Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Renouvellement géré des certificats dans AWS Certificate Manager
ACM assure le renouvellement géré de vos certificats émis par Amazon SSL/TLS . Concrètement, ACM renouvelle automatiquement vos certificats (si vous utilisez la validation DNS), ou vous envoie des notifications par courriel lorsque la date d'expiration approche. Ces services s'appliquent aux certificats ACM publics et privés.
Un certificat peut faire l'objet d'un renouvellement automatique sous réserve des considérations suivantes :
+ ÉLIGIBLE s'il est associé à un autre AWS service, tel que Elastic Load Balancing ou CloudFront.
+ ÉLIGIBLE s'il est exporté depuis l’émission ou le dernier renouvellement.
+ ÉLIGIBLE s'il s'agit d'un certificat privé émis en appelant l'API ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API *et* qu'il est ensuite exporté ou associé à un autre service AWS .
+ ÉLIGIBLE s'il s'agit d'un certificat privé émis via la [Console de gestion](gs-acm-request-private.md) *et* qu'il est ensuite exporté ou associé à un autre service AWS .
+ NON ÉLIGIBLE s'il s'agit d'un certificat privé émis en appelant l' Autorité de certification privée AWS [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API.
+ NON ÉLIGIBLE s'il est [importé](import-certificate.md).
+ NON ÉLIGIBLE s'il a déjà expiré.
En outre, les exigences [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) suivantes relatives aux [noms de domaine internationalisés](https://www.icann.org/resources/pages/idn-2012-02-25-en) doivent être remplies :
1. Les noms de domaine commençant par le modèle « -- » doivent correspondre à « xn-- ».
1. Les noms de domaine commençant par « xn-- » doivent également être des noms de domaine internationalisés valides.
**Exemples de Punycode**
| Nom de domaine | Remplit \$11 | Remplit \$12 | Autorisé | Remarque |
| --- | --- | --- | --- | --- |
| example.com | N/A | s/o | ✓ | Ne commence pas par « -- » |
| a--example.com | N/A | s/o | ✓ | Ne commence pas par « -- » |
| abc--example.com | N/A | s/o | ✓ | Ne commence pas par « -- » |
| xn--xyz.com | Oui | Oui | ✓ | Nom de domaine internationalisé valide (se résout sur 简.com) |
| xn--example.com | Oui | Non | ✗ | Nom de domaine internationalisé non valide |
| ab--example.com | Non | Non | ✗ | Doit commencer par « xn-- » |
Lorsqu'ACM renouvelle un certificat, le nom Amazon Resource Name (ARN) de celui-ci ne change pas. En outre, les certificats ACM sont des [ressources régionales](acm-overview.md#acm-regions). Si vous possédez des certificats pour le même nom de domaine dans plusieurs AWS régions, chacun de ces certificats doit être renouvelé indépendamment.
**Topics**
+ [Renouveler les certificats publics ACM](renew-publicly-trusted.md)
+ [Renouvellement du certificat privé en AWS Certificate Manager](renew-private-cert.md)
+ [Vérifier le statut de renouvellement d'un certificat](check-certificate-renewal-status.md)
# Renouveler les certificats publics ACM
Lorsque vous délivrez un certificat géré et approuvé par AWS Certificate Manager le public, vous devez prouver que vous êtes le propriétaire du domaine. Cela se fait avec [Validation DNS](dns-validation.md) ou [validation par courriel](email-validation.md). Lorsqu'un certificat est renouvelé, ACM utilise la même méthode que celle que vous avez choisie précédemment pour valider à nouveau votre propriété. Les rubriques suivantes décrivent comment fonctionne le processus de renouvellement dans chaque cas.
**Topics**
+ [Renouvellement des domaines validés par DNS](dns-renewal-validation.md)
+ [Renouvellement pour les domaines validés par e-mail](email-renewal-validation.md)
+ [Renouvellement pour les domaines validés par HTTP](http-renewal-validation.md)
# Renouvellement des domaines validés par DNS
Le renouvellement géré est entièrement automatisé pour les certificats ACM qui ont initialement été émis à l'aide de la [validation DNS](dns-validation.md).
45 jours avant l'expiration, ACM vérifie les critères de renouvellement suivants :
**Note**
Les certificats déjà émis avec une période de validité de 395 jours sont renouvelés 60 jours avant leur expiration et bénéficient d'une période de validité renouvelée de 198 jours. Les certificats d'une période de validité de 198 jours sont renouvelés 45 jours avant leur expiration.
+ Le certificat est actuellement utilisé par un AWS service.
+ Tous les enregistrements requis CNAME DNS fournis par ACM (un pour chaque nom alternatif de sujet unique) sont présents et accessibles via le DNS public.
Si tous ces critères sont remplis, ACM considère que les noms de domaine sont validés et renouvelle le certificat.
ACM envoie AWS Health des événements et des EventBridge événements Amazon s'il ne parvient pas à valider automatiquement un domaine lors du renouvellement. Ces événements sont envoyés 30 jours, 15 jours, sept jours, trois jours et un jour avant l'expiration. Pour de plus amples informations, veuillez consulter [EventBridge Support Amazon pour ACM](supported-events.md).
# Renouvellement pour les domaines validés par e-mail
Les certificats ACM sont valides pendant 198 jours. Le renouvellement d'un certificat nécessite une action de la part du propriétaire du domaine. ACM commence à envoyer des avis de renouvellement aux adresses e-mail associées au domaine 45 jours avant son expiration. Les notifications contiennent un lien sur lequel le propriétaire du domaine peut cliquer pour le renouvellement. Une fois tous les domaines répertoriés validés, ACM émet un certificat renouvelé avec le même ARN.
ACM envoie AWS Health des événements et des EventBridge événements Amazon s'il ne parvient pas à valider automatiquement un domaine lors du renouvellement. Ces événements sont envoyés 30 jours, 15 jours, sept jours, trois jours et un jour avant l'expiration. Pour de plus amples informations, veuillez consulter [EventBridge Support Amazon pour ACM](supported-events.md).
Pour plus d'informations sur la validation des courriels, consultez [AWS Certificate Manager validation par e-mail](email-validation.md).
Pour savoir comment répondre par programmation à un message électronique de validation, consultez [Automatisez la validation des AWS Certificate Manager e-mails](email-automation.md).
## Renvoyer un e-mail de validation
Après avoir configuré la validation par e-mail pour votre domaine lorsque vous demandez un certificat (voir[AWS Certificate Manager validation par e-mail](email-validation.md)), vous pouvez utiliser l' AWS Certificate Manager API pour demander à ACM de vous envoyer un e-mail de validation de domaine pour le renouvellement de votre certificat. Pour ce faire, procédez comme suit :
+ Vous avez utilisé la validation par courriel lors de votre demande initiale de certificat ACM.
+ Le statut de renouvellement de votre certificat est **Pending Validation** (validation en attente). Pour plus d'informations sur l'identification du statut de renouvellement d'un certificat, consultez [Vérifier le statut de renouvellement d'un certificat](check-certificate-renewal-status.md).
+ Vous n'avez pas reçu ou avez perdu le message électronique original de validation de domaine envoyé par ACM pour le renouvellement du certificat.
Pour envoyer des e-mails de validation à un domaine différent de celui que vous avez initialement configuré dans votre demande de certificat, vous pouvez utiliser l'[ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)opération dans l'API ACM AWS CLI, ou AWS SDKs. ACM enverra des e-mails au domaine de validation spécifié. Vous pouvez accéder au navigateur AWS CLI en l'utilisant AWS CloudShell dans les régions prises en charge.
**Pour demander à ACM de vous renvoyer le message électronique de validation de domaine (console)**
1. Ouvrez la AWS Certificate Manager console à la [https://console.aws.amazon.com/acm/maison](https://console.aws.amazon.com/acm/home).
1. Cliquez sur l'onglet **ID de certificat** du certificat qui nécessite une validation.
1. Choisissez **Resend validation email** (renvoyer un courriel de validation).
**Pour demander à ACM de vous renvoyer le courriel de validation de domaine (API ACM)**
Utilisez l'[ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)opération dans l'API ACM. Pour ce faire, transmettez l'ARN du certificat, du domaine exigeant la validation manuelle et du domaine dans lequel vous souhaitez recevoir les courriels de validation de domaine. L'exemple suivant montre comment procéder avec AWS CLI. Cet exemple contient des sauts de ligne pour faciliter la lecture.
```
$ aws acm resend-validation-email \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
--domain subdomain.example.com \
--validation-domain example.com
```
# Renouvellement pour les domaines validés par HTTP
ACM fournit un renouvellement géré automatique pour les certificats initialement émis à l'aide de la validation HTTP via CloudFront.
45 jours avant l'expiration, ACM vérifie les critères de renouvellement suivants :
**Note**
Les certificats déjà émis avec une période de validité de 395 jours sont renouvelés 60 jours avant leur expiration et bénéficient d'une période de validité renouvelée de 198 jours. Les certificats d'une période de validité de 198 jours sont renouvelés 45 jours avant leur expiration.
+ Le certificat est actuellement utilisé par CloudFront.
+ Tous les enregistrements de validation HTTP requis sont accessibles et contiennent le contenu attendu.
Si tous ces critères sont remplis, ACM considère que les noms de domaine sont validés et renouvelle le certificat.
ACM envoie AWS Health des événements et des EventBridge événements Amazon s'il ne parvient pas à valider automatiquement un domaine lors du renouvellement. Ces événements sont envoyés 30 jours, 15 jours, sept jours, trois jours et un jour avant l'expiration. Pour de plus amples informations, veuillez consulter [EventBridge Support Amazon pour ACM](supported-events.md).
Pour garantir un renouvellement réussi, assurez-vous que le contenu du `RedirectFrom` site correspond au contenu du `RedirectTo` site pour chaque domaine du certificat.
# Renouvellement du certificat privé en AWS Certificate Manager
Les certificats ACM signés par une autorité de certification privée Autorité de certification privée AWS sont éligibles au renouvellement géré. Contrairement aux certificats ACM approuvés publiquement, les certificats d'une infrastructure PKI privée ne nécessitent aucune validation. La confiance est établie lorsqu'un administrateur installe le certificat de l'autorité de certification racine appropriée dans les magasins d'approbation clients.
**Note**
Seuls les certificats obtenus à l'aide de la console ACM ou de l'action [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API-RequestCertificate.html) de l'API ACM sont éligibles au renouvellement géré. Les certificats émis directement à Autorité de certification privée AWS l'aide de l'[IssueCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_IssueCertificate.html)action de l' Autorité de certification privée AWS API ne sont pas gérés par ACM.
Soixante jours avant la date d'expiration d'un certificat géré, ACM tente de le renouveler automatiquement. Cela s'applique également aux certificats exportés et installés manuellement (par exemple, dans un centre de données sur site). À tout moment, les clients peuvent aussi forcer le renouvellement à l'aide de l'action [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) de l'API ACM. Pour obtenir un exemple d'implémentation Java du renouvellement forcé, consultez [Renouvellement d'un certificat](sdk-renew.md).
Après le renouvellement, le déploiement d'un certificat s'effectue de l'une des manières suivantes :
+ Si le certificat **est** associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, le nouveau certificat remplace l'ancien sans action supplémentaire du client.
+ Si le certificat **n'est pas** associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, une action du client est requise pour exporter et installer le certificat renouvelé. Vous pouvez effectuer ces actions manuellement ou avec l'aide d'[Amazon [AWS Health](https://docs.aws.amazon.com/health/latest/ug/) EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/), en procédant [AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html)comme suit. Pour de plus amples informations, consultez [Automatiser l'exportation des certificats renouvelés](#automating-export).
## Automatiser l'exportation des certificats renouvelés
La procédure suivante fournit un exemple de solution pour automatiser l'exportation de vos certificats PKI privés lorsque ACM les renouvelle. Cet exemple n’exporte qu’un certificat et sa clé privée hors d'ACM ; après l'exportation, le certificat doit encore être installé sur son périphérique cible.
**Automatiser l’exportation de certificats à l'aide de la console**
1. En suivant les procédures décrites dans le guide du développeur AWS Lambda, créez et configurez une fonction Lambda qui appelle l'API d'exportation ACM.
1. [Création d'une fonction Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html).
1. [Création d'un rôle d'exécution Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pour votre fonction et ajoutez-y la politique d'approbation suivante. La politique autorise le code de votre fonction à récupérer le certificat et la clé privée renouvelés en appelant l'[ExportCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_ExportCertificate.html)action de l'API ACM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm:ExportCertificate",
"Resource":"*"
}
]
}
```
------
1.
[Créez une règle dans Amazon EventBridge pour suivre](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) les événements de santé d'ACM et appelez votre fonction Lambda lorsqu'elle en détecte un. ACM écrit sur un AWS Health événement chaque fois qu'il tente de renouveler un certificat. Pour plus d'informations sur ces avis, consultez [Vérifier le statut à l'aide du tableau de bord Personal Health Dashboard (PHD)](check-certificate-renewal-status.md#check-renewal-status-phd).
Configurez la règle en ajoutant le modèle d'événement suivant.
```
{
"source":[
"aws.health"
],
"detail-type":[
"AWS Health Event"
],
"detail":{
"service":[
"ACM"
],
"eventTypeCategory":[
"scheduledChange"
],
"eventTypeCode":[
"AWS_ACM_RENEWAL_STATE_CHANGE"
]
},
"resources":[
"arn:aws:acm:region:account:certificate/certificate_ID"
]
}
```
1. Finalisez le processus de renouvellement en installant manuellement le certificat sur le système cible.
## Renouvellement géré des tests de certificats PKI privés
Vous pouvez utiliser l'API ACM ou AWS CLI tester manuellement la configuration de votre flux de renouvellement géré par ACM. De cette façon, vous pouvez confirmer que vos certificats seront renouvelés automatiquement par ACM avant expiration.
**Note**
Vous pouvez uniquement tester le renouvellement des certificats émis et exportés par Autorité de certification privée AWS.
Lorsque vous utilisez les actions d'API ou les commandes CLI décrites ci-dessous, ACM tente de renouveler le certificat. Si le renouvellement aboutit, ACM met à jour les métadonnées du certificat affichées dans la Console de gestion ou dans la sortie de l'API. Si le certificat est associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, le nouveau certificat est déployé et un événement de renouvellement est généré dans Amazon CloudWatch Events. Si le renouvellement échoue, ACM renvoie une erreur et suggère une action corrective. (Vous pouvez afficher cette information à l'aide de la commande [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html)). Si le certificat n'est pas déployé via un service intégré, vous devez malgré tout l'exporter et l'installer manuellement sur votre ressource.
**Important**
Pour renouveler vos Autorité de certification privée AWS certificats auprès d'ACM, vous devez d'abord accorder au service ACM les autorisations principales pour le faire. Pour plus d'informations, consultez [Assigning Certificate Renewal Permissions to ACM](https://docs.aws.amazon.com/privateca/latest/userguide/assign-permissions.html#PcaPermissions)(Octroi d'autorisations de renouvellement de certificats à ACM).
**Pour tester manuellement le renouvellement de certificats (AWS CLI)**
1. Utilisez la commande [renew-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/renew-certificate.html) pour renouveler un certificat privé exporté.
```
aws acm renew-certificate \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```
1. Utilisez ensuite la commande [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) pour confirmer que les informations du certificat ont été mises à jour.
```
aws acm describe-certificate \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```
**Pour tester manuellement le renouvellement de certificat (API ACM)**
+ Envoyez une [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)demande en spécifiant l'ARN du certificat privé à renouveler. Utilisez ensuite cette [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)opération pour confirmer que les informations de renouvellement du certificat ont été mises à jour.
# Vérifier le statut de renouvellement d'un certificat
Lorsque vous avez tenté de renouveler un certificat, ACM fournit un champ d'informations sur *Renewal status* (le statut du renouvellement) dans les détails du certificat. Vous pouvez utiliser la AWS Certificate Manager console, l'API ACM AWS CLI, ou le Tableau de bord Health pour vérifier l'état de renouvellement d'un certificat ACM. Si vous utilisez la console ou l'API ACM, le statut du renouvellement peut avoir l'une des quatre valeurs de statut possibles répertoriées ci-dessous. AWS CLI Des valeurs similaires sont affichées si vous utilisez le Tableau de bord Health.
**Renouvellement automatique en attente**
ACM essaie de valider automatiquement les noms de domaine contenus dans le certificat. Pour de plus amples informations, consultez [Renouvellement des domaines validés par DNS](dns-renewal-validation.md). Aucune action supplémentaire n'est requise.
**Validation en attente**
ACM n'a pas pu valider automatiquement un ou plusieurs noms de domaine contenus dans le certificat. Vous devez agir pour valider ces noms de domaine ou le certificat ne sera pas renouvelé. Si vous avez initialement utilisé la validation par courriel pour le certificat, recherchez un courriel envoyé par ACM, puis suivez le lien contenu dans ce courriel pour procéder à la validation. Si vous avez utilisé la validation DNS, vérifiez que votre enregistrement DNS existe et que votre certificat est toujours en cours d'utilisation.
**Réussite**
Tous les noms de domaine contenus dans le certificat sont validés, et ACM a renouvelé le certificat. Aucune action supplémentaire n'est requise.
**Échec**
Un ou plusieurs noms de domaine n'ont pas été validés avant l'expiration du certificat, et ACM n'a pas renouvelé le certificat. Vous pouvez [Request a new certificate](gs-acm-request-public.md) (demander un nouveau certificat).
Un certificat est éligible au renouvellement s'il est associé à un autre AWS service, tel qu'Elastic Load Balancing CloudFront, ou s'il a été exporté depuis sa délivrance ou son dernier renouvellement.
**Note**
Il peut s'écouler jusqu'à plusieurs heures avant que les modifications du statut de renouvellement ne soient disponibles. En cas de problème, une demande de renouvellement expire au bout de 72 heures et le processus de renouvellement doit recommencer depuis le début. Pour bénéficier d'une aide à la résolution des problèmes, consultez [Résoudre les problèmes liés aux demandes de certificats](troubleshooting-cert-requests.md).
**Topics**
+ [Vérification du statut (console)](#check-renewal-status-console)
+ [Vérification du statut (API)](#check-renewal-status-api)
+ [Vérification du statut (CLI)](#check-renewal-status-cli)
+ [Vérifier le statut à l'aide du tableau de bord Personal Health Dashboard (PHD)](#check-renewal-status-phd)
## Vérification du statut (console)
La procédure suivante explique comment utiliser la console ACM pour vérifier le statut du renouvellement d'un certificat ACM.
1. Ouvrez la AWS Certificate Manager console à la [https://console.aws.amazon.com/acm/maison](https://console.aws.amazon.com/acm/home).
1. Développez un certificat pour afficher ses détails.
1. Recherchez **Statut du renouvellement** dans la section **Détails**. Si vous ne voyez pas le statut, cela signifie qu'ACM n'a pas commencé le processus de renouvellement géré pour ce certificat.
## Vérification du statut (API)
Pour un exemple Java qui montre comment utiliser l'[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)action pour vérifier l'état, consultez[Description d'un certificat](sdk-describe.md).
## Vérification du statut (CLI)
L'exemple suivant montre comment vérifier le statut de renouvellement de votre certificat ACM à l'aide de l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).
```
aws acm describe-certificate \
--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
```
Dans la réponse, notez la valeur dans le champ `RenewalStatus`. Si vous ne voyez pas le champ `RenewalStatus`, cela signifie qu'ACM n'a pas commencé le processus de renouvellement géré pour votre certificat.
## Vérifier le statut à l'aide du tableau de bord Personal Health Dashboard (PHD)
ACM tente de renouveler automatiquement votre certificat ACM 45 jours avant son expiration pour les certificats publics et 60 jours avant pour les certificats privés. Si ACM ne peut pas renouveler automatiquement votre certificat, elle vous envoie des notifications relatives Tableau de bord Health au renouvellement du certificat à des intervalles de 45 jours (pour le secteur privé uniquement), 30 jours, 15 jours, 7 jours, 3 jours et 1 jour après son expiration pour vous informer que vous devez prendre des mesures. Cela Tableau de bord Health fait partie du AWS Health service. Il ne nécessite aucune configuration et peut être affiché par n'importe quel utilisateur authentifié dans votre compte. Pour plus d'informations, consultez le [AWS Health guide de l'utilisateur](https://docs.aws.amazon.com/health/latest/ug/).
**Note**
ACM envoie des avis d'événement de renouvellement successifs pour chacun des événements du calendrier de votre tableau de bord PHD. Chaque avis écrase le précédent jusqu'à ce que le renouvellement aboutisse.
**Pour utiliser le Tableau de bord Health:**
1. Connectez-vous au Tableau de bord Health at [https://phd.aws.amazon.com/phd/home\$1/](https://phd.aws.amazon.com/phd/home#/).
1. Choisissez **Event Log** (Journal des événements).
1. Pour **Filtrer par balises ou attributs**, choisissez **Service**.
1. Choisissez **Certificate Manager** (gestionnaire de certificat).
1. Cliquez sur **Appliquer**.
1. Pour **Event category** (Catégorie d’événements), choisissez **Scheduled Change** (Modification planifiée).
1. Cliquez sur **Appliquer**.