Pour plus d'informations, consultez Validation de la propriété du domaine (p. 13).
Période de validité
La période de validité des certificats ACM est actuellement de 13 mois.
Renouvellement et déploiement gérés
ACM gère le processus de renouvellement des certificats ACM et la mise en service des certificats
après leur renouvellement. Le renouvellement automatique peut vous aider à éviter les temps
Version 1.0
3
d'arrêt dus aux certificats mal configurés, révoqués ou expirés. Pour plus d'informations, consultez
Renouvellement géré (p. 5).
Approbation du navigateur et de l'application
Les certificats ACM sont approuvés par tous les navigateurs principaux, notamment Google
Chrome, Microsoft Internet Explorer et Microsoft Edge, Mozilla Firefox et Apple Safari. Les
navigateurs qui approuvent les certificats ACM affichent une icône de verrouillage dans leur
barre d’état ou barre d'adresse lorsqu'ils sont connectés par SSL/TLS aux sites qui utilisent les
certificats ACM. Les certificats ACM sont également approuvés par Java.
Plusieurs noms de domaine
Chaque certificat ACM doit inclure au moins un nom de domaine complet (FQDN), et vous pouvez
ajouter d'autres noms si vous le souhaitez. Par exemple, lorsque vous créez un certificat ACM
pour www.example.com, vous pouvez également ajouter le nom www.example.net si les clients
peuvent atteindre votre site en utilisant un des deux noms. C'est également vrai pour les noms de
domaine stricts (aussi appelés domaines de zone apex ou domaines naked). Autrement dit, vous
pouvez demander un certificat ACM pour www.example.com et ajouter le nom example.com. Pour
plus d'informations, consultez Demande de certificat (p. 12).
Noms de caractère générique
ACM vous permet d'utiliser un astérisque (*) dans le nom de domaine pour créer un certificat ACM
qui contient un nom de caractère générique qui permet de protéger plusieurs sites dans le même
domaine. Par exemple, *.example.com protège www.example.com et images.example.com.
Note
Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver à la
position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de
sous-domaine. Par exemple, *.example.com peut protéger login.example.com
et test.example.com, mais ne peut pas protéger test.login.example.com.
Notez également que *.example.com protège seulement les sous-domaines de
example.com. Il ne protège pas le domaine strict ou apex (example.com). Cependant,
vous pouvez demander un certificat qui protège un domaine strict ou apex et ses sousdomaines en spécifiant plusieurs noms de domaines dans votre demande. Par exemple,
vous pouvez demander un certificat qui protège example.com et *.example.com.
Algorithmes
Actuellement, ACM prend en charge le chiffrement RSA-2048 et les algorithmes de hachage
SHA-256.
Exceptions
Remarques :
• ACM ne fournit pas de certificats de validation étendue (EV) ou de certificats de validation
d'organisation (OV).
• ACM ne fournit de certificats que pour les protocoles SSL/TLS.
• Vous ne pouvez pas utiliser de certificats ACM pour le chiffrement de code ou d'e-mails.
• ACM autorise uniquement le format ASCII codé en UTF-8 pour les noms de domaine, y compris
les étiquettes qui contiennent « xn-- » (Punycode). ACM n'accepte pas d'entrée Unicode
(étiquettes U) pour les noms de domaine.
• ACM ne permet pas actuellement vous permet de refuser le renouvellement de certificat
géré (p. 5) pour les certificats fournis par ACM. Le renouvellement géré n'est pas disponible
pour les certificats que vous importez dans ACM.
• Vous ne pouvez pas demander de certificats pour les noms de domaine qui sont la propriété
d'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ou
elasticbeanstalk.com.
• Vous ne pouvez pas télécharger la clé privée pour un certificat ACM.
• Vous ne pouvez pas associer de certificats ACM aux instances Amazon Elastic Compute Cloud
(Amazon EC2).
Version 1.0
4
Renouvellement géré
Renouvellement géré
Par défaut, ACM renouvelle automatiquement les certificats fournis par ACM qui sont utilisé avec
d'autres services AWS, par exemple Elastic Load Balancing et CloudFront. Le renouvellement géré
facilite la configuration et la maintenance de SSL/TLS pour un site Web ou une application sécurisée
et est moins enclin aux erreurs que les processus de renouvellement. Le renouvellement géré peut
vous aider à éviter les temps d'arrêt dus aux certificats mal configurés, révoqués ou expirés. En outre,
le renouvellement géré vous évite d'installer un logiciel client ou un agent sur votre site Web ou d'en
assurer la maintenance. Au lieu de cela, étant donné qu'ACM est intégré à d'autres services AWS,
vous pouvez gérer et déployer de façon centralisée les certificats ACM sur la plateforme AWS depuis
la console, l'AWS CLI ou l'API du service intégré. Pour obtenir la liste des services pris en charge,
consultez Services intégrés à AWS Certificate Manager (p. 6).
Note
Le renouvellement géré s'applique uniquement aux certificats fournis par ACM. ACM ne tente
pas de renouveler les certificats que vous importez dans ACM (p. 25).
ACM tente d'effectuer des renouvellements automatiques pour tous les certificats ACM avant leur
expiration. Si ACM n'est pas en mesure de le faire, il utilise d'autres méthodes de renouvellement,
par exemple l'envoi d'un e-mail aux inscrits du domaine. Les certificats qui peuvent être renouvelés
automatiquement comprennent ceux qui sont utilisés par les ressources AWS sur un site accessible au
public. Cela inclut les certificats des domaines stricts comme example.com.
Les conditions suivantes doivent être satisfaites avant qu'un certificat ACM puisse être renouvelé :
• DNS doit être configuré pour résoudre tous les noms de domaine complets (FQDN) inclus dans le
certificat en la ressource AWS à laquelle le certificat est associé. ACM vérifie que chaque nom de
domaine complet (FQDN) est mappé à l'adresse IP publique contrôlée par Amazon. ACM ne vérifie
pas la résolution DNS pour les noms de domaine génériques comme *.example.com.
• La ressource AWS doit être configurée pour permettre à AWS d'établir une connexion SSL/TLS avec
elle depuis Internet.
Si un certificat ACM ne peut pas être renouvelé automatiquement, ACM envoie des demandes de
validation par e-mail au propriétaire du domaine ou à un représentant autorisé. L'e-mail contient des
instructions sur la façon de renouveler le certificat ACM.
ACM ne tente pas de renouveler les certificats qui ne sont pas en cours d'utilisation. Pour être
considéré comme en cours d'utilisation, un certificat ACM doit être associé à un service AWS comme
Elastic Load Balancing ou CloudFront.
Si un certificat ACM est en cours d'utilisation, mais n'est pas accessible publiquement en utilisant les
noms DNS dans le certificat, ACM tente de renouveler le certificat par validation par e-mail. En cas
d’échec de la validation par e-mail, ACM vous en informe en créant un ticket de support qui envoie un
e-mail à l'adresse enregistrée avec votre compte AWS.
ACM commence le processus de renouvellement 60 jours maximum avant la date d'expiration du
certificat. La durée de validité des certificats fournis par ACM est actuellement de 13 mois.
ACM génère une nouvelle paire de clés lors du renouvellement du certificat ACM. AWS émet un
nouveau certificat avec une nouvelle paire de clés sans modifier les autres champs du certificat.
Régions prises en charge
Consultez Régions et points de terminaison AWS dans le AWS General Referenceou le Tableau des
régions AWS pour voir la disponibilité régionale d'ACM.
Version 1.0
5
Services pris en charge
Comme la plupart des ressources AWS, les certificats présents dans ACM sont des ressources
régionales. Pour utiliser un certificat avec Elastic Load Balancing pour le même nom de domaine
complet (FQDN) ou un ensemble de noms de domaine complets dans plusieurs régions AWS, vous
devez demander ou importer un certificat pour chaque région. Pour les certificats fournis par ACM,
cela signifie que vous devez revalider chaque nom de domaine dans le certificat pour chaque région.
Vous ne pouvez pas copier un certificat entre les régions.
Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez le demander ou l'importer dans
la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une
distribution CloudFront sont distribués à tous les emplacements géographiques configurés pour cette
distribution.
Services intégrés à AWS Certificate Manager
Elastic Load Balancing
Elastic Load Balancing répartit automatiquement votre trafic applicatif entrant sur plusieurs
instances Amazon EC2. Elastic Load Balancing détecte les instances qui ne sont pas saines et
redirige le trafic en conséquence, en attendant que ces instances soient restaurées. Elastic Load
Balancing ajuste automatiquement sa capacité de traitement des demandes en réponse au trafic
entrant. Pour plus d'informations sur l'équilibrage de charge, consultez le Manuel du développeur
Elastic Load Balancing. En général, pour servir du contenu sécurisé via SSL/TLS, les équilibreurs
de charge requièrent que les certificats SSL/TLS soient installés sur l'équilibreur de charge ou
l'instance principale Amazon EC2. ACM s'intègre à Elastic Load Balancing pour déployer les
certificats ACM sur l’équilibreur de charge. Pour une mise en route rapide sur la façon d'utiliser
Elastic Load Balancing, consultez Démarrer avec Elastic Load Balancing (p. 21).
Amazon CloudFront
Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Web
statique et dynamique aux utilisateurs finaux en diffusant votre contenu depuis un réseau mondial
d'emplacements périphériques. Lorsqu'un utilisateur final demande le contenu que vous servez
via CloudFront, il est dirigé vers l'emplacement périphérique qui fournit la latence la plus faible
de sorte que le contenu soit diffusé avec les meilleures performances possibles. Si le contenu se
trouve actuellement dans cet emplacement périphérique, CloudFront le diffuse immédiatement. Si
le contenu ne se trouve pas actuellement dans cet emplacement périphérique, CloudFront l'extrait
du compartiment Amazon S3 ou du serveur Web que vous avez identifié comme la source du
contenu final. Pour plus d'informations sur CloudFront, consultez le Guide du développeur Amazon
CloudFront. Pour servir du contenu sécurisé via SSL/TLS, CloudFront requiert que les certificats
SSL/TLS soient installés sur la distribution CloudFront ou la source de contenu principale. ACM
est intégré à CloudFront pour déployer les certificats ACM sur la distribution CloudFront. Pour
une mise en route rapide sur la façon d'utiliser CloudFront, consultez Mise en route de Amazon
CloudFront (p. 23).
Note
Pour utiliser un certificat ACM avec CloudFront, vous devez demander ou importer le
certificat dans la région USA Est (Virginie du Nord).
Restrictions
Les limites suivantes d'AWS Certificate Manager (ACM) s'appliquent à chaque région AWS et chaque
compte AWS. Pour demander des limites supérieures, créez une demande dans le Centre AWS
Support. Les nouveaux comptes AWS peuvent commencer avec des limites inférieures à celles
présentées ici.
Version 1.0
6
Nombre de noms de domaine par certificat ACM
Elément
Limite par défaut
Nombre de certificats fournis par ACM
100
Nombre de certificats importés
100
Nombre de noms de domaine par certificat fourni
par ACM
10. Consultez les informations suivant ce
tableau.
Note
La limite appliquée au nombre de noms de domaine par certificat ACM s'applique uniquement
aux certificats fournis par ACM. Cette limite ne s'applique pas aux certificats que vous
importez dans ACM (p. 25). La section suivante s'applique uniquement aux certificats
fournis par ACM.
Nombre de noms de domaine par certificat ACM
La limite par défaut est 10 noms de domaine par certificat ACM. Pour demander une limite supérieure,
lisez les informations suivantes et créez ensuite une demande dans le Centre AWS Support.
Vous ne pouvez pas ajouter ou supprimer de noms de domaine dans un certificat ACM existant. A la
place, vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine.
Pour cela, vous devez valider la propriété (p. 13) de tous les noms de domaine dans la demande,
y compris les noms de domaine que vous avez validés auparavant pour le certificat d'origine. Pour
chaque nom de domaine figurant dans la demande, vous recevez 8 e-mails de validation maximum,
parmi lesquels il doit être donné suite à au moins un dans les 72 heures.
Par exemple, lorsque vous demandez un certificat contenant 5 noms de domaine, vous recevez 40 emails de validation maximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures.
Pour ajouter 4 autres noms de domaine au certificat, vous devez demander un nouveau certificat
contenant les 9 noms de domaine, ce qui génère 72 e-mails au maximum, parmi lesquels il doit être
donné suite à au moins 9 dans les 72 heures. Lorsque le nombre de noms de domaine contenus
dans la demande de certificat augmente, le travail nécessaire pour valider la propriété des noms de
domaine augmente aussi chaque fois que vous apportez une modification aux noms de domaine dans
le certificat.
Avant de demander une augmentation du nombre de noms de domaine autorisé par certificat ACM,
tenez compte des frais généraux de gestion nécessaires pour valider la propriété des noms de
domaine chaque fois que vous souhaitez modifier les noms de domaine dans un certificat. Vous
trouverez peut-être plus facile de demander un nombre élevé de certificats contenant seulement un ou
deux noms de domaine dans chaque certificat plutôt que de demander un nombre réduit de certificats
avec plusieurs noms de domaine dans chaque certificat.
Tarification d'AWS Certificate Manager
Vous n’êtes pas facturé par AWS pour les certificats SSL/TLS que vous gérez avec AWS Certificate
Manager. Vous ne payez que les ressources AWS que vous créez pour exécuter votre site Web ou
votre application. Pour obtenir les dernières informations sur la tarification ACM, consultez la page
Tarification d'AWS Certificate Manager sur le site Web AWS.
Version 1.0
7
Configuration d'AWS et d'IAM
Configuration
Avec AWS Certificate Manager (ACM), vous pouvez mettre en service, gérer et déployer rapidement
des certificats SSL/TLS pour vos sites Web et applications basés sur AWS. Vous utilisez ACM pour
mettre en service et gérer le certificat, puis utiliser d'autres services AWS pour déployer le certificat
pour votre site Web ou votre application. Pour plus d'informations sur les services intégrés à ACM
consultez Services intégrés à AWS Certificate Manager (p. 6). Les rubriques suivantes présentent les
actions à effectuer avant d'utiliser ACM.
Note
En plus d'utiliser les certificats fournis par ACM, vous pouvez également importer des
certificats dans ACM. Pour plus d'informations, consultez Importation de certificats (p. 25).
Rubriques
• Configuration d'AWS et d'IAM (p. 8)
• Enregistrement d'un nom de domaine (p. 9)
• Configuration d'une adresse e-mail pour votre domaine (p. 9)
• Configuration de votre site Web ou de votre application (p. 10)
Configuration d'AWS et d'IAM
Avant de pouvoir utiliser ACM, vous devez vous inscrire à Amazon Web Services. Vous pouvez
éventuellement créer un utilisateur IAM pour limiter les actions que vos utilisateurs peuvent exécuter.
Inscription à AWS
Si vous n’êtes pas déjà un client Amazon Web Services (AWS), vous devez vous inscrire pour pouvoir
utiliser ACM. Votre compte est automatiquement inscrit à tous les services disponibles, mais vous
ne payez que les services que vous utilisez. De même, si vous êtes un nouveau client AWS, vous
bénéficiez d'une mise en route gratuite. Pour plus d'informations, consultez Offre gratuite d'AWS.
Pour créer un compte AWS
1.
Rendez-vous sur http://aws.amazon.com/ et choisissez S'inscrire.
Version 1.0
8
Créer un utilisateur IAM
2.
Suivez les instructions à l'écran.
Note
La procédure d'inscription inclut la réception d'un appel téléphonique automatisé et la saisie de
votre code PIN sur le clavier du téléphone. Vous devez également fournir un numéro de carte
de crédit, même si vous vous inscrivez à l'offre gratuite.
Créer un utilisateur IAM
Pour accéder à Amazon Web Services, vous devez fournir vos informations d'identification afin que
chaque service puisse déterminer si vous êtes autorisé à utiliser ses ressources. La console exige
votre nom d'utilisateur et votre mot de passe, et vous pouvez créer des clés d'accès pour utiliser
l'interface de ligne de commande ou l'API. Etant donné que vos informations d'identification racine
permettent un accès illimité, nous ne vous recommandons pas de les utiliser avec AWS. En revanche,
nous vous recommandons d'utiliser AWS Identity and Access Management (IAM) pour créer des
utilisateurs disposant d'autorisations plus limitées. Autrement dit, créez un utilisateur IAM et ajoutez-le
à un groupe IAM qui possède un ensemble d'autorisations spécifique. Vous pouvez ensuite accéder à
AWS à l'aide d'une URL spéciale et des informations d'identification de l'utilisateur.
Par exemple, pour créer un groupe Administrateurs et y ajouter des utilisateurs, consultez Création
d'un groupe Administrateurs dans le Guide de l'utilisateur AWS Identity and Access Management.
L'utilisateur peut ensuite se connecter au compte avec une URL spéciale. Pour plus d'informations,
consultez Comment les utilisateurs se connectent à votre compte .
Pour obtenir des exemples de stratégies IAM qui peuvent être utilisés avec ACM, consultez
Autorisations et stratégies (p. 32).
Enregistrement d'un nom de domaine
Le nom de domaine complet (FQDN) est le nom spécifique d'une organisation ou d'une personne sur
Internet, suivi d'une extension de domaine de niveau supérieur, par exemple .com ou .edu. Si vous
n'avez pas de nom de domaine enregistré, vous pouvez en enregistrer un via Amazon Route 53 ou
des dizaines d'autres registres du commerce. En général, vous accédez au site Web du registre et
vous demandez un nom de domaine. Le registre interroge WHOIS afin de déterminer si le nom de
domaine complet demandé est disponible. Si c'est le cas, le registre affiche habituellement la liste des
noms associés qui diffèrent selon l'extension de domaine, et vous donne l'occasion d'acquérir l'un des
noms disponibles. L'enregistrement dure généralement pendant une période de temps définie, par
exemple un ou deux ans avant son renouvellement obligatoire.
Pour plus d'informations sur Amazon Route 53, consultez Enregistrement de noms de domaine à l'aide
d'Amazon Route 53.
Configuration d'une adresse e-mail pour votre
domaine
Une fois que vous avez enregistré un nom de domaine, utilisez le site Web de votre registre pour
lui associer une adresse e-mail. En général, les registres de noms de domaine requièrent que vous
établissiez la liste des coordonnées de contact pour votre domaine. Les informations de contact sont
entrées avec WHOIS. ACM utilise les informations de contact pour identifier la personne à contacter
Version 1.0
9
Configuration de votre site Web ou de votre application
lors de la validation de la propriété du domaine. Au cours du processus de validation de votre identité,
un e-mail est envoyé aux trois adresses de contact suivantes enregistrées dans WHOIS :
• Inscrit du domaine
• Contact technique
• Contact administratif
Note
Certains registres vous permettent de masquer vos informations sur le contact dans votre liste
WHOIS, et d'autres vous permettent de remplacer votre adresse e-mail réelle par une adresse
confidentielle (ou proxy). Afin d’éviter les problèmes liés à la réception de l'e-mail de validation
de domaine, vérifiez que les informations sur le contact sont visibles dans WHOIS. Si la liste
WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette
adresse est transmis à votre adresse e-mail réelle ou ajoutez cette dernière à la place.
Un e-mail est également envoyé aux cinq adresses d'administration système courantes suivantes :
• administrator@votre_domaine
• hostmaster@votre_domaine
• postmaster@votre_domaine
• webmaster@votre_domaine
• admin@votre_domaine
L'e-mail de validation contient les instructions à suivre pour confirmer que le propriétaire du domaine
ou un représentant désigné approuve le certificat ACM. Pour plus d'informations sur la validation,
consultez Validation de la propriété du domaine (p. 13).
Configuration de votre site Web ou de votre
application
Vous pouvez installer votre site Web sur une instance Amazon EC2 Linux ou Windows. Pour plus
d'informations sur les instances Amazon EC2 Linux, consultez Guide de l'utilisateur Amazon Elastic
Compute Cloud pour Linux. Pour plus d'informations sur les instances Amazon EC2 Windows,
consultez Guide de l'utilisateur Amazon Elastic Compute Cloud pour Microsoft Windows.
Note
Actuellement, les certificats ACM sont associés aux équilibreurs de charge Elastic Load
Balancing ou aux distributions Amazon CloudFront. Même si vous installez votre site Web sur
une instance Amazon EC2, vous ne déployez pas de certificat ACM sur cette instance. Par
contre, déployez le certificat ACM sur votre équilibreur de charge Elastic Load Balancing ou
votre distribution CloudFront.
Afin d'obtenir rapidement un site Web opérationnel sur Windows ou Linux, consultez les rubriques
suivantes.
Rubriques
• Guide de démarrage rapide Linux (p. 11)
• Guide de démarrage rapide Windows (p. 11)
Version 1.0
10
Guide de démarrage rapide Linux
Guide de démarrage rapide Linux
Pour créer votre site Web ou votre application sur une instance Linux, vous pouvez choisir une
image Amazon Machine Image (AMI) Linux et installer dessus un serveur Web Apache. Pour plus
d'informations, consultez Didacticiel : Installation d'un serveur Web LAMP sur Amazon Linux dans le
Amazon EC2 Guide de l'utilisateur pour les instances Linux.
Guide de démarrage rapide Windows
Afin d'acquérir un serveur Microsoft Windows sur lequel vous pouvez installer votre site Web ou
votre application, choisissez une AMI Windows Server livrée avec un serveur Web Microsoft Internet
Information Services (IIS). Utilisez ensuite le site Web par défaut ou créez-en un nouveau.
Version 1.0
11
Demande et gestion de certificats
Mise en route
Vous pouvez utiliser la console, l'AWS Command Line Interface (AWS CLI) ou le kit SDK pour vous
familiariser avec AWS Certificate Manager et les services intégrés à ACM. Pour plus d'informations,
consultez les rubriques suivantes.
Rubriques
• Demande et gestion de certificats ACM (p. 12)
• Démarrer avec Elastic Load Balancing (p. 21)
• Mise en route de Amazon CloudFront (p. 23)
Demande et gestion de certificats ACM
Les rubriques suivantes vous aident à commencer à utiliser la console ou l'AWS CLI AWS Certificate
Manager.
Rubriques
• Demande de certificat (p. 12)
• Validation de la propriété du domaine (p. 13)
• Gestion des certificats ACM (p. 18)
Demande de certificat
Les sections suivantes expliquent comment utiliser la console ACM ou l'AWS CLI pour demander un
certificat ACM.
Pour demander un certificat ACM (console)
1.
2.
Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://
console.aws.amazon.com/acm. Si la page d'introduction s'affiche, sélectionnez Get Started. Sinon,
choisissez Request a certificate.
Dans la page Request a certificate, saisissez votre nom de domaine. Vous pouvez utiliser un
nom de domaine complet (FQDN), par exemple www.example.com ou un nom de domaine
strict ou apex, par exemple example.com. Vous pouvez également utiliser un astérisque (*)
comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de
site dans le même domaine. Par exemple, *.example.com protège corp.example.com et
images.example.com. Le nom du caractère générique s'affiche dans le champ Subject et dans
l'extension du certificat ACM Subject Alternative Names.
Version 1.0
12
Validation de la propriété du domaine
Note
Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver à la
position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de
sous-domaine. Par exemple, *.example.com peut protéger login.example.com
et test.example.com, mais ne peut pas protéger test.login.example.com.
Notez également que *.example.com protège seulement les sous-domaines de
example.com. Il ne protège pas le domaine strict ou apex (example.com). Pour protéger
les deux, consultez l'étape suivante.
3.
Pour ajouter plusieurs noms de domaine au certificat ACM, choisissez Add more names et tapez
un autre nom de domaine dans la zone de texte qui s'affiche. C'est très utile pour protéger un nom
de domaine strict ou apex (comme example.com) et ses sous-domaines (*.example.com).
4.
Une fois que vous avez entré les noms de domaine valides, choisissez Review and Request, ou
Cancel pour quitter.
Si la page de vérification contient correctement les informations que vous avez entrées pour votre
demande, choisissez Confirm and request. La page suivante montre que votre demande a l'état
En attente de validation.
5.
Pour permettre l'émission d'un certificat ACM, un représentant autorisé doit s'assurer que
le certificat a été demandé. Pour plus d'informations, consultez Validation de la propriété du
domaine (p. 13).
Pour demander un certificat ACM (AWS CLI)
Utilisez la commande request-certificate pour demander un nouveau certificat ACM à l'aide de la ligne
de commande.
aws acm request-certificate --domain-name www.example.com
Pour plus d'informations et pour obtenir des exemples, consultez la référence de l'AWS CLI.
Note
Les informations de cette section s'applique uniquement aux certificats fournis par ACM.
ACM ne valide pas la propriété du domaine pour les certificats que vous importez dans
ACM (p. 25).
Version 1.0
13
Pour permettre à l'autorité de certification (CA) d'Amazon d'émettre un certificat pour votre site, AWS
Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez le domaine pour lequel
le certificat ACM sera émis. ACM effectue cela en envoyant un e-mail de validation de domaine à
une adresse qui est enregistrée pour le domaine. Pour plus d'informations, consultez Configuration
d'une adresse e-mail pour votre domaine (p. 9). Cet e-mail est envoyé aux trois adresses de contact
suivantes dans WHOIS :
• Inscrit du domaine
• Contact technique
• Contact administratif
Note
Certains registres vous permettent de masquer vos informations sur le contact dans votre liste
WHOIS, et d'autres vous permettent de remplacer votre adresse e-mail réelle par une adresse
confidentielle (ou proxy). Afin d’éviter les problèmes liés à la réception de l'e-mail de validation
de domaine, vérifiez que les informations sur le contact sont visibles dans WHOIS. Si la liste
WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette
adresse est transmis à votre adresse e-mail réelle ou ajoutez cette dernière à la place.
L'e-mail est également envoyé aux cinq adresses d'administration système courantes suivantes, où
votre_domaine est le nom de domaine que vous avez entré lorsque vous avez demandé le certificat
au départ.
• administrator@votre_domaine
• hostmaster@votre_domaine
• postmaster@votre_domaine
• webmaster@votre_domaine
• admin@votre_domaine
Note
Il existe une exception pour le processus décrit ci-dessus. Si vous demandez un certificat ACM
pour un nom de domaine qui commence par www ou un caractère générique astérisque (*),
ACM supprime le préfixe www ou l'astérisque et envoie un e-mail aux adresses administratives
formées en ajoutant admin@, administrator@, hostmaster@, postmaster@ et webmaster@
devant la partie restante du nom du domaine. Par exemple, si vous demandez un certificat
ACM pour www.example.com, l'e-mail n'est pas envoyé à [email protected]
mais à [email protected]. De même, si vous demandez un certificat ACM pour
*.test.example.com, l'e-mail est envoyé à [email protected]. Les adresses
administratives courantes restantes sont formées de la même manière.
Note
Pour vérifier que l'e-mail est bien envoyé aux adresses administratives d'un domaine apex,
par exemple example.com, et pas à celles d'un sous-domaine, par exemple test.example.com,
spécifiez l'option ValidationDomain dans l'API RequestCertificate ou la commande d'AWS
CLI request-certificate. Cette fonctionnalité n'est pas prise en charge actuellement dans la
console.
L'e-mail de validation suivant est envoyé.
Version 1.0
14
Cliquez sur le lien qui vous envoie vers le site des approbations de certificats Amazon et choisissez I
Approve.
Version 1.0
15
Après avoir choisi I Approve, un site Web s'ouvre pour indiquer que votre demande a abouti.
Version 1.0
16
Vous pouvez revenir à la console ACM en cliquant sur un lien dans la page de réussite. Dans la
console, la colonne Status indique que le certificat ACM a été Emis.
Version 1.0
17
Gestion des certificats ACM
Une fois que vous avez demandé (p. 12) un ou plusieurs certificats et qu'AWS Certificate Manager
les a fournis, vous pouvez gérer ces certificats dans la AWS Management Console ou l'AWS CLI. Vous
pouvez également gérer les certificats que vous avez importés (p. 25).
Gérer des certificats ACM (console)
Vous pouvez utiliser la console ACM pour obtenir des informations sur un certificat ACM ou le
supprimer. Pour les certificats fournis par ACM, vous pouvez également demander à ACM de renvoyer
l'e-mail de validation.
Affichage des informations de certificat ACM
Chacun des certificats ACM occupe une ligne dans la console. Par défaut, les colonnes suivantes sont
affichées pour chaque certificat :
• Domain Name – nom de domaine complet pour le certificat.
• Additional Names – noms supplémentaires pris en charge par ce certificat.
• Status – statut du certificat. Il peut s'agir de l'une des valeurs suivantes :
• Pending validation
• Issued
• Inactive
• Expired
• Revoked
• Failed
• Timed out
• In Use? – Si le certificat ACM est associé activement à un service AWS comme Elastic Load
Balancing ou CloudFront. La valeur peut être No ou Yes.
Personnalisation de l’écran de la console
Vous pouvez sélectionner les colonnes à afficher en choisissant l'icône engrenage (
supérieur droit de la console. Vous pouvez choisir parmi les colonnes suivantes.
Version 1.0
18
) dans le coin
Affichage des métadonnées du certificat
Pour afficher les métadonnées du certificat ACM, choisissez la flèche immédiatement à gauche du
nom de domaine. La console affiche des informations similaires aux informations suivantes.
Version 1.0
19
Suppression d'un certificat ACM
Dans la liste des certificats, activez la case à cocher correspondant au certificat ACM que vous
souhaitez supprimer. Pour Actions, choisissez Delete.
Renvoi d'un e-mail de validation (certificats fournis par ACM)
Vous approuvez une demande de certificat ACM en utilisant un jeton de validation qu'ACM envoie au
représentant autorisé. Cependant, étant donné que l'e-mail de validation nécessaire pour le processus
d'approbation peut être bloqué par des filtres anti-spam ou perdu en transit, le jeton de validation
expire automatiquement au bout de 72 heures. Si le représentant inscrit ne reçoit pas l'e-mail d'origine
ou que le jeton a expiré, vous pouvez demander que l'e-mail soit renvoyé en activant la case à cocher
correspondant au certificat ACM, en choisissant le bouton Actions, puis Resend email. Si la période de
72 heures est dépassée et que le certificat est passé à l'état Timed out, vous ne pouvez pas renvoyer
l'e-mail de validation.
Version 1.0
20
Note
Les informations précédentes s'appliquent uniquement aux certificats fournis par ACM. Vous
ne pouvez pas renvoyer l'e-mail de validation pour les certificats que vous avez importés dans
ACM (p. 25).
Gestion des certificats ACM (AWS CLI)
Vous pouvez utiliser l'AWS CLI pour obtenir des informations sur un certificat émis, supprimer un
certificat ou renvoyer l'e-mail de validation.
Récupération des champs de certificat ACM
Vous pouvez utiliser la commande describe-certificate pour récupérer des informations sur un
certificat.
aws acm describe-certificate --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
Suppression d'un certificat ACM
Vous pouvez utiliser la commande delete-certificate pour supprimer un certificat.
aws acm delete-certificate --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
Renvoi d'un e-mail de validation (certificats fournis par ACM)
Vous pouvez utiliser la commande resend-validation-email pour renvoyer un e-mail de validation.
aws acm resend-validation-email --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012 -validation-domain example.com
Note
Les informations précédentes s'appliquent uniquement aux certificats fournis par ACM. Vous
ne pouvez pas renvoyer l'e-mail de validation pour les certificats que vous avez importés dans
ACM (p. 25).
Démarrer avec Elastic Load Balancing
Vous n'installez pas votre certificat ACM directement sur les instances Amazon EC2 qui contiennent
votre site Web ou votre application. Par contre, vous associez le certificat ACM à un service AWS, par
exemple Elastic Load Balancing. Elastic Load Balancing améliore la disponibilité de votre site Web ou
de votre application en répartissant automatiquement le trafic entrant sur vos instances Amazon EC2.
L'équilibreur de charge constitue un point de contact unique pour les clients. L'illustration suivante le
montre.
Version 1.0
21
Vous devez suivre les étapes ci-dessous pour utiliser ACM avec un équilibreur de charge.
1.
Installer un site Web ou une application sur une ou plusieurs instances Amazon EC2.
2.
Créer un équilibreur de charge Elastic Load Balancing pour acheminer le trafic client vers les
instances Amazon EC2.
3.
Utiliser la console, l'API ou l'AWS Command Line Interface ACM pour demander un certificat
ACM (p. 12) ou importer un certificat dans ACM (p. 25).
4.
Utiliser la console, l'API ou l'AWS CLI Elastic Load Balancing pour mettre en service le certificat
ACM sur l'équilibreur de charge.
5.
Les clients accèdent au site Web via l’équilibreur de charge.
6.
L’équilibreur de charge répartit le trafic client sur les instances Amazon EC2.
Pour plus d'informations sur la manière de configurer votre équilibreur de charge pour utiliser un
certificat fourni par ACM (étape 4 de la liste précédente), consultez l'une des rubriques suivantes :
• Création d'un écouteur HTTPS pour votre équilibreur de charge d'application dans le Equilibreur de
charge d'application Guide
• Ecouteurs HTTPS pour votre équilibreur de charge classique dans le Equilibreur de charge
classique Guide
Version 1.0
22
Amazon CloudFront
Mise en route de Amazon CloudFront
Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Web statique et
dynamique en diffusant votre contenu via un réseau mondial d'emplacements périphériques. Pour plus
d'informations, consultez le Manuel du développeur Amazon CloudFront. Pour plus d'informations sur
l'utilisation de HTTPS avec CloudFront, consultez Utilisation d'une connexion HTTPS pour accéder vos
objets dans le Amazon CloudFront Manuel du développeur.
L'illustration suivante montre comment ACM et CloudFront peuvent être utilisés conjointement pour
diffuser votre contenu en toute sécurité via les emplacements périphériques.
Vous devez effectuer les étapes suivantes pour utiliser ACM avec CloudFront.
Note
Pour utiliser un certificat ACM avec CloudFront, vous devez demander ou importer le certificat
dans la région USA Est (Virginie du Nord).
1.
Configurez vos serveurs d'origine pour stocker la version définitive d'origine de votre contenu.
Votre origine peut être soit un compartiment Amazon S3 ou une instance de serveur Web Amazon
EC2.
2.
Créez une distribution CloudFront qui indique à CloudFront les serveurs d'origine sur lesquels
récupérer vos fichiers lorsque les utilisateurs effectuent des demandes via votre site Web ou votre
application.
3.
Utilisez la console ACM, l'API ACM ou l'AWS CLI pour demander un certificat (p. 12) ou
importer un certificat dans ACM (p. 25).
Utilisez la console, l'API ou l'AWS CLI CloudFront pour associer votre certificat ACM à la
distribution CloudFront.
CloudFront envoie la configuration de votre distribution (mais pas votre contenu) à l'ensemble
de ses emplacements périphériques. Les emplacements périphériques sont des collections de
4.
5.
Version 1.0
23
Amazon CloudFront
serveurs situées dans des centres de données géographiquement dispersés, sur lesquelles
CloudFront met en cache des copies de votre site Web ou des fichiers de votre application.
6.
Lorsqu'un utilisateur accède à votre site Web et demande un ou plusieurs objets, DNS dirige
l'utilisateur vers l'emplacement périphérique CloudFront qui peut le mieux satisfaire la demande.
Pour plus d'informations sur la façon dont CloudFront diffuse le contenu à vos utilisateurs,
consultez Diffusion de contenu par CloudFront dans le Amazon CloudFront Manuel du
développeur.
Version 1.0
24
Importation de certificats dans AWS
Certificate Manager
En plus de demander des certificats SSL/TLS fournis par AWS Certificate Manager (ACM), vous
pouvez importer des certificats que vous avez obtenus hors d'AWS. Ce cas peut se produire si vous
avez déjà obtenu un certificat auprès d'un émetteur tiers ou que les certificats fournis par ACM ne
répondent pas à vos besoins.
Une fois que vous avez importé un certificat, vous pouvez l'utiliser avec les services AWS qui sont
intégrés avec ACM (p. 6). Les certificats que vous importez fonctionnent de la même manière que ceux
fournis par ACM, à une exception importante près : ACM ne fournit pas de renouvellement géré (p. 5)
pour les certificats importés.
Important
Vous êtes chargé de surveiller la date d'expiration de vos certificats importés et de les
renouveler avant leur expiration.
La console ACM affiche un avertissement lorsqu'un certificat approche de sa date d'expiration. Pour
renouveler un certificat importé, vous pouvez obtenir un nouveau certificat auprès de l'émetteur
de votre certificat et l'importer ensuite dans ACM. Vous pouvez aussi demander un nouveau
certificat (p. 12) à ACM.
Tous les certificats présents dans ACM sont des ressources régionales, y compris les certificats que
vous importez. Pour utiliser le même certificat avec les équilibreurs de charge Elastic Load Balancing
dans différentes régions AWS, vous devez importer le certificat dans chaque région où vous souhaitez
l'utiliser. Pour utiliser un certificat avec Amazon CloudFront, vous devez l'importer dans la région USA
Est (Virginie du Nord). Pour plus d'informations, consultez Régions prises en charge (p. 5).
Pour plus d'informations sur la procédure à suivre pour importer des certificats dans ACM, consultez
les rubriques suivantes.
Rubriques
• Conditions préalables à l'importation de certificats (p. 26)
• Importation de certificats (AWS Management Console) (p. 26)
• Importation de certificats (API ACM) (p. 26)
Version 1.0
25
Conditions préalables à l'importation de certificats
• Dépannage (p. 27)
Conditions préalables à l'importation de certificats
Pour importer un certificat dans ACM, vous devez fournir le certificat et sa clé privée correspondante.
Si le certificat n'est pas auto-signé, vous devez également fournir une chaîne de certificats. (Vous
n'avez pas besoin d'une chaîne de certificats lorsque vous importez un certificat auto-signé.) Avant
d'importer un certificat, vérifiez que vous avez tous ces éléments et qu'ils répondent aux critères
suivants :
• Le certificat doit contenir une clé publique RSA 1 024 bits ou 2 048 bits.
• Le certificat doit être un certificat SSL/TLS comprenant au moins un nom de domaine complet. Vous
ne pouvez pas importer un certificat pour signer du code, chiffrer des courriers électroniques, ou
pour d'autres utilisations.
• Le certificat doit être valide au moment de son importation. Vous ne pouvez pas importer un certificat
avant le début de sa période de validité (date NotBefore du certificat) ou après son expiration (date
NotAfter du certificat).
• La clé privée doit être non chiffrée. Vous ne pouvez pas importer une clé privée qui est protégée par
un mot de passe ou une phrase secrète. Pour obtenir de l'aide pour déchiffrer une clé privée chiffrée,
consultez Dépannage (p. 27).
• Le certificat, la clé privée et la chaîne de certificats doivent être codés PEM. Pour obtenir de l'aide
pour convertir ces éléments au format PEM, consultez Dépannage (p. 27).
Importation de certificats (AWS Management
Console)
Pour importer un certificat dans ACM (console)
1.
Ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home.
2.
Choisissez Import a certificate.
3.
Procédez comme suit :
a.
Pour Certificate body, collez le certificat codé PEM à importer.
b.
Pour Certificate private key, collez la clé privée codée PEM, non chiffrée, correspondant à la
clé publique du certificat.
c.
(Facultatif) Pour Certificate chain, collez la chaîne de certificats codée PEM.
4.
Choisissez Review and import.
5.
Vérifiez les informations concernant votre certificat, puis choisissez Import.
Importation de certificats (API ACM)
Pour utiliser l'API ACM pour importer un certificat, envoyez une demande ImportCertificate. L'exemple
suivant montre comment procéder avec l'AWS Command Line Interface (AWS CLI). Dans cet exemple
il est supposé que :
• Le certificat codé PEM est stocké dans un fichier nommé Certificate.pem.
• La chaîne de certificats codée PEM est stockée dans un fichier nommé CertificateChain.pem.
Version 1.0
26
Dépannage
• La clé privée non chiffrée, codée PEM est stockée dans un fichier nommé PrivateKey.pem.
Pour utiliser l'exemple de commande suivant, remplacez ces noms de fichier par les vôtres et tapez
la commande sur une seule ligne continue. L'exemple suivant inclut des sauts de ligne et des espace
supplémentaires pour le rendre plus facile à lire.
$ aws acm import-certificate --certificate file://Certificate.pem
--certificate-chain file://CertificateChain.pem
--private-key file://PrivateKey.pem
Lorsque la commande précédente aboutit, elle retourne les Amazon Resource Name (ARN) du
certificat importé.
Dépannage
Pour pouvoir importer un certificat dans ACM, vous devez vérifier que le certificat, la clé privée et la
chaîne de certificats sont tous codés PEM. Vous devez également vous assurer que la clé privée est
non chiffrée. Voir les exemples suivantes.
Example Certificat PEM codé
-----BEGIN CERTIFICATE----Base64-encoded certificate
-----END CERTIFICATE-----
Example Clé privée non chiffrée codée PEM
-----BEGIN RSA PRIVATE KEY----Base64-encoded private key
-----END RSA PRIVATE KEY-----
Example Chaîne de certificats codée PEM
Une chaîne de certificats contient un ou plusieurs certificats. L'exemple suivant contient trois certificats,
mais votre chaîne de certificats peut en contenir plus ou moins.
-----BEGIN CERTIFICATE----Base64-encoded certificate
-----END CERTIFICATE---------BEGIN CERTIFICATE----Base64-encoded certificate
-----END CERTIFICATE---------BEGIN CERTIFICATE----Base64-encoded certificate
-----END CERTIFICATE-----
Si ces éléments ne sont pas au bon format pour être importés dans ACM, vous pouvez utiliser
OpenSSL pour les convertir au format approprié.
Pour convertir un certificat ou une chaîne de certificats DER en PEM
Utilisez la commande OpenSSL x509, comme dans l'exemple suivant. Dans la commande
suivante, remplacez Certificate.der par le nom du fichier qui contient votre certificat codé
Version 1.0
27
Dépannage
DER. Remplacez Certificate.pem par le nom souhaité du fichier de sortie devant contenir le
certificat codé PEM.
$ openssl x509 -inform DER -in Certificate.der -outform PEM out Certificate.pem
Pour convertir une clé privée de DER en PEM
Utilisez la commande OpenSSL rsa, comme dans l'exemple suivant. Dans la commande suivante,
remplacez PrivateKey.der par le nom du fichier qui contient votre clé privée codée DER.
Remplacez PrivateKey.pem par le nom souhaité du fichier de sortie devant contenir la clé
privée codée PEM.
$ openssl rsa -inform DER -in PrivateKey.der -outform PEM out PrivateKey.pem
Pour déchiffrer une clé privée chiffrée (supprimer le mot de passe ou la phrase passe)
Utilisez la commande OpenSSL rsa, comme dans l'exemple suivant. Pour utiliser la commande
suivante, remplacez EncryptedPrivateKey.pem par le nom du fichier qui contient votre clé
privée chiffrée. Remplacez PrivateKey.pem par le nom souhaité du fichier de sortie devant
contenir la clé privée non chiffrée codée PEM.
$ openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem
Pour convertir un ensemble de certificats de PKCS#12 (PFX) en PEM
Utilisez la commande OpenSSL pkcs12, comme dans l'exemple suivant. Dans la commande
suivante, remplacez CertificateBundle.p12 par le nom du fichier qui contient votre ensemble
de certificats codé PKCS#12. Remplacez CertificateBundle.pem par le nom souhaité du
fichier de sortie devant contenir l'ensemble de certificats codé PEM.
$ openssl pkcs12 -in CertificateBundle.p12 -out CertificateBundle.pem nodes
Pour convertir un ensemble de certificats de PKCS#7 en PEM
Utilisez la commande OpenSSL pkcs7, comme dans l'exemple suivant. Dans la commande
suivante, remplacez CertificateBundle.p7b par le nom du fichier qui contient votre ensemble
de certificats codé PKCS#7. Remplacez CertificateBundle.pem par le nom souhaité du
fichier de sortie devant contenir l'ensemble de certificats codé PEM.
$ openssl pkcs7 -in CertificateBundle.p7b -print_certs out CertificateBundle.pem
Version 1.0
28
Restrictions liées aux balises
Balisage des certificats AWS
Certificate Manager
Une balise est une étiquette que vous pouvez attribuer à un certificat ACM. Chaque balise se compose
d'une clé et d'une valeur. Vous pouvez utiliser la console AWS Certificate Manager, l'AWS Command
Line Interface (AWS CLI) ou l'API ACM pour ajouter, afficher ou supprimer des balises pour les
certificats ACM. Vous pouvez choisir les balises à afficher dans la console ACM.
Vous pouvez créer des balises personnalisées qui répondent à vos besoins. Par exemple, vous
pouvez baliser plusieurs certificats ACM avec une balise Environment = Prod ou Environment
= Beta pour identifier l'environnement auquel est destiné chaque certificat ACM. La liste suivante
contient quelques exemples supplémentaires d'autres balises personnalisées :
• Admin = Alice
• Purpose = Website
• Protocol = TLS
• Registrar = Route53
D'autres ressources AWS prennent également en charge le balisage. Vous pouvez donc attribuer la
même balise à différentes ressources pour indiquer si ces ressources sont liées. Par exemple, vous
pouvez attribuer une balise Website = example.com au certificat ACM, à l’équilibreur de charge et à
d'autres ressources utilisées pour votre site Web example.com.
Rubriques
• Restrictions liées aux balises (p. 29)
• Gestion des balises (p. 30)
Restrictions liées aux balises
Les restrictions de base suivantes s'appliquent aux balises des certificats ACM :
• Le nombre maximal de balises par certificat ACM est de 50.
• La longueur maximale d'une clé de balise est de 127 caractères.
• La longueur maximale d'une valeur de balise est de 255 caractères.
• Les clés et valeurs de balise sont sensibles à la casse.
Version 1.0
29
Gestion des balises
• Le préfixe aws: est réservé à AWS. Vous ne pouvez pas ajouter, modifier ou supprimer des balises
dont la clé commence par aws:. Les balises avec le préfixe aws: ne sont pas comptabilisées en
fonction de la limite de balises par ressource.
• Si vous prévoyez d'utiliser votre schéma de balisage sur plusieurs services et ressources, n'oubliez
pas que d'autres services peuvent avoir d'autres restrictions concernant les caractères autorisés.
Reportez-vous à la documentation correspondant à ce service.
• Les balises du certificat ACM ne peuvent pas être utilisées dans les Groupes de ressources et
l'Editeur de balises de la AWS Management Console.
Gestion des balises
Vous pouvez ajouter, modifier et supprimer des balises à l'aide d'AWS Management Console, de
l'AWS Command Line Interface ou de l'API AWS Certificate Manager.
Gestion des balises (console)
Vous pouvez utiliser la AWS Management Console pour ajouter, supprimer ou modifier des balises.
Vous pouvez également afficher des balises dans les colonnes.
Ajout d'une balise (console)
Utilisez la procédure suivante pour ajouter des balises à l'aide de la console ACM.
Pour ajouter une balise à un certificat (console)
1.
Connectez-vous à la AWS Management Console et ouvrez la console AWS Certificate Manager à
l'adresse https://console.aws.amazon.com/acm.
2.
Choisissez la flèche en regard du certificat que vous voulez baliser.
3.
Dans le volet des détails, faites défiler jusqu'à Tags.
4.
Choisissez Edit et Add Tag.
5.
Saisissez une clé et une valeur pour la balise.
6.
Choisissez Save.
Suppression d'une balise (console)
Utilisez la procédure suivante pour supprimer des balises à l'aide de la console ACM.
Pour supprimer une balise (console)
1.
2.
Choisissez la flèche en regard du certificat contenant une balise que vous voulez supprimer.
3.
4.
Choisissez Edit.
5.
Choisissez le signe X en regard de la balise que vous voulez supprimer.
6.
Choisissez Save.
Modification d'une balise (console)
Utilisez la procédure suivante pour modifier des balises à l'aide de la console ACM.
Version 1.0
30
Gestion des balises (AWS Command Line Interface)
Pour modifier une balise (console)
1.
2.
Choisissez la flèche en regard du certificat que vous voulez modifier.
3.
4.
Choisissez Edit.
5.
Modifiez la clé ou la valeur de la balise.
6.
Choisissez Save.
Affichage des balises en colonnes (console)
Utilisez la procédure suivante pour afficher les balises en colonnes dans la console ACM.
Pour afficher les balises en colonnes (console)
1.
2.
Choisissez les balises que vous voulez afficher sous forme de colonnes en choisissant l'icône
3.
d'engrenage
dans le coin supérieur droit de la console.
Activez la case à cocher en regard de la balise que vous voulez afficher dans une colonne.
Gestion des balises (AWS Command Line Interface)
Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à
l'aide de l'AWS CLI.
• add-tags-to-certificate
• list-tags-for-certificate
• remove-tags-from-certificate
Gestion des balises (API AWS Certificate Manager)
Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à
l'aide de l'API.
• AddTagsToCertificate
• ListTagsForCertificate
• RemoveTagsFromCertificate
Version 1.0
31
Stratégies gérées
Autorisations et stratégies
AWS Certificate Manager (ACM) utilise AWS Identity and Access Management (IAM) pour gérer les
autorisations utilisateur. Les rubriques suivantes constituent une brève présentation qui explique
comment utiliser IAM dans ACM. Pour obtenir une description plus complète d'IAM, consultez le Guide
de l'utilisateur AWS Identity and Access Management.
Rubriques
• Stratégies gérées (p. 32)
• Stratégies en ligne (p. 33)
• Stratégies des ressources intégrées (p. 36)
Stratégies gérées
Les stratégies gérées sont des stratégies autonomes que vous pouvez lier à plusieurs utilisateurs,
groupes et rôles de votre compte AWS. Les stratégies gérées par AWS suivantes sont disponibles
pour ACM. Pour plus d'informations sur la liaison de stratégies gérées à un utilisateur, un groupe ou un
rôle, consultez Utilisation des stratégies gérées dans le IAM Guide de l'utilisateur.
Rubriques
• AWSCertificateManagerReadOnly (p. 32)
• AWSCertificateManagerFullAccess (p. 33)
• Liaison d'une stratégie gérée à l'aide d'AWS Management Console (p. 33)
AWSCertificateManagerReadOnly
Cette stratégie fournit un accès en lecture seule aux certificats ACM. Elle permet aux utilisateurs de
décrire des certificats ACM, de les répertorier sous forme de liste et de les extraire.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
Version 1.0
32
AWSCertificateManagerFullAccess
"acm:ListCertificates",
"acm:GetCertificate",
"acm:ListTagsForCertificate"
],
"Resource": "*"
}
}
Pour afficher cette stratégie gérée par AWS dans la console, accédez à
https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/
AWSCertificateManagerReadOnly.
AWSCertificateManagerFullAccess
Cette stratégie fournit un accès complet à toutes les actions et ressources ACM, et inclut toutes les
autorisations qui sont admises dans le cadre de la stratégie AWSCertificateManagerReadOnly.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["acm:*"],
"Resource": "*"
}]
}
Pour afficher cette stratégie gérée par AWS dans la console, accédez à
https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/
AWSCertificateManagerFullAccess.
Liaison d'une stratégie gérée à l'aide d'AWS
Management Console
Pour utiliser une stratégie gérée, l'utilisateur disposant de privilèges administratifs doit la lier à un
utilisateur, un rôle ou un groupe. La procédure suivante explique la manière de procéder dans la
console de gestion IAM.
1.
Connectez-vous à la console Identity and Access Management (IAM) à l'adresse https://
console.aws.amazon.com/iam/.
2.
Dans le volet de navigation, choisissez Policies.
3.
Dans la liste des stratégies, sélectionnez la case à cocher en regard du nom de la stratégie à
attacher. Vous pouvez utiliser le menu Filter et la zone Search pour filtrer la liste de stratégies.
4.
Choisissez Policy Actions, puis choisissez Attach.
5.
Sélectionnez l'utilisateur, le groupe ou le rôle auquel lier la stratégie. Vous pouvez utiliser le menu
Filter et la zone Search pour filtrer la liste des entités mandataires. Après avoir sélectionné les
entités mandataires auxquelles attacher la stratégie, choisissez Attach Policy.
Stratégies en ligne
Les stratégies en ligne sont des stratégies que vous créez, gérez et intégrez directement à un
utilisateur, un groupe ou un rôle spécifique. Les exemples de stratégies suivants vous montrent
comment attribuer des autorisations pour effectuer des actions ACM. Pour plus d'informations sur
Version 1.0
33
Liste des certificats
la liaison de stratégies en ligne, consultez Utilisation de stratégies en ligne dans le IAM Guide de
l'utilisateur.
Rubriques
• Liste des certificats (p. 34)
• Récupération d'un certificat (p. 34)
• Suppression d'un certificat (p. 34)
• Accès en lecture seule à ACM (p. 35)
• Accès complet à ACM (p. 35)
• Accès administrateur à toutes les ressources AWS (p. 36)
La stratégie suivante permet à un utilisateur d'établir la liste de tous les certificats ACM figurant dans le
compte de l'utilisateur.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "acm:ListCertificates",
"Resource": "*"
}]
}
Note
Cette autorisation est nécessaire pour que les certificats ACM apparaissent dans les consoles
Elastic Load Balancing et CloudFront.
Récupération d'un certificat
La stratégie suivante permet à un utilisateur d'extraire un certificat ACM spécifique.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "acm:GetCertificate",
"Resource": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
}
}
Suppression d'un certificat
La stratégie suivante permet à un utilisateur de supprimer un certificat ACM spécifique.
{
"Version": "2012-10-17",
"Statement": {
Version 1.0
34
Accès en lecture seule à ACM
"Effect": "Allow",
"Action": "acm:DeleteCertificate",
"Resource": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
}
}
Accès en lecture seule à ACM
La stratégie suivante permet à un utilisateur de décrire et répertorier un certificat ACM, et d'extraire le
certificat ACM et la chaîne de certificats.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:ListCertificates",
"acm:GetCertificate",
"acm:ListTagsForCertificate"
],
"Resource": "*"
}
}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS
dans la AWS Management Console. Pour plus d'informations, consultez
AWSCertificateManagerReadOnly (p. 32). Pour afficher la stratégie gérée dans la console,
accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/
AWSCertificateManagerReadOnly.
Accès complet à ACM
La stratégie suivante permet à un utilisateur d'effectuer une action ACM.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["acm:*"],
"Resource": "*"
}]
}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS
dans la AWS Management Console. Pour plus d'informations, consultez
AWSCertificateManagerFullAccess (p. 33). Pour afficher la stratégie gérée dans la console,
accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/
AWSCertificateManagerFullAccess.
Version 1.0
35
Accès administrateur à toutes les ressources AWS
Accès administrateur à toutes les ressources AWS
La stratégie suivante permet à un utilisateur d'effectuer une action sur une ressource AWS.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}]
}
Note
Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans la AWS
Management Console. Pour afficher la stratégie gérée dans la console, accédez à https://
console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess.
Stratégies des ressources intégrées
Les rubriques suivantes expliquent comment fournir un accès IAM aux utilisateurs, aux groupes et aux
rôles pour les services intégrés à ACM.
Exemples de stratégies IAM pour Elastic Load
Balancing
Pour plus d'informations et des exemples de stratégies détaillant comment accorder des autorisations
IAM aux utilisateurs et groupes Elastic Load Balancing, consultez Exemples de stratégies IAM pour
Elastic Load Balancing.
Exemples de stratégies IAM pour Amazon
CloudFront
Pour plus d'informations et des exemples de stratégies détaillant comment accorder des autorisations
IAM à des ressources CloudFront, consultez Utilisation d'IAM pour contrôler l'accès aux ressources
CloudFront.
Version 1.0
36
Journalisation des appels d'API ACM
Utilisation de AWS CloudTrail
Vous pouvez utiliser CloudTrail pour enregistrer les appels API qui sont effectués par AWS Certificate
Manager et les services intégrés à ACM comme indiqué dans les rubriques suivantes.
Rubriques
• Journalisation des appels d'API AWS Certificate Manager avec AWS CloudTrail (p. 37)
• Journalisation des appels d'API liés à ACM (p. 47)
Journalisation des appels d'API AWS Certificate
Manager avec AWS CloudTrail
AWS Certificate Manager (ACM) est intégré à AWS CloudTrail, un service qui capture les appels
d'API, transmet les fichiers journaux à un compartiment Amazon Simple Storage Service (Amazon S3)
que vous spécifiez, et conserve l'historique des appels d'API. CloudTrail capture les appels d'API à
partir de la console ou de l'interface de ligne de commande AWS Certificate Manager, ou depuis le
code. Les informations collectées par CloudTrail vous permettent de déterminer quelle demande a été
envoyée à ACM, l'adresse IP source à partir de laquelle la demande a été effectuée, qui a effectué la
demande, quand, etc.
Pour en savoir plus sur CloudTrail, y compris la façon de le configurer et de l'activer, consultez le
Guide de l'utilisateur AWS CloudTrail.
Lorsque vous activez la journalisation CloudTrail dans votre compte AWS, les appels d'API
effectués pour certaines actions ACM font l'objet d'un suivi dans les fichiers journaux CloudTrail. Les
enregistrements ACM sont écrits avec d'autres enregistrements de service AWS. CloudTrail détermine
quand créer un fichier journal et y consigner des données en fonction d'une période et d'une taille de
fichier.
Les actions ACM suivantes sont prises en charge :
• AddTagsToCertificate
• DeleteCertificate
Version 1.0
37
Journalisation des appels d'API ACM
• DeleteCertificate
• DescribeCertificate
• GetCertificate
• ImportCertificate
• ListCertificates
• ListTagsForCertificate
• RemoveTagsFromCertificate
• RequestCertificate
• ResendValidationEmail
Chaque entrée du journal contient des informations sur la personne qui a généré la demande. Les
informations d'identité d'utilisateur figurant dans l'entrée de journal vous aident à déterminer si la
demande a été effectuée au moyen d'informations d'identification racine ou d'utilisateur IAM, au moyen
d'informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré, ou par un
autre service AWS. Pour plus d'informations, consultez la section Elément userIdentity CloudTrail.
Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le
souhaitez, mais vous pouvez également définir des règles de cycle de vie Amazon S3 pour archiver ou
supprimer automatiquement les fichiers journaux. Par défaut, vos fichiers journaux sont chiffrés à l'aide
du chiffrement côté serveur (SSE) de Amazon S3.
Vous pouvez décider d'utiliser CloudTrail pour publier des notifications Amazon SNS lorsque de
nouveaux fichiers journaux sont fournis, si vous voulez effectuer une action rapide lors de la livraison
des journaux. Pour plus d'informations, consultez Configuration des notifications Amazon SNS pour
CloudTrail dans le Guide de l'utilisateur AWS CloudTrail.
Vous pouvez également regrouper des fichiers journaux AWS Certificate Manager provenant de
plusieurs régions AWS et de plusieurs comptes AWS dans un compartiment Amazon S3 unique.
Pour en savoir plus, consultez Recevoir les fichiers journaux de CloudTrail de plusieurs régions et
Recevoir les fichiers CloudTrail de plusieurs comptes .
Les fichiers journaux CloudTrail contiennent une ou plusieurs entrées de journal, et chaque entrée
répertorie plusieurs événements au format JSON. Une entrée de journal représente une demande
individuelle à partir de n'importe quelle source et comprend des informations sur l'action demandée,
sur la date et l'heure de l'action, sur les paramètres de la demande, etc. Les entrées de journal ne sont
garanties dans aucun ordre particulier. Cela signifie qu'il ne s'agit pas d'une série ordonnée d'appels
d'API publics. Pour plus d'informations sur les champs qui constituent une entrée de journal, consultez
la rubrique Guide de référence des événements Cloudtrail.
Pour obtenir des exemples d'entrées ACM CloudTrail possibles, consultez les rubriques suivantes.
Rubriques
• Ajout de balises à un certificat (p. 39)
• Description d'un certificat (p. 40)
• Récupération d'un certificat (p. 41)
• Importation d'un certificat (p. 42)
• Liste des certificats (p. 43)
• Etablissement d'une liste de balises pour un certificat (p. 44)
• Suppression de balises dans un certificat (p. 45)
Version 1.0
38
Ajout de balises
• Renvoi d'un e-mail de validation (p. 46)
Ajout de balises à un certificat
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API AddTagsToCertificate.
{
Records: [{
eventVersion: "1.04",
userIdentity: {
type: "IAMUser",
principalId: "AIDACKCEVSQ6C2EXAMPLE",
arn: "arn:aws:iam::123456789012:user/Alice",
accountId: "123456789012",
accessKeyId: "AKIAIOSFODNN7EXAMPLE",
userName: "Alice"
},
eventTime: "2016-04-06T13:53:53Z",
eventSource: "acm.amazonaws.com",
eventName: "AddTagsToCertificate",
awsRegion: "us-east-1",
sourceIPAddress: "192.0.2.0",
userAgent: "aws-cli/1.10.16",
requestParameters: {
tags: [{
value: "Alice",
key: "Admin"
}],
certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
},
responseElements: null,
requestID: "ffd7dd1b-fbfe-11e5-ba7b-5f4e988901f9",
eventID: "4e7b10bb-7010-4e60-8376-0cac3bc860a5",
eventType: "AwsApiCall",
recipientAccountId: "123456789012"
}]
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API DeleteCertificate.
{
"Records": [{
"eventVersion": "1.04",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Alice"
Version 1.0
39
Description d'un certificat
},
"eventTime": "2016-03-18T00:00:26Z",
"eventSource": "acm.amazonaws.com",
"eventName": "DeleteCertificate",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.9.15",
"requestParameters": {
"certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
},
"responseElements": null,
"requestID": "6b0f5bb9-ec9c-11e5-a28b-51e7e3169e0f",
"eventID": "08f18f8a-a827-4924-b864-afaf98517793",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}]
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API DescribeCertificate.
Note
Le journal CloudTrail pour l'action DescribeCertificate n'affiche pas d'informations sur
le certificat ACM que vous spécifiez. Vous pouvez afficher les informations sur le certificat en
utilisant la console, l'AWS Command Line Interface ou l'API DescribeCertificate.
{
"Records": [{
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"userName": "Alice"
},
"eventTime": "2016-03-18T00:00:42Z",
"eventName": "DescribeCertificate",
},
"requestID": "74b91d83-ec9c-11e5-ac34-d1e4dfe1a11b",
"eventID": "7779b6da-75c2-4994-b8c1-af3ad47b518a",
}]
Version 1.0
40
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API GetCertificate.
{
"Records": [{
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"userName": "Alice"
},
"eventTime": "2016-03-18T00:00:41Z",
"eventName": "GetCertificate",
},
"responseElements": {
"certificateChain": "-----BEGIN CERTIFICATE----MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC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\n-----END
CERTIFICATE-----",
"certificate": "-----BEGIN CERTIFICATE----MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
Version 1.0
41
Importation d'un certificat
FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=-----END
CERTIFICATE-----"
},
"requestID": "744dd891-ec9c-11e5-ac34-d1e4dfe1a11b",
"eventID": "7aa4f909-00dd-478a-9a00-b2709bcad2bb",
}]
}
Importation d'un certificat
L'exemple suivant illustre l'entrée de journal CloudTrail qui enregistre un appel à l'opération d'API ACM
ImportCertificate.
{
"userIdentity": {
"type": "IAMUser",
"accountId": "111122223333",
"userName": "Alice"
},
"eventTime": "2016-10-04T16:01:30Z",
"eventName": "ImportCertificate",
"awsRegion": "ap-southeast-2",
"userAgent": "Coral/Netty",
"privateKey": {
"hb": [
byte,
byte,
byte,
...
],
"offset": 0,
"isReadOnly": false,
"bigEndian": true,
"nativeByteOrder": false,
"mark": -1,
"position": 0,
"limit": 1674,
"capacity": 1674,
"address": 0
},
"certificateChain": {
"hb": [
byte,
byte,
byte,
...
],
"offset": 0,
Version 1.0
42
"bigEndian": true,
"mark": -1,
"position": 0,
"limit": 2105,
"capacity": 2105,
"address": 0
},
"certificate": {
"hb": [
byte,
byte,
byte,
...
],
"offset": 0,
"bigEndian": true,
"mark": -1,
"position": 0,
"limit": 2503,
"capacity": 2503,
"address": 0
}
},
"certificateArn": "arn:aws:acm:apsoutheast-2:111122223333:certificate/6ae06649-ea82-4b58-90ee-dc05870d7e99"
},
"requestID": "cf1f3db7-8a4b-11e6-88c8-196af94bb7be",
"eventID": "fb443118-bfaa-4c90-95c1-beef21e07f8e",
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ListCertificates.
Note
Le journal CloudTrail de l'action ListCertificates n'affiche pas vos certificats ACM. Vous
pouvez afficher la liste des certificats à l'aide de la console, de l'AWS Command Line Interface
ou de l'API ListCertificates.
{
"Records": [{
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
Version 1.0
43
Etablissement d'une liste de balises
"userName": "Alice"
},
"eventTime": "2016-03-18T00:00:43Z",
"eventName": "ListCertificates",
"maxItems": 1000,
"certificateStatuses": ["ISSUED"]
},
"requestID": "74c99844-ec9c-11e5-ac34-d1e4dfe1a11b",
"eventID": "cdfe1051-88aa-4aa3-8c33-a325270bff21",
}]
}
Etablissement d'une liste de balises pour un
certificat
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ListTagsForCertificate.
Note
Le journal CloudTrail de l'action ListTagsForCertificate n'affiche pas vos certificats.
Vous pouvez afficher la liste des balises à l'aide de la console, de l'AWS Command Line
Interface ou de l'API ListTagsForCertificate.
{
Records: [{
userIdentity: {
type: "IAMUser",
accountId: "123456789012",
userName: "Alice"
},
eventTime: "2016-04-06T13:30:11Z",
eventName: "ListTagsForCertificate",
certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
},
requestID: "b010767f-fbfb-11e5-b596-79e9a97a2544",
eventID: "32181be6-a4a0-48d3-8014-c0d972b5163b",
Version 1.0
44
Suppression de balises
}]
}
Suppression de balises dans un certificat
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API RemoveTagsFromCertificate.
{
Records: [{
userIdentity: {
type: "IAMUser",
accountId: "123456789012",
userName: "Alice"
},
eventTime: "2016-04-06T14:10:01Z",
eventName: "RemoveTagsFromCertificate",
certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012",
tags: [{
value: "Bob",
key: "Admin"
}]
},
requestID: "40ded461-fc01-11e5-a747-85804766d6c9",
eventID: "0cfa142e-ef74-4b21-9515-47197780c424",
}]
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API RequestCertificate.
{
"Records": [{
"userIdentity": {
"type": "IAMUser",
Version 1.0
45
Renvoi d'un e-mail de validation
"accountId": "123456789012",
"userName": "Alice"
},
"eventTime": "2016-03-18T00:00:49Z",
"eventName": "RequestCertificate",
"subjectAlternativeNames": ["example.net"],
"domainName": "example.com",
"domainValidationOptions": [{
"domainName": "example.com",
"validationDomain": "example.com"
},
{
"domainName": "example.net",
"validationDomain": "example.net"
}],
"idempotencyToken": "8186023d89681c3ad5"
},
},
"requestID": "77dacef3-ec9c-11e5-ac34-d1e4dfe1a11b",
"eventID": "a4954cdb-8f38-44c7-8927-a38ad4be3ac8",
}]
}
L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ResendValidationEmail.
{
"Records": [{
"userIdentity": {
"type": "IAMUser",
"accountId": "123456789012",
"userName": "Alice"
},
"eventTime": "2016-03-17T23:58:25Z",
"eventName": "ResendValidationEmail",
"domain": "example.com",
Version 1.0
46
Journalisation des appels d'API liés à ACM
"certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012",
"validationDomain": "example.com"
},
"requestID": "23760b88-ec9c-11e5-b6f4-cb861a6f0a28",
"eventID": "41c11b06-ca91-4c1c-8c61-af349ea8bab8",
}]
}
Journalisation des appels d'API liés à ACM
Vous pouvez utiliser CloudTrail pour auditer les appels d'API effectués par les services intégrés à
ACM. Pour plus d'informations sur l'utilisation de CloudTrail, consultez le Guide de l'utilisateur AWS
CloudTrail. Les exemples suivants illustrent les types de journaux qui peuvent être générés en fonction
des ressources AWS sur lesquelles vous mettez en service le certificat ACM.
Rubriques
• Création d'un équilibreur de charge (p. 47)
• Enregistrement d'une Instance Amazon EC2 avec un équilibreur de charge (p. 48)
• Déchiffrement d'une clé privée (p. 49)
• Déchiffrement d'une clé privée (p. 50)
Création d'un équilibreur de charge
L'exemple suivant montre un appel à la fonction CreateLoadBalancer effectué par un utilisateur
IAM nommé Alice. Le nom de l’équilibreur de charge est TestLinuxDefault, et l’écouteur est créé à
l'aide d'un certificat ACM.
{
"userIdentity": {
"type": "IAMUser",
"accountId": "111122223333",
"userName": "Alice"
},
"eventTime": "2016-01-01T21:10:36Z",
"eventSource": "elasticloadbalancing.amazonaws.com",
"eventName": "CreateLoadBalancer",
"sourceIPAddress": "192.0.2.0/24",
"availabilityZones": ["us-east-1b"],
"loadBalancerName": "LinuxTest",
"listeners": [{
"sSLCertificateId": "arn:aws:acm:useast-1:111122223333:certificate/12345678-1234-1234-1234-123456789012",
Version 1.0
47
Enregistrement d'Amazon EC2
"protocol": "HTTPS",
"loadBalancerPort": 443,
"instanceProtocol": "HTTP",
"instancePort": 80
}]
},
"dNSName": "LinuxTest-1234567890.us-east-1.elb.amazonaws.com"
},
"requestID": "19669c3b-b0cc-11e5-85b2-57397210a2e5",
"eventID": "5d6c00c9-a9b8-46ef-9f3b-4589f5be63f7",
}
Enregistrement d'une Instance Amazon EC2 avec
un équilibreur de charge
Lorsque vous mettez en service votre site Web ou votre application sur une instance Amazon Elastic
Compute Cloud (Amazon EC2), l’équilibreur de charge doit être informé de cette instance. Cette action
peut s'effectuer via la console Elastic Load Balancing ou l'AWS Command Line Interface. L'exemple
suivant illustre un appel de RegisterInstancesWithLoadBalancer pour un équilibreur de charge
nommé LinuxTest sur le compte AWS 123456789012.
{
"userIdentity": {
"type": "IAMUser",
"arn": "arn:aws:iam::123456789012:user/ALice",
"accountId": "123456789012",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2016-01-01T19:35:52Z"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2016-01-01T21:11:45Z",
"eventSource": "elasticloadbalancing.amazonaws.com",
"eventName": "RegisterInstancesWithLoadBalancer",
"sourceIPAddress": "192.0.2.0/24",
"userAgent": "signin.amazonaws.com",
"loadBalancerName": "LinuxTest",
"instances": [{
"instanceId": "i-c67f4e78"
}]
},
"instances": [{
Version 1.0
48
Déchiffrement d'une clé privée
"instanceId": "i-c67f4e78"
}]
},
"requestID": "438b07dc-b0cc-11e5-8afb-cda7ba020551",
"eventID": "9f284ca6-cbe5-42a1-8251-4f0e6b5739d6",
}
L'exemple suivant illustre un appel à Encrypt qui chiffre la clé privée associée à un certificat ACM. Le
chiffrement est effectué dans AWS.
{
"Records": [
{
"userIdentity": {
"type": "IAMUser",
"arn": "arn:aws:iam::111122223333:user/acm",
"accountId": "111122223333",
"userName": "acm"
},
"eventTime": "2016-01-05T18:36:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-internal",
"keyId": "arn:aws:kms:us-east-1:123456789012:alias/aws/acm",
"encryptionContext": {
"aws:acm:arn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"
}
},
"requestID": "3c417351-b3db-11e5-9a24-7d9457362fcc",
"eventID": "1794fe70-796a-45f5-811b-6584948f24ac",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:useast-1:123456789012:key/87654321-4321-4321-4321-210987654321",
"accountId": "123456789012"
}],
"eventType": "AwsServiceEvent",
}]
}
Version 1.0
49
L'exemple suivant illustre un appel à Decrypt qui déchiffre la clé privée associée à un certificat ACM.
Le déchiffrement s'effectue dans AWS et la clé déchiffrée ne quitte jamais AWS.
{
"userIdentity": {
"type": "AssumedRole",
"principalId":
"AIDACKCEVSQ6C2EXAMPLE:1aba0dc8b3a728d6998c234a99178eff",
"arn": "arn:aws:sts::111122223333:assumed-role/
DecryptACMCertificate/1aba0dc8b3a728d6998c234a99178eff",
"accountId": "111122223333",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2016-01-01T21:13:28Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "APKAEIBAERJR2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/
DecryptACMCertificate",
"accountId": "111122223333",
"userName": "DecryptACMCertificate"
}
}
},
"eventTime": "2016-01-01T21:13:28Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-internal/3",
"encryptionContext": {
"aws:elasticloadbalancing:arn":
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/
LinuxTest",
"aws:acm:arn": "arn:aws:acm:useast-1:123456789012:certificate/87654321-4321-4321-4321-210987654321"
}
},
"requestID": "809a70ff-b0cc-11e5-8f42-c7fdf1cb6e6a",
"eventID": "7f89f7a7-baff-4802-8a88-851488607fb9",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:useast-1:123456789012:key/12345678-1234-1234-1234-123456789012",
"accountId": "123456789012"
}],
"eventType": "AwsServiceEvent",
Version 1.0
50
}
Version 1.0
51
DeleteCertificate
Utilisation de l'API ACM
Vous pouvez utiliser l'API AWS Certificate Manager pour interagir avec le service par programmation
en envoyant des demandes HTTP. Pour plus d'informations, consultez la Référence d'API AWS
Certificate Manager.
En plus de l'API Web (ou de l'API HTTP), vous pouvez utiliser les kits SDK AWS et les outils de ligne
de commande pour interagir avec ACM et d'autres services. Pour plus d'informations, consultez Outils
pour Amazon Web Services.
Les pages suivantes vous montrent comment utiliser l'un des SDK AWS, le AWS SDK for Java, pour
effectuer les opérations disponibles dans l'API AWS Certificate Manager.
Rubriques
• Description d'un certificat (p. 53)
• Obtention d'une chaîne de certificats (p. 55)
• Liste des certificats ACM (p. 56)
• Renvoi d'un e-mail de validation (p. 58)
L'exemple suivant montre comment utiliser la fonction DeleteCertificate.
package com.amazonaws.samples;
import com.amazonaws.regions.Region;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient;
import com.amazonaws.services.certificatemanager.AWSCertificateManager;
import
com.amazonaws.services.certificatemanager.model.DeleteCertificateRequest;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.AmazonClientException;
/**
* This sample demonstrates how to use the DeleteCertificate function in the
* AWS Certificate Manager service. This function deletes the certificate
Version 1.0
52
DescribeCertificate
* specified by its ARN.
*
* Input Parameters:
*
CertificateArn - String that contains the Amazon Resource Name (ARN)
of
*
the certificate to be deleted.
*/
public class AWSCertificateManagerSample {
public static void main(String [] args) throws Exception {
// Retrieve the user's access key ID and secret access key.
AWSCredentials credentials = null;
try {
credentials = new ProfileCredentialsProvider().getCredentials();
} catch (Exception e) {
throw new AmazonClientException(
"Cannot load the credentials from the credential profiles
file. " +
"Please make sure that your credentials file is at the
correct " +
"location (~/.aws/credentials in Linux or C:\\Users\
\your_user_name\\.aws" +
"in Windows), and is in a valid format.",
e);
}
// Create an AWSCertificateManager client and set the region.
AWSCertificateManager acm = new
AWSCertificateManagerClient(credentials);
Region usEast1 = Region.getRegion(Regions.US_EAST_1);
acm.setRegion(usEast1);
// Specify the certificate ARN and call the deleteCertificate()
function.
String certARN = "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-12345678";
DeleteCertificateRequest req = new
DeleteCertificateRequest().withCertificateArn(certARN);
acm.deleteCertificate(req);
}
}
L'exemple suivant montre comment utiliser la fonction DescribeCertificate.
import
com.amazonaws.services.certificatemanager.model.DescribeCertificateRequest;
Version 1.0
53
DescribeCertificate
import
com.amazonaws.services.certificatemanager.model.DescribeCertificateResult;
/**
* This sample demonstrates how to use the DescribeCertificate function in
the
* AWS Certificate Manager service. This function returns a list of the
fields
* contained in the certificate specified by its ARN.
*
* Input Parameters:
*
for
*
the certificate.
*/
try {
file. " +
correct " +
e);
}
// Specify the certificate ARN and call the describeCertificate()
function.
DescribeCertificateRequest certRequest = new
DescribeCertificateRequest().withCertificateArn(certARN);
DescribeCertificateResult res = acm.describeCertificate(certRequest);
System.out.println(res);
}
}
Version 1.0
54
GetCertificate
Obtention d'une chaîne de certificats
L'exemple suivant montre comment utiliser la fonction GetCertificate.
import
import
import
import
import
import
import
import
import
com.amazonaws.regions.Region;
com.amazonaws.regions.Regions;
com.amazonaws.services.certificatemanager.AWSCertificateManagerClient;
com.amazonaws.services.certificatemanager.AWSCertificateManager;
com.amazonaws.services.certificatemanager.model.GetCertificateRequest;
com.amazonaws.services.certificatemanager.model.GetCertificateResult;
com.amazonaws.auth.profile.ProfileCredentialsProvider;
com.amazonaws.auth.AWSCredentials;
com.amazonaws.AmazonClientException;
/**
* This sample demonstrates how to use the GetCertificate function in the
* AWS Certificate Manager service. This function retrieves your SSL/TLS
* certificate and certificate ARN.
*
* Input Parameters:
*
CertificateArn - String that contains the ARN of the certificate to
*
be retrieved.
*
*/
try {
file. " +
correct " +
e);
}
// Specify the certificate ARN and call the getCertificate()
function.
Version 1.0
55
Liste des certificats ACM
GetCertificateRequest req = new
GetCertificateRequest().withCertificateArn(certARN);
GetCertificateResult res = acm.getCertificate(req);
}
}
Liste des certificats ACM
L'exemple suivant montre comment utiliser la fonction ListCertificates.
import
com.amazonaws.services.certificatemanager.model.ListCertificatesRequest;
import
com.amazonaws.services.certificatemanager.model.ListCertificatesResult;
/**
* This sample demonstrates how to use the ListCertificates function in the
* AWS Certificate Manager service. This function retrieves a list of your
* certificate ARNS and their associated domain names.
*
* Input Parameters: - None
*
*/
try {
file. " +
correct " +
e);
}
Version 1.0
56
RequestCertificate
// Call the listCertificates function.
ListCertificatesResult res = acm.listCertificates(new
ListCertificatesRequest());
}
}
L'exemple suivant illustre comment utiliser la fonction DeleteCertificate.
import
com.amazonaws.services.certificatemanager.model.RequestCertificateRequest;
import
com.amazonaws.services.certificatemanager.model.RequestCertificateResult;
/**
* This sample demonstrates how to use the RequestCertificate function in
the
* AWS Certificate Manager service. This function requests an ACM SSL/TLS
* certificate for your AWS account.
*
* Input Parameters:
*
for
*
the certificate.
*/
try {
Version 1.0
57
ResendValidationEmail
file. " +
correct " +
e);
}
// Specify the arguments and call the requestCertificate() function.
String domainName = "www.example.com";
String idempotencyToken = "1AqO5pTy";
String[] SAN = {"www.example.net"};
RequestCertificateRequest req = new
RequestCertificateRequest().withDomainName(domainName).withIdempotencyToken(idempotencyToke
RequestCertificateResult res = acm.requestCertificate(req);
}
}
L'exemple suivant montre comment utiliser la fonction ResendValidationEmail.
import
com.amazonaws.services.certificatemanager.model.ResendValidationEmailRequest;
/**
* This sample demonstrates how to use the ResendValidationEmail function in
the
* AWS Certificate Manager service. This function resend the email that you
can
* use to validate.
*
* Input Parameters:
*
for
*
the certificate.
Version 1.0
58
ResendValidationEmail
*/
try {
file. " +
correct " +
e);
}
// Specify the input parameters and call the resendValidationEmail()
function.
String domain = "example.com";
String validationDomain = "example.com";
ResendValidationEmailRequest req = new
ResendValidationEmailRequest().withCertificateArn(certARN).withDomain(domain).withValidatio
acm.resendValidationEmail(req);
}
}
Version 1.0
59
Sécurité de la clé privée ACM
Lorsque vous demandez un certificat (p. 12), AWS Certificate Manager (ACM) génère une paire de
clés publiques/privées. Pour les certificats importés (p. 25), vous générez la paire de clés. La clé
publique fait partie du certificat. ACM stocke le certificat et sa clé privée correspondante, et utilise
AWS Key Management Service (AWS KMS) pour aider à protéger la clé privée. Voici comment cela
fonctionne :
1. La première fois que vous demandez ou importez un certificat dans une région AWS, ACM crée une
clé principale client (CMK) gérée par AWS dans AWS KMS avec l'alias aws/acm. Cette clé CMK est
unique dans chaque compte AWS et chaque région AWS.
2. ACM utilise cette clé CMK pour chiffrer la clé privée du certificat. ACM stocke uniquement une
version chiffrée de la clé privée (ACM ne stocke pas la clé privée sous forme de texte brut). ACM
utilise la même clé CMK pour chiffrer les clés privées pour tous les certificats d'un compte AWS
spécifique et d'une région AWS spécifique.
3. Lorsque vous associez le certificat à un équilibreur de charge Elastic Load Balancing ou une
distribution Amazon CloudFront, ACM envoie le certificat et la clé privée chiffrée à l'équilibreur
de charge ou à la distribution. Vous créez également implicitement un octroi dans AWS KMS,
qui autorise l'équilibreur de charge ou la distribution à utiliser la clé CMK dans AWS KMS pour
déchiffrer la clé privée de ce certificat spécifique. Pour plus d'informations sur les octrois, consultez
Utilisation d'octrois dans le AWS Key Management Service Developer Guide.
4. L'équilibreur de charge ou la distribution utilise la clé CMK dans AWS KMS pour déchiffrer la clé
privée. L'équilibreur de charge ou la distribution utilise ensuite le certificat et la clé privée déchiffrée
(texte brut) pour établir des canaux de communication sécurisés (sessions SSL/TLS) avec ses
clients.
5. Lorsque le certificat est dissocié de l'équilibreur de charge ou de la distribution, l'octroi (créé à
l'étape 3) est retiré. Cela signifie que l'équilibreur de charge ou la distribution ne peut plus utiliser la
clé CMK dans AWS KMS pour déchiffrer la clé privée de ce certificat spécifique.
Version 1.0
60
Pas de réception d'e-mail de validation
Dépannage
Si vous rencontrez des problèmes lors de l'utilisation d'AWS Certificate Manager, consultez les
informations suivantes.
Rubriques
• Pas de réception d'e-mail de validation (p. 61)
• E-mail envoyé au sous-domaine (p. 62)
• Délai d'attente de la demande de certificat dépassé (p. 62)
• Échec de la demande de certificat (p. 63)
• Validation non terminée (p. 64)
Pas de réception d'e-mail de validation
Lorsque vous demandez un certificat à ACM, l'e-mail de validation de domaine est envoyé aux trois
adresses de contact spécifiées dans WHOIS et à cinq adresses administratives courantes. Pour
plus d'informations, consultez Validation de la propriété du domaine (p. 13). Si vous rencontrez des
problèmes de réception d'e-mail de validation, consultez les suggestions qui suivent.
Où chercher l'e-mail
L'e-mail de validation est envoyé aux adresses de contact répertoriées dans WHOIS et aux
adresses administratives courantes du domaine. L'e-mail n'est pas envoyé au propriétaire du
compte AWS, sauf si le propriétaire est également répertorié comme contact du domaine dans
WHOIS. Consultez la liste des adresses e-mail qui s'affichent dans la console ACM (ou qui sont
retournées par la CLI ou l'API) pour déterminer où vous devez rechercher l'e-mail de validation.
Pour consulter la liste, cliquez sur l'icône en regard du nom de domaine dans la case Validation
not complete.
L'e-mail est marqué comme courrier indésirable
Recherchez l'e-mail de validation dans votre dossier Courrier indésirable.
Gmail trie automatiquement votre e-mail
Si vous utilisez Gmail, l'e-mail de validation a peut-être été automatiquement trié dans les onglets
Mises à jour ou Promotions.
Le registre de domaine n'affiche pas d'informations sur le contact ou la protection de la confidentialité
est activée
Dans certains cas, l'inscrit du domaine, les contacts techniques et administratifs dans WHOIS
ne sont peut-être pas disponibles publiquement, et AWS ne peut donc pas joindre ces contacts.
Vous pouvez choisir de configurer votre registre pour qu'il répertorie votre adresse e-mail dans
WHOIS, mais les registres ne prennent pas tous cette option en charge. Vous pouvez être
contraint d'apporter la modification directement dans le registre de votre domaine. Dans d'autres
Version 1.0
61
E-mail envoyé au sous-domaine
cas, les informations de contact du domaine utilisent peut-être une adresse confidentielle, telle que
celles fournies via WhoisGuard ou PrivacyGuard. Pour les domaines achetés au service Amazon
Route 53, la protection de la confidentialité est activée par défaut et votre adresse e-mail est
mappée à une adresse e-mail whoisprivacyservice.org ou contact.gandi.net. Vérifiez
que votre adresse e-mail d'inscrit figurant dans le fichier avec votre registre de domaine est à jour
afin que l'e-mail envoyé à ces adresses e-mail masquées puisse être envoyé à une adresse e-mail
que vous contrôlez.
Si les coordonnées du contact d'e-mail pour votre domaine ne sont pas disponibles via WHOIS
ou que l'e-mail envoyé aux coordonnées du contact n'atteint pas le propriétaire du domaine
ou un représentant autorisé, nous vous recommandons de configurer votre domaine ou sousdomaine pour recevoir l'e-mail envoyé à une ou plusieurs adresses administratives courantes
comprenant le préfixe admin@, administrator@, hostmaster@, webmaster@ et postmaster@
au nom de domaine demandé. Pour plus d'informations sur la configuration d'un d'e-mail pour
votre domaine, consultez la documentation de votre fournisseur de services de messagerie
et suivez les instructions indiquées à l'adresse Configuration d'une adresse e-mail pour votre
domaine (p. 9). Si vous utilisez Amazon WorkMail, consultez Utilisation des utilisateurs dans le
Guide de l'administrateur Amazon WorkMail.
Après voir mis à disposition au moins une des huit adresses e-mail auxquelles AWS envoie un
e-mail de validation et avoir confirmé que vous pouvez recevoir un e-mail pour cette adresse,
vous êtes prêt à demander un certificat via ACM. Une fois que vous avez créé une demande de
certificat, vérifiez que l'adresse e-mail prévue s'affiche dans la liste des adresses e-mail dans la
AWS Management Console. Pendant que le certificat a l'état Validation en attente, vous pouvez
développer la liste pour l'afficher en cliquant sur l'icône en regard du nom de domaine dans
la case Validation non terminée. Vous pouvez aussi afficher la liste dans Step 3: Validate de
l'assistant Request a Certificate d'ACM. Les adresses e-mail répertoriées sont celles auxquelles
l'e-mail a été envoyé.
Contacter le Centre de support
Si, après avoir consulté les conseils précédents, vous ne recevez toujours pas d'e-mail de
validation de domaine, accédez au Centre de support et créez une demande. Si vous n'avez pas
de contrat d'assistance, envoyez un message au Forum de support ACM.
E-mail envoyé au sous-domaine
Si vous demandez un certificat pour un nom de sous-domaine, par exemple
sub.test.example.com, ACM vérifie ensuite s'il existe un enregistrement MX pour
sub.test.example.com. Sinon, le domaine parent test.example.com est ensuite vérifié, et
ainsi de suite, jusqu'au domaine de base example.com. Si un enregistrement MX est trouvé, la
recherche s'arrête et un e-mail de validation est envoyé aux adresses administratives courantes pour
le sous-domaine. Ainsi, si un enregistrement MX est trouvé pour test.example.com, un e-mail
est envoyé à [email protected], [email protected] et les autres adresses
administratives spécifiées dans Validation de la propriété du domaine (p. 13). Si un enregistrement MX
n'est pas trouvé dans un des sous-domaines, aucun e-mail n'est envoyé. Pour que l'e-mail soit envoyé
directement au domaine apex, par exemple example.com, spécifiez l'option ValidationDomain dans
l'API RequestCertificate ou la commande d'AWS CLI request-certificate. Cette fonctionnalité n'est pas
prise en charge actuellement dans la console.
Délai d'attente de la demande de certificat
dépassé
Les demandes de certificats ACM expirent si elles ne sont pas validées dans les 72 heures. Pour
corriger ce problème, supprimez votre demande et choisissez Request a certificate pour recommencer.
Version 1.0
62
Échec de la demande de certificat
Pour plus d'informations sur la manière d'approuver une demande de certificat, consultez Validation de
la propriété du domaine (p. 13).
Échec de la demande de certificat
Une demande de certificat ACM peut échouer. Si cela se produit, les explications suivantes peuvent
vous aider à comprendre pourquoi la demande a échoué et vous proposent d'effectuer certaines
actions pour résoudre le problème.
Motifs de l'échec
• Aucun contact disponible (p. 63)
• Domaine non autorisé (p. 63)
• Vérification supplémentaire nécessaire (p. 64)
• Domaine public non valide (p. 64)
• Autre (p. 64)
Aucun contact disponible
ACM n'a pas trouvé d'adresse e-mail à utiliser pour valider un ou plusieurs noms de domaine dans
la demande de certificat. Pour résoudre ce problème, vous pouvez procéder de l'une des manières
suivantes :
• Vérifiez que vous avez une adresse e-mail de travail enregistrée dans WHOIS et que cette adresse
apparaît lorsque vous effectuez une recherche WHOIS standard sur les noms de domaine figurant
dans la demande de certificat. En général, vous utilisez pour cela votre registre de domaine.
• Vérifiez que votre domaine est configuré pour recevoir des e-mails. Le serveur de noms de votre
domaine doit avoir un enregistrement MX pour permettre aux serveurs de messagerie d'ACM de
savoir où ils doivent envoyer l'e-mail de validation de domaine (p. 13).
L'une des tâches précédentes suffit pour résoudre ce problème. Il est inutile d'effectuer les deux.
Une fois que vous avez résolu le problème, demandez un nouveau certificat. Vous ne pouvez pas
soumettre à nouveau une demande de certificat qui a échoué.
Pour plus d'informations sur la façon de vous assurer que vous recevez les e-mails de validation de
domaine provenant d'ACM, consultez Configuration d'une adresse e-mail pour votre domaine (p. 9) ou
Pas de réception d'e-mail de validation (p. 61). Si vous suivez ces étapes et que vous continuez à
obtenir le message Aucun contact disponible, signalez le problème à AWS pour que nous puissions
l'examiner.
Domaine non autorisé
ACM n'autorise pas les demandes de certificat pour un ou plusieurs noms de domaine figurant dans la
demande de certificat. En général, cela provient du fait qu'un ou plusieurs noms de domaine figurant
dans la demande de certificat ont été trouvés dans la liste Google Safe Browsing des sites Web non
sécurisés ou dans la liste PhishTank des hameçons valides. Pour résoudre ce problème, vous pouvez
procéder de l'une des manières suivantes :
• Rechercher le nom de votre domaine sur le site Google Safe Browsing Site Status. Si votre domaine
est considéré comme non sécurisé, consultez Google Webmasters - Assistance pour les sites
Web piratés pour savoir ce que vous pouvez faire. Si vous pensez que votre domaine est sécurisé,
consultez Faire une demande de réexamen pour demander une vérification de Google.
• Recherchez votre nom de domaine dans la page d'accueil PhishTank. Si votre domaine est
considéré comme un hameçon, consultez Google Webmasters - Assistance pour les sites Web
Version 1.0
63
Vérification supplémentaire nécessaire
piratés ou Aide StopBadware Webmaster Help pour savoir ce que vous pouvez faire. Si vous pensez
que votre domaine est sécurisé, consultez la FAQ PhishTank pour savoir comment signaler un faux
positif.
Une fois que vous avez résolu le problème, demandez un nouveau certificat. Vous ne pouvez pas
soumettre à nouveau une demande de certificat qui a échoué.
Vérification supplémentaire nécessaire
ACM requiert davantage d'informations pour traiter cette demande de certificat. Pour fournir ces
informations, utilisez le Centre de support pour contacter AWS Support. Si vous n'avez pas de plan de
support, publiez un nouveau fil de discussion dans le forum de discussion AWS Certificate Manager.
Note
Vous ne pouvez pas demander un certificat pour des noms de domaine qui sont la propriété
d'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ou
elasticbeanstalk.com. Ainsi, votre demande de certificat échoue lorsqu'elle contient ces noms
de domaine.
Domaine public non valide
Un ou plusieurs noms de domaine figurant dans la demande de certificat ne sont pas valides. En
général, cela provient du fait qu'un nom de domaine figurant dans la demande ne correspond pas
à un domaine de niveau supérieur valide. Essayez de renouveler votre demande de certificat, en
corrigeant les fautes d'orthographe ou de frappe qui existaient dans la demande qui a échoué, et en
vérifiant que tous les noms de domaine figurant dans la demande correspondent à des domaines
de niveau supérieur valides. Par exemple, vous ne pouvez pas demander un certificat ACM pour
example.domainepublicnonvalide, car « domainepublicnonvalide » n'est pas un domaine de niveau
supérieur valide. Si vous continuez à recevoir ce motif d'échec, utilisez le Centre de Support pour
contacter AWS Support. Si vous n'avez pas de plan de support, publiez un nouveau fil de discussion
dans le forum de discussion AWS Certificate Manager.
Autre
En règle générale, cet échec se produit lorsqu'un ou plusieurs noms de domaine figurant dans la
demande de certificat contient une coquille. Essayez de renouveler votre demande de certificat en
corrigeant les fautes d'orthographe ou de frappe qui existaient dans la demande qui a échoué. Si vous
continuez à recevoir ce motif d'échec, utilisez le Centre de Support pour contacter AWS Support. Si
vous n'avez pas de plan de support, publiez un nouveau fil de discussion dans le forum de discussion
AWS Certificate Manager.
Validation non terminée
Si l'état de la demande de certificat ACM est Validation en attente, la demande est en attente de
validation. Pour approuver la demande, le représentant autorisé doit répondre à l'e-mail de validation
envoyé aux adresses de contact WHOIS enregistrées et aux autres adresses e-mail courantes pour
le domaine demandé. Pour plus d'informations sur la manière d'approuver une demande, consultez
Validation de la propriété du domaine (p. 13).
Important
Si votre demande comprend plusieurs noms de domaine dans le certificat, vous devez
approuver chaque nom de domaine que vous avez inclus. Si vous ne recevez pas d'e-mail de
Version 1.0
64
Validation non terminée
validation pour chaque nom de domaine inclus dans la demande, consultez Pas de réception
d'e-mail de validation (p. 61).
Version 1.0
65
Historique du document
Le tableau suivant décrit l'historique des versions de la documentation d'AWS Certificate Manager.
Dernière date de mise à jour de la documentation : 13 octobre 2016
Modification
Description
Date de parution
Nouveau contenu
Ajout de la documentation
sur Importation de
certificats (p. 25).
13 octobre 2016
Nouveau contenu
Ajout de la prise en charge
de AWS CloudTrail pour
les actions ACM. Voir
Journalisation des appels d'API
AWS Certificate Manager avec
AWS CloudTrail (p. 37).
25 mars 2016
Nouveau guide
Cette version présente AWS
Certificate Manager.
21 janvier 2016
Version 1.0
66

AWS Certificate Manager - Guide de l`utilisateur

Transcription

Documents pareils

Schüco Fenêtre AWS 50.NI Schüco Window AWS 50.NI

Mentions légales Publication Editeur du site : Directeur de la

Téléchargez le programme

Numéro prospectus AWS57PDF, 1 pages, 161 KB

Schüco Fenêtre AWS 60 BD Schüco Window AWS 60 BD

ACM OffrePosteTechnicienLaboratoiresaisonnier_juin2016

Les fonctions du directeur en ACM

Ingénieur Data / Java expérimenté

Bulle plastique ACM 67X-.../BCM 65X-.../CM 61X-... 200048697-00