问题标签 [aws-acm]

我正在尝试在 AWS ACM 中设置私有证书颁发机构 (CA)，以便在没有 Internet 访问权限的情况下（故意）设置与 VPC 的直接 VPN 连接。 https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html

因此，在 VPN 客户端配置中，我需要获取服务器证书 ARN。这就是我尝试设置私有 CA 以设置Client VPN Endpoint.

目前，我已经在 ACM 中创建了私有 CA，但需要：

导入 CA 证书以激活您的 CA。

我有点不清楚这里发生了什么。目前只有我一个人，所以我做了以下事情：

（以下链接：https ://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309 ）

在本地 PC 上：

1. 创建根 CA 私钥：

   /li>

2. Root Certificate在本地电脑上创建并自签名“ ”：

   3. 使用 CA Root key(Private Key)/Root Certificate 和 AWS 颁发的 CSR生成 AWS 服务的证书“ AWS Service Certificate”：
   /li>

然后从 AWS ACM 控制台：

4. 从Import CA Certificate对话框中：

   • 添加“ AWS Service Certificate”作为证书正文
   • 添加“ Root Certificate”作为证书链

此时单击“确认并导入”时出现错误：

CertificateMismatchException 证书版本必须大于或等于 3。

AWS Service Certificate我使用以下命令检查了生成的“”版本，它显示为Version 1。

所以显然我在这里做错了什么，但我似乎无法找到它是什么。要解决当前的 AWS 错误，我的问题是：

• 如何Version: 3使用根密钥/证书和 AWS CSR 生成证书？

或者，在没有 Internet 访问的情况下连接到 VPC 的最佳方式是什么？如果设置 VPC<->VPC 连接更容易，我可以通过可以工作的 SSH 访问另一个 VPC。

我已经设置了一个组织层次结构并添加了一个策略来允许acm和acm-pca. 但是我收到一个错误：

政策：

允许证书请求是否有我错过的任何操作？

我们正在使用 Nginx-RTMP Streaming 并尝试将 80 和 8080 重定向到 https。我们尝试在 AWS Classic 负载均衡器中重定向不同的 SSL 端口，但它不起作用。

Nginx RTMP 统计 URL-> http://domainname:8080/stats

请提供对 80 和 8080 都使用 https 的解决方案？

我一直在尝试使用 ACM-PCA CLI 设置私有根 CA，但无法正常工作。

通过创建证书颁发机构后

aws acm-pca create-certificate-authority --certificate-authority-configuration file://ca.txt --certificate-authority-type "ROOT" --idempotency-token 98256344

我一直卡在PENDING_CERTIFICATE状态，找不到使用 CLI 签署 CA CSR 和安装 CA 证书的方法。该文档仅告诉我如何使用控制台进行操作。有谁知道我能做什么？

托拜厄斯

我达到了证书限制，我想开始引用现有证书。

1. 我怎样才能为新的 CloudFormation 堆栈做到这一点？
2. 如何迁移现有堆栈以使用另一个证书？

尝试在 terraform 的经典负载均衡器中匹配我在 AWS ACM 创建的证书时遇到问题。

根据文档和示例，terraform 希望我提供已上传到 AWS IAM 的 SSL 证书。请参阅文档但这没有多大意义，因为我在 ACM 中有我的证书。有人知道我如何使用 terraform 配置此证书吗？

这是我得到的错误

我正在使用 Boto3 创建一个具有关联自定义域名的 API 网关。

添加自定义域名时，ACM 证书会“初始化”大约 40 分钟。请参阅下面的屏幕截图以了解我所指的内容。我无法在 Boto3 API 中找到任何关于如何以编程方式等待初始化完成的参考。

API 调用在create_domain_name()响应中有一个字段，称为即使在 ACM 仍在初始化时也会domainNameStatus返回。AVAILABLE

您或您认识的任何人是否听说过等待 ACM 证书初始化完成的编程方式或其他方法？

是否可以使用 AWS 开发工具包通过 CNAME 记录颁发和验证证书？我可以使用 SDK 请求证书，但 AWSCertificateManager.getCertificate 不会返回待处理的证书，AWSCertificateManager.listCertificates 只会返回证书摘要。

我想使用 AWS 开发工具包获取预期的 CNAME，然后使用 AWS 开发工具包插入预期的 CNAME 记录。

我最近在使用 Terraform 创建 ES 域时遇到了这个错误。我定义 ES 域的方式没有任何改变。然而，我确实开始在 ALB 层上使用 SSL（AWS ACM 证书），但这不应该影响这一点。任何想法它可能会抱怨什么？

编辑：奇怪的是，当我使用 ACM 证书删除并重新为我的 ALB 侦听器使用 HTTP（端口 80）时，配置了 ES 域。

不知道该怎么做，但显然 ACM 证书正在干扰 ES 域的创建。或者我在创建 ACM 时做错了什么。这是我的做法和使用方法-

据我在控制台中看到的，该证书由 AWS 快速验证和颁发。正如所见，它与 ES 域无关。

我正在开发一个 Web 应用程序。

我的应用在子域上运行app.mydomain.com

我需要为我的应用程序添加 WhiteLabel。我要求我的客户通过 CNAME 指向他们自己的网站到我的应用程序。

design.customerwebsite.com指着app.mydomain.com

这是我试图解决的问题。

我创建了一个/etc/nginx/sites-available名为的新文件，为文件customerwebsite.com 添加了符号链接。

certbot我使用以下命令安装了 SSL 。

sudo certbot --nginx -n --redirect -d design.customerwebsite.com

这是我的 NGINX conf 文件的代码customerwebsite.com

我能够成功地运行我的网络应用程序https://design.customerwebsite.com

但是 SSL 证书显示它被指向app.mydomain.com并显示不安全。

我app.mydomain.com有来自 Amazon ACM 的 SSL 证书，该证书通过负载均衡器附加。

解决这个问题的方法应该是什么？