Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Renouvellement du certificat privé en AWS Certificate Manager
Les certificats ACM signés par une autorité de certification privée Autorité de certification privée AWS sont éligibles au renouvellement géré. Contrairement aux certificats ACM approuvés publiquement, les certificats d'une infrastructure PKI privée ne nécessitent aucune validation. La confiance est établie lorsqu'un administrateur installe le certificat de l'autorité de certification racine appropriée dans les magasins d'approbation clients.
**Note**
Seuls les certificats obtenus à l'aide de la console ACM ou de l'action [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API-RequestCertificate.html) de l'API ACM sont éligibles au renouvellement géré. Les certificats émis directement à Autorité de certification privée AWS l'aide de l'[IssueCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_IssueCertificate.html)action de l' Autorité de certification privée AWS API ne sont pas gérés par ACM.
Soixante jours avant la date d'expiration d'un certificat géré, ACM tente de le renouveler automatiquement. Cela s'applique également aux certificats exportés et installés manuellement (par exemple, dans un centre de données sur site). À tout moment, les clients peuvent aussi forcer le renouvellement à l'aide de l'action [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) de l'API ACM. Pour obtenir un exemple d'implémentation Java du renouvellement forcé, consultez [Renouvellement d'un certificat](sdk-renew.md).
Après le renouvellement, le déploiement d'un certificat s'effectue de l'une des manières suivantes :
+ Si le certificat **est** associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, le nouveau certificat remplace l'ancien sans action supplémentaire du client.
+ Si le certificat **n'est pas** associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, une action du client est requise pour exporter et installer le certificat renouvelé. Vous pouvez effectuer ces actions manuellement ou avec l'aide d'[Amazon [AWS Health](https://docs.aws.amazon.com/health/latest/ug/) EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/), en procédant [AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html)comme suit. Pour de plus amples informations, consultez [Automatiser l'exportation des certificats renouvelés](#automating-export).
## Automatiser l'exportation des certificats renouvelés
La procédure suivante fournit un exemple de solution pour automatiser l'exportation de vos certificats PKI privés lorsque ACM les renouvelle. Cet exemple n’exporte qu’un certificat et sa clé privée hors d'ACM ; après l'exportation, le certificat doit encore être installé sur son périphérique cible.
**Automatiser l’exportation de certificats à l'aide de la console**
1. En suivant les procédures décrites dans le guide du développeur AWS Lambda, créez et configurez une fonction Lambda qui appelle l'API d'exportation ACM.
1. [Création d'une fonction Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html).
1. [Création d'un rôle d'exécution Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pour votre fonction et ajoutez-y la politique d'approbation suivante. La politique autorise le code de votre fonction à récupérer le certificat et la clé privée renouvelés en appelant l'[ExportCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_ExportCertificate.html)action de l'API ACM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm:ExportCertificate",
"Resource":"*"
}
]
}
```
------
1.
[Créez une règle dans Amazon EventBridge pour suivre](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) les événements de santé d'ACM et appelez votre fonction Lambda lorsqu'elle en détecte un. ACM écrit sur un AWS Health événement chaque fois qu'il tente de renouveler un certificat. Pour plus d'informations sur ces avis, consultez [Vérifier le statut à l'aide du tableau de bord Personal Health Dashboard (PHD)](check-certificate-renewal-status.md#check-renewal-status-phd).
Configurez la règle en ajoutant le modèle d'événement suivant.
```
{
"source":[
"aws.health"
],
"detail-type":[
"AWS Health Event"
],
"detail":{
"service":[
"ACM"
],
"eventTypeCategory":[
"scheduledChange"
],
"eventTypeCode":[
"AWS_ACM_RENEWAL_STATE_CHANGE"
]
},
"resources":[
"arn:aws:acm:region:account:certificate/certificate_ID"
]
}
```
1. Finalisez le processus de renouvellement en installant manuellement le certificat sur le système cible.
## Renouvellement géré des tests de certificats PKI privés
Vous pouvez utiliser l'API ACM ou AWS CLI tester manuellement la configuration de votre flux de renouvellement géré par ACM. De cette façon, vous pouvez confirmer que vos certificats seront renouvelés automatiquement par ACM avant expiration.
**Note**
Vous pouvez uniquement tester le renouvellement des certificats émis et exportés par Autorité de certification privée AWS.
Lorsque vous utilisez les actions d'API ou les commandes CLI décrites ci-dessous, ACM tente de renouveler le certificat. Si le renouvellement aboutit, ACM met à jour les métadonnées du certificat affichées dans la Console de gestion ou dans la sortie de l'API. Si le certificat est associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, le nouveau certificat est déployé et un événement de renouvellement est généré dans Amazon CloudWatch Events. Si le renouvellement échoue, ACM renvoie une erreur et suggère une action corrective. (Vous pouvez afficher cette information à l'aide de la commande [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html)). Si le certificat n'est pas déployé via un service intégré, vous devez malgré tout l'exporter et l'installer manuellement sur votre ressource.
**Important**
Pour renouveler vos Autorité de certification privée AWS certificats auprès d'ACM, vous devez d'abord accorder au service ACM les autorisations principales pour le faire. Pour plus d'informations, consultez [Assigning Certificate Renewal Permissions to ACM](https://docs.aws.amazon.com/privateca/latest/userguide/assign-permissions.html#PcaPermissions)(Octroi d'autorisations de renouvellement de certificats à ACM).
**Pour tester manuellement le renouvellement de certificats (AWS CLI)**
1. Utilisez la commande [renew-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/renew-certificate.html) pour renouveler un certificat privé exporté.
```
aws acm renew-certificate \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```
1. Utilisez ensuite la commande [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) pour confirmer que les informations du certificat ont été mises à jour.
```
aws acm describe-certificate \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```
**Pour tester manuellement le renouvellement de certificat (API ACM)**
+ Envoyez une [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)demande en spécifiant l'ARN du certificat privé à renouveler. Utilisez ensuite cette [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)opération pour confirmer que les informations de renouvellement du certificat ont été mises à jour.