Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perpanjangan sertifikat pribadi di AWS Certificate Manager
<a name="renew-private-cert"></a>

Sertifikat ACM yang ditandatangani oleh CA pribadi dari AWS Private CA memenuhi syarat untuk perpanjangan terkelola. Tidak seperti sertifikat ACM yang dipercaya publik, sertifikat untuk PKI pribadi tidak memerlukan validasi. Kepercayaan dibuat ketika administrator menginstal sertifikat CA root yang sesuai di toko kepercayaan klien.

**catatan**  
Hanya sertifikat yang diperoleh menggunakan konsol ACM atau [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API-RequestCertificate.html)tindakan ACM API yang memenuhi syarat untuk perpanjangan terkelola. Sertifikat yang dikeluarkan langsung dari AWS Private CA penggunaan [IssueCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_IssueCertificate.html)tindakan AWS Private CA API tidak dikelola oleh ACM. 

Ketika sertifikat terkelola 60 hari lagi dari kedaluwarsa, ACM secara otomatis mencoba memperbaruinya. Ini termasuk sertifikat yang diekspor dan diinstal secara manual (misalnya, di pusat data lokal). Pelanggan juga dapat memaksa perpanjangan kapan saja menggunakan [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)aksi ACM API. Untuk contoh implementasi Java dari pembaruan paksa, lihat[Memperbarui sertifikat](sdk-renew.md).

Setelah perpanjangan, penyebaran sertifikat ke dalam layanan terjadi dengan salah satu cara berikut:
+ Jika sertifikat **dikaitkan** dengan [layanan terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, sertifikat baru menggantikan yang lama tanpa tindakan pelanggan tambahan. 
+ Jika sertifikat **tidak** terkait dengan [layanan terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, tindakan pelanggan diperlukan untuk mengekspor dan menginstal sertifikat yang diperbarui. Anda dapat melakukan tindakan ini secara manual, atau dengan bantuan dari [AWS Health](https://docs.aws.amazon.com/health/latest/ug/), [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/), dan [AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html)sebagai berikut. Untuk informasi selengkapnya, lihat [Mengotomatiskan ekspor sertifikat yang diperbarui](#automating-export)

## Mengotomatiskan ekspor sertifikat yang diperbarui
<a name="automating-export"></a>

Prosedur berikut memberikan contoh solusi untuk mengotomatisasi ekspor sertifikat PKI pribadi Anda ketika ACM memperbaruinya. Contoh ini hanya mengekspor sertifikat dan kunci pribadinya dari ACM; setelah ekspor, sertifikat masih harus diinstal pada perangkat targetnya.

**Untuk mengotomatiskan ekspor sertifikat menggunakan konsol**

1. Mengikuti prosedur di Panduan Pengembang AWS Lambda, buat dan konfigurasikan fungsi Lambda yang memanggil API ekspor ACM. 

   1. [Buat fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html).

   1. [Buat peran eksekusi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) untuk fungsi Anda dan tambahkan kebijakan kepercayaan berikut ke dalamnya. Kebijakan memberikan izin ke kode dalam fungsi Anda untuk mengambil sertifikat yang diperbarui dan kunci pribadi dengan memanggil [ExportCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_ExportCertificate.html)tindakan ACM API.

------
#### [ JSON ]

****  

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Action":"acm:ExportCertificate",
               "Resource":"*"
            }
         ]
      }
      ```

------

1.  

   [Buat aturan di Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) untuk mendengarkan acara kesehatan ACM dan memanggil fungsi Lambda Anda saat mendeteksi satu. ACM menulis ke suatu AWS Health acara setiap kali mencoba memperbarui sertifikat. Untuk informasi lebih lanjut tentang pemberitahuan ini, lihat[Periksa status menggunakan Personal Health Dashboard (PHD)](check-certificate-renewal-status.md#check-renewal-status-phd).

   Konfigurasikan aturan dengan menambahkan pola acara berikut.

   ```
   {
      "source":[
         "aws.health"
      ],
      "detail-type":[
         "AWS Health Event"
      ],
      "detail":{
         "service":[
            "ACM"
         ],
         "eventTypeCategory":[
            "scheduledChange"
         ],
         "eventTypeCode":[
            "AWS_ACM_RENEWAL_STATE_CHANGE"
         ]
      },
      "resources":[
         "arn:aws:acm:region:account:certificate/certificate_ID"
      ]
   }
   ```

1. Selesaikan proses perpanjangan dengan menginstal sertifikat secara manual pada sistem target.

## Uji perpanjangan sertifikat PKI swasta yang dikelola
<a name="manual-renewal"></a>

Anda dapat menggunakan ACM API atau menguji konfigurasi AWS CLI alur kerja perpanjangan terkelola ACM secara manual. Dengan demikian, Anda dapat mengonfirmasi bahwa sertifikat Anda akan diperbarui secara otomatis oleh ACM sebelum kedaluwarsa.

**catatan**  
Anda hanya dapat menguji pembaruan sertifikat yang dikeluarkan dan diekspor oleh. AWS Private CA

Saat Anda menggunakan tindakan API atau perintah CLI yang dijelaskan di bawah ini, ACM mencoba memperbarui sertifikat. Jika perpanjangan berhasil, ACM akan memperbarui metadata sertifikat yang ditampilkan di konsol manajemen atau dalam output API. Jika sertifikat dikaitkan dengan [layanan terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) ACM, sertifikat baru akan digunakan dan acara perpanjangan dibuat di Amazon Events. CloudWatch Jika perpanjangan gagal, ACM mengembalikan kesalahan dan menyarankan tindakan perbaikan. (Anda dapat melihat informasi ini menggunakan [perintah deskripsi-sertifikat](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html).) Jika sertifikat tidak digunakan melalui layanan terintegrasi, Anda masih perlu mengekspornya dan menginstalnya secara manual di sumber daya Anda. 

**penting**  
Untuk memperbarui AWS Private CA sertifikat Anda dengan ACM, Anda harus terlebih dahulu memberikan izin utama layanan ACM untuk melakukannya. Untuk informasi selengkapnya, lihat [Menetapkan Izin Perpanjangan Sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/assign-permissions.html#PcaPermissions) ke ACM.

**Untuk menguji perpanjangan sertifikat secara manual ()AWS CLI**

1. Gunakan perintah [renew-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/renew-certificate.html) untuk memperbarui sertifikat yang diekspor pribadi.

   ```
   aws acm renew-certificate \
   	--certificate-arn arn:aws:acm:{{region}}:{{account}}:certificate/{{certificate_ID}}
   ```

1. Kemudian gunakan [perintah deskripsi-sertifikat](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.

   ```
   aws acm describe-certificate \
   	--certificate-arn arn:aws:acm:{{region}}:{{account}}:certificate/{{certificate_ID}}
   ```

**Untuk menguji perpanjangan sertifikat secara manual (ACM API)**
+ Kirim [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)permintaan, tentukan ARN sertifikat pribadi untuk diperpanjang. Kemudian gunakan [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)operasi untuk mengonfirmasi bahwa detail perpanjangan sertifikat telah diperbarui.