跳至主要内容

Amazon Certificate Manager

Amazon Certificate Manager 常见问题

页面主题

一般性问题

全部打开

Amazon Certificate Manager(ACM)是一项服务,可帮助您轻松地预置、管理和部署公有安全套接字层/传输层安全性(SSL/TLS)证书。SSL/TLS 证书用于保护网络通信的安全,并确认网站在互联网上的身份以及资源在私有网络上的身份。使用 Amazon Certificate Manager,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。利用 Amazon Certificate Manager,您可以快速请求证书,在亚马逊云科技资源(如弹性负载均衡器和 API Gateway 上的 API)上部署该证书,并让 Amazon Certificate Manager 处理证书续订事宜。您还可以使用这些证书安全终止任何需要公有证书的计算工作负载上的流量,包括在 EC2 实例、容器和/或本地主机上运行的工作负载。通过 Amazon Certificate Manager 预置的专用于 ACM 集成服务(例如 Elastic Load Balancing 和 Amazon API Gateway)的公有 SSL/TLS 证书是免费的。如果您选择颁发可导出的公有证书,则需要为证书颁发、证书续订和相关的 API 使用付费。您只需为您创建的用于运行应用程序的亚马逊云科技资源付费。

SSL/TLS 证书使 Web 浏览器能够标识使用安全套接字层/传输层安全性(SSL/TLS)协议的网站并与之建立加密的网络连接。证书在被称为公有密钥基础设施(PKI)的加密系统中使用。通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。可在《ACM 用户指南》中的概念主题查看更多背景信息和定义。

通过 ACM 申请公有证书时,可选择将证书指定为可导出。证书颁发后,可以通过亚马逊云科技管理控制台选择并导出证书。系统将提示您设置 ACM 用于加密私有密钥的密码。然后,您可以下载和保存证书、私有密钥及证书链,并按照特定 TLS 应用的说明部署证书。您也可以通过编写使用 Amazon SDK 或命令行界面(CLI)的代码或脚本来自动执行这些步骤。

ACM 使您能够更轻松地在亚马逊云科技、混合和多云环境中为网站或应用程序启用 SSL/TLS。使用 ACM,您无需再像之前那样经历与使用和管理 SSL/TLS 证书相关的大量手动流程。ACM 还可管理证书续订,从而帮助您避免因证书配置错误、吊销或过期而导致的停机。您不仅能够获得 SSL/TLS 保护,还能轻松进行证书管理。为面向 Internet 的站点启用 SSL/TLS 有助于提高站点的搜索排名,并帮助您满足加密动态数据的合规性要求。

当您使用 ACM 管理证书时,它会应用强加密和密钥管理最佳实践来确保证书私有密钥得到安全保护和存储。通过 ACM,您可以使用亚马逊云科技管理控制台、Amazon CLI 或 Amazon Certificate Manager API 来集中管理亚马逊云科技中国区域中的所有 SSL/TLS ACM 证书。ACM 与其他亚马逊云科技服务集成,因此您可以请求 SSL/TLS 证书,然后通过亚马逊云科技管理控制台、Amazon CLI 命令或 API 调用,为弹性负载均衡器预置证书。

使用 ACM,您可以管理公有证书的生命周期。ACM 的功能取决于证书是否为公有证书、您获得证书的方式,以及证书的部署位置。请参阅“ACM 公有证书”,了解有关公有证书的更多信息。

公有证书 — ACM 管理用于 ACM 集成服务(包括弹性负载均衡器和 Amazon API Gateway)的公有证书的续订和部署。

可导出公钥证书 — ACM 管理可导出公有证书的续订,您可以将该证书部署到亚马逊云科技服务和/或本地环境中。

已导入证书 — 如果想将第三方证书与弹性负载均衡器或 Amazon API Gateway 配合使用,您可以使用亚马逊云科技管理控制台、Amazon CLI 或 ACM API 将该证书导入 ACM。ACM 不会管理已导入证书的续订流程。您负责监控所导入证书的到期日期,并在到期之前续订。您可以使用亚马逊云科技管理控制台监控已导入证书的到期日期,并导入新的第三方证书来替换即将到期的证书。

要开始使用 Amazon Certificate Manager,请导航到亚马逊云科技管理控制台中的“证书管理”,使用向导请求 SSL/TLS 证书,然后输入您的站点名称。您也可以使用 Amazon CLI 或 API 请求证书。证书颁发后,您可以将其用于与 ACM 集成的其他亚马逊云科技服务。对于每项集成的服务,您只需在亚马逊云科技管理控制台中从下拉列表中选择所需的 SSL/TLS 证书即可。或者,您也可以执行一个 Amazon CLI 命令或调用一个 Amazon API,将该证书与您的资源关联起来。集成的服务随后会将该证书部署到您选择的资源。有关请求和使用 Amazon Certificate Manager 提供的证书的更多信息,请访问《Amazon Certificate Manager 用户指南》中的入门

您可以将公有 ACM 证书用于以下亚马逊云科技服务:

请访问亚马逊云科技中国区域表页面,了解目前提供亚马逊云科技服务的区域。

ACM 证书

全部打开

ACM 管理公有证书和导入证书。请参阅 [问:如何使用 ACM 管理证书?],详细了解 ACM 如何管理各类证书。

可以。每个证书必须包括至少一个域名,并且您可以根据需要在证书中添加更多域名。例如,您可以将域名“www.example.net”添加到用于“www.example.com”的证书,前提是用户通过这两个域名都可以访问您的站点。对于证书请求中包括的所有名称,您必须具有所有权和控制权。 

通配符域名匹配域中的所有一级子域或主机名。一级子域是一个不包含句号(圆点)的单个域名标签。例如,您可以使用名称 *.example.com 来保护 www.example.com、images.example.com 以及以 .example.com 结尾的任何其他主机名或一级子域。有关更多详细信息,请参阅 ACM 用户指南

可以。

托管在 ACM 中的证书旨在与 SSL/TLS 一起使用。 

没有。

目前不提供。

通过 ACM 颁发的证书有效期为 13 个月。 

托管在 ACM 中的证书使用的是采用 2048 位模数和 SHA-256 的 RSA 密钥。 

您可以通过访问亚马逊云科技支持中心并创建一个案例来请求 ACM 吊销公有证书。可以使用 revoke-certificate API 吊销可导出的公有证书。

目前,您不能在区域之间复制 ACM 托管的证书。 

要在不同区域内针对同一站点(具有相同的完全限定域名 [FQDN] 或 FQDN 集)将某个证书与弹性负载均衡器配合使用,您需要为计划使用该证书的每个区域申请新证书。

可以。

您可以选择颁发可导出公有证书,以与集成服务结合使用,也可导出用于任何需要 TLS 证书的工作负载。这些工作负载可以在亚马逊云科技内部(例如在 EC2 上运行的服务器),也可以在亚马逊云科技外部(例如本地服务器)。查看可以将 ACM 证书用于哪些亚马逊云科技服务?

ACM 不支持采用 Unicode 编码的本地语言字符。不过,ACM 支持在域名中使用 ASCII 编码的本地语言字符。

ACM 仅支持采用 UTF-8 编码的 ASCII,包括包含“xn—”的标签(通常称为域名的 Punycode)。ACM 不支持在域名中使用 Unicode 输入(u-label)。

ACM 公有证书

全部打开

公有证书可以帮助客户识别网络上的资源,并确保这些资源之间的通信安全。公有证书用于识别 Internet 上的资源。

ACM 提供域验证(DV)公有证书,供终止 SSL/TLS 的网站和应用程序使用。有关 ACM 证书的更多详细信息,请参阅证书特征

ACM 公有证书受大多数现代浏览器、操作系统和移动设备信任。ACM 提供的证书在浏览器和操作系统(包括 Windows XP SP3 和 Java 6 及更高版本)中的普及率高达 99%。

信任 ACM 证书的浏览器会显示一个锁形图标,并且在连接到使用基于 SSL/TLS(例如使用 HTTPS)的 ACM 证书的站点时不会发出证书警告。

公有 ACM 证书由 Amazon 证书颁发机构(CA)验证。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority - G2 或 Starfield Class 2 Certification Authority 的浏览器、应用程序和操作系统均信任 ACM 证书。

目前不提供。

“Amazon Trust Services 证书策略”和“Amazon Trust Services 证书规范声明”文档中提供了相关信息。有关最新版本,请参阅 Amazon Trust Services 存储库

您可以发送电子邮件至 validation-questions[at]amazonaws.cn 来通知亚马逊云科技。

预置 ACM 公有证书

全部打开

您可以使用亚马逊云科技管理控制台、Amazon CLI 或 ACM API/SDK。要使用亚马逊云科技管理控制台,请导航至“证书管理”,依次选择“请求证书”、“请求公有证书”,输入站点的域名,然后按照屏幕上的说明完成请求。如果用户可以通过其他名称访问您的站点,则可以在请求中添加其他域名。在 ACM 可以颁发证书之前,它会验证您对证书请求中的域名的所有权或控制权。请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以将记录写入域的公有 DNS 配置,以建立您对域的所有权或控制权。在您使用一次 DNS 验证来建立对域的控制权之后,只要记录依然存在并且证书仍在使用中,您就可以获得其他证书,并让 ACM 续订域的现有证书。您无需重新验证域的控制权。如果您选择电子邮件验证而不是 DNS 验证,则系统会将电子邮件发送给请求批准颁发证书的域拥有者。在验证了您对请求中的每个域名拥有所有权或控制权后,系统将颁发证书并准备好为其他亚马逊云科技服务(如弹性负载均衡器)预置证书。有关详细信息,请参阅 ACM 文档

您可以选择颁发可导出公钥证书,以与集成服务结合使用,也可导出用于任何需要 TLS 证书的工作负载。这些工作负载可以在亚马逊云科技内部(例如在 EC2 上运行的服务器),也可以在亚马逊云科技外部(例如本地服务器)。

证书用于确定您站点的身份,并确保浏览器和应用程序与站点之间的连接的安全。要颁发公开可信的证书,Amazon 必须验证证书请求者是否拥有对证书请求中域名的控制权。

在颁发证书之前,ACM 会验证您对证书请求中域名的所有权或控制权。请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以通过将别名记录添加到 DNS 配置来验证域所有权。请参阅 DNS 验证,了解更多详细信息。如果您无法将记录写入域的公有 DNS 配置,则可以使用电子邮件验证而不是 DNS 验证。使用电子邮件验证,ACM 会向已注册的域拥有者发送电子邮件,并且所有者或授权代表可以批准为证书请求中的每个域名颁发证书。请参阅电子邮件验证,了解更多详细信息。

如果您能够更改域的 DNS 配置,我们建议您使用 DNS 验证。如果客户无法接收来自 ACM 的验证电子邮件,或者使用的域注册商没有在 WHOIS 中发布域所有者的电子邮件联系信息,则应使用 DNS 验证。如果您无法修改 DNS 配置,则应使用电子邮件验证。

不可以。但是您可以向 ACM 申请一个新的免费证书,然后为新证书选择 DNS 验证。

证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更久。

ACM 将根据您在提出请求时选择的验证方法(DNS 或电子邮件),尝试验证证书请求中每个域名的所有权或控制权。当 ACM 尝试验证您对域的所有权或控制权时,证书请求的状态为“等待验证”。请参阅下面的 DNS 验证电子邮件验证部分,了解有关验证过程的更多信息。证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更久。证书颁发后,证书请求的状态将变为“已颁发”,之后您便可以开始将其用于与 ACM 集成的其他亚马逊云科技服务。

可以。借助 DNS 证书颁发机构授权(CAA)记录,域所有者可以指定哪些证书颁发机构有权为他们的域颁发证书。在您请求 ACM 证书时,Amazon Certificate Manager 会在您域中 DNS 区域配置内查找 CAA 记录。如果找不到 CAA 记录,那么 Amazon 将为您的域颁发一个证书。大多数客户都属于这一类。

如果您的 DNS 配置中含有 CAA 记录,则该记录必须指定以下任一证书颁发机构(CA),Amazon 才能为您的域颁发证书:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。请参阅《Amazon Certificate Manager 用户指南》中的配置 CAA 记录排查 CAA 问题,了解更多信息。

目前不提供。

DNS 验证(公有证书)

全部打开

使用 DNS 验证,您可以通过将别名记录添加到 DNS 配置来验证您对域的所有权。使用 DNS 验证,在向 ACM 申请 SSL/TLS 证书时,您可以轻松建立对域的所有权。

使用 DNS 验证,可以轻松验证您对域的所有权或控制权,从而获得 SSL/TLS 证书。使用 DNS 验证,您只需将别名记录写入 DNS 配置,即可建立对域名的控制权。这样,单击几次鼠标即可轻松建立对域名的控制权。配置别名记录后,只要 DNS 验证记录依然存在,ACM 就会自动续订正在使用的证书(与其他亚马逊云科技资源相关联)。续订是完全自动和非接触式的。

任何通过 ACM 请求证书并能够更改所请求域的 DNS 配置的人员都应考虑使用 DNS 验证。

可以。对于无法更改自己的 DNS 配置的客户,ACM 会继续支持电子邮件验证。

您必须为要验证的域添加别名记录。例如,要验证名称 www.example.com,您可以向 example.com 的区域添加别名记录。您添加的记录包含一个随机令牌,该令牌是 ACM 专门为您的域和亚马逊云科技账户生成的。您可以从 ACM 获取别名记录的两个部分(名称和标签)。有关更多信息,请参阅 ACM 用户指南。

有关添加或修改 DNS 记录的更多信息,请咨询您的 DNS 提供商。

不会。只要提供商允许您将别名记录添加至自己的 DNS 配置中,您即可通过任何 DNS 提供商使用 DNS 验证。

一。您可以在同一亚马逊云科技账户中使用一条别名记录为同一域名获取多个证书。例如,如果您从同一亚马逊云科技账户下针对同一域名发出 2 个证书请求,仅需使用 1 个 DNS 别名记录即可。

不可以。每个域名必须拥有唯一的别名记录。

可以。

DNS 别名记录由两部分组成:名称和标签。ACM 生成的别名记录名称组件由后跟令牌的下划线字符(_)组成。该令牌是您的亚马逊云科技账户与域名相关联的唯一字符串。ACM 在您的域名前添加下划线和令牌,从而构成名称组件。ACM 将带下划线字符的标签添加到另一个令牌前。该令牌同样与您的亚马逊云科技账户和域名相关联。ACM 将下划线和令牌添加到亚马逊云科技用于验证的 DNS 域名前:acm-validations.aws。以下示例显示了用于 www.example.com、subdomain.example.com 和 *.example.com 的别名记录的格式。

_TOKEN1.www.example.com         别名记录     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com 别名记录     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 别名记录      _TOKEN6.acm-validations.aws

请注意,ACM 在为通配符名称生成别名记录时将会删除通配符标签(*)。因此,ACM 为通配符名称(如 *.example.com)生成的别名记录与不含通配符标签(example.com)域名的返回记录相同。

不可以。必须分别验证每个域名,包括主机名和子域名。每个域名均拥有唯一别名记录。

只要存在别名记录,ACM 即会使用别名记录续订证书。别名记录定向到亚马逊云科技域(acm-validations.aws)中的 TXT 记录,使 ACM 可以根据需要进行更新,以验证或重新验证域名,无需您手动执行任何操作。

可以。您可以创建一个 DNS 别名记录,并使用该别名记录在任何提供 ACM 的亚马逊云科技中国区域为同一亚马逊云科技账户获取证书。成功配置别名记录后,您即可通过 ACM 为该名称颁发和续订证书,无需创建其他记录。

不可以。每个证书仅能使用一种验证方法。

只要 DNS 验证记录仍然存在,ACM 就会自动续订正在使用的证书(与其他亚马逊云科技资源关联)。

可以。删除别名记录即可。删除别名记录且变更操作通过 DNS 分发后,ACM 则不会再使用 DNS 验证为域颁发或续订证书。删除记录的传递时间依您的 DNS 提供商而定。

如果删除别名记录,ACM 则无法再使用 DNS 验证为域颁发或续订证书。

电子邮件验证(公有证书)

全部打开

通过电子邮件验证,可将证书请求中每个域名的审批请求邮件发送给已注册域拥有者。域拥有者或授权代表(审批人)可以按照电子邮件随附说明审批证书请求。相关说明将引导审批人访问审批网站。通过单击电子邮件中的链接,或将此链接粘贴到浏览器地址栏中,以访问和浏览审批网站。审批人需确认域名、证书 ID(ARN)和发起请求的亚马逊云科技账户 ID 等与证书请求相关的信息。如果信息准确无误,则可批准请求。

当您使用电子邮件验证方法请求证书时,会对证书请求中的每个域名执行 WHOIS 查询,以检索该域的联系信息。将向域注册人、管理联系人和负责该域的技术联系人发送电子邮件。还将向五个特定电子邮件地址发送电子邮件,即以 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 名称开头,加上您正在申请的域名所组成的电子邮件地址。例如,如果您为 server.example.com 申请证书,则将使用 WHOIS 查询为 example.com 域所返回的信息向域注册人、技术联系人和管理联系人,以及 admin@server.example.com, administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com 发送电子邮件。

对以“www”开头的域名或以星号(*)开头的通配符名称,这五个特殊的电子邮件地址的结构均不相同。ACM 会删除开头的“www”或星号,电子邮件将发送至以 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 开头,加上域名其余部分所构成的电子邮件地址。例如,如前所述,如果您为 www.example.com 申请证书,则电子邮件会发送至 WHOIS 联系人及 admin@example.com,而不会发送至 admin@example.com。其余四个特殊电子邮件地址的结构与上述结构类似。

在请求证书后,您可以使用 ACM 控制台、Amazon CLI 或 API 显示为每个域发送邮件的目标电子邮件地址列表。

不可以。但您可以配置您希望接收验证电子邮件的目标基本域名。基础域名必须是证书请求中域名的超级域。例如,如果您希望为 server.domain.example.com 请求证书,但希望将审批电子邮件定向到 admin@domain.example.com,则可以使用 Amazon CLI 或 API 执行此操作。请参阅 ACM CLI 参考ACM API 参考,了解更多详细信息。

可以;但是,使用代理可能会导致电子邮件发送出现延迟。通过代理发送的电子邮件最终可能会出现在您的垃圾邮件文件夹里。有关故障排除建议,请参阅 ACM 用户指南

不可以。验证域拥有者身份的程序和策略极为严格,并且由为公开可信的证书颁发机构设置策略标准的 CA/Browser Forum 决定。如需了解更多信息,请参阅 Amazon Trust Services 存储库中最新的“Amazon Trust Services 证书规范声明”。

有关故障排除建议,请参阅 ACM 用户指南

私有密钥保护

全部打开

将为 ACM 提供的每个证书创建密钥对。Amazon Certificate Manager 专用于保护和管理与 SSL/TLS 证书配合使用的私有密钥。在保护和存储私有密钥时,采用更强的加密和密钥管理最佳实践。

不可以。每个 ACM 证书的私有密钥均将存储在您请求证书的中国区域。例如,当您在亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域获得新证书后,ACM 会将私有密钥存储在对应的中国区域。

可以。您可以使用 Amazon CloudTrail 审查日志,了解使用证书私有密钥的时间。

计费

全部打开

通过 Amazon Certificate Manager 预置的用于 ACM 集成服务(例如弹性负载均衡和 Amazon API Gateway 服务)的公有证书和私有证书是免费的。您只需为您创建的用于运行应用程序的亚马逊云科技资源付费。

详细信息

全部打开

可以。

可以,请参阅托管续订与部署,了解更多关于 ACM 如何处理无法通过互联网访问的公有证书续订。

不可以。如果您希望两个域名(www.example.com 和 example.com)都引用您的网站,您必须申请包含这两个名称的证书。

可以。如果想将第三方证书与弹性负载均衡器或 Amazon API Gateway 配合使用,您可以使用亚马逊云科技管理控制台、Amazon CLI 或 ACM API 将该证书导入 ACM。ACM 不会管理已导入证书的续订流程。您可以使用亚马逊云科技管理控制台监控已导入证书的到期日期,并导入新的第三方证书来替换即将到期的证书。

使用 ACM 轻松实现安全连接,帮助您满足法规要求。这是许多合规性程序(如 PCI、FedRAMP 和 HIPAA)的共同要求。有关合规性的具体信息,请参阅 https://www.amazonaws.cn/compliance/

ACM 不提供 SLA。

不提供。如果您想使用网站签章,可以从第三方供应商处获取。我们建议您选择一家供应商对您的网站安全性和/或商务实践进行评估,并声明结果。

不允许。此类签章和徽章可以复制到不使用 ACM 服务的网站,并以虚假借口使用不当手段建立信任的网站。但为了保护我们客户的利益和 Amazon 的声誉,我们不允许以这种方式使用我们的徽标。

日志记录

全部打开

您可以确定哪些用户和账户为支持 Amazon CloudTrail 的服务调用了 Amazon API、发起调用时的源 IP 地址以及调用的发生时间。例如,您可以标识哪个用户曾调用 API 将 ACM 提供的证书与弹性负载均衡器相关联,以及哪个用户在弹性负载均衡服务使用 KMS API 调用解密密匙时调用过 API。

托管续订和部署

全部打开

ACM 托管续订和部署管理续订 SSL/TLS ACM 证书的流程,并在续订证书后部署证书。

ACM 可以代您管理 SSL/TLS 证书的续订和部署。相比容易出错的手动操作流程,ACM 使安全网站服务或应用程序的 SSL/TLS 配置和维护流程更稳定。托管续订和部署可帮助您避免因证书过期而导致的停机。ACM 会作为与其他亚马逊云科技服务集成的服务运行。您可以选择颁发可导出公钥证书,以与集成的亚马逊云科技服务结合使用,也可导出用于任何需要 TLS 证书的工作负载。这就意味着您可以使用亚马逊云科技管理控制台、Amazon CLI 或 API,通过亚马逊云科技平台集中管理和部署证书。

公有证书

ACM 可以续订和部署公有 ACM 证书,无需域拥有者进行其他验证。如果不进行其他验证就无法完成证书续订,那么 ACM 将通过验证证书中每个域名的拥有权或控制权来管理续订流程。对证书中每个域名完成验证后,ACM 将续订证书,并自动将其部署到您的亚马逊云科技资源中。如果 ACM 无法验证域所有权,我们将通知您(亚马逊云科技账户所有者)相关情况。如果您在证书请求中选择了 DNS 验证,只要证书仍处于使用状态(与其他亚马逊云科技资源相关联),且您的别名记录仍然存在,ACM 则可以无限期续订您的证书,无需您执行任何进一步操作。如果您在请求证书时选择了电子邮件验证,即可通过确保证书仍在使用中、证书中包含的所有域名均可以解析到您的网站,且所有域名均可通过互联网访问,以此提高 ACM 自动更新和部署 ACM 证书的能力。

ACM 将在证书到期日期前最多 60 天内启动续订流程。目前 ACM 证书的有效期为 13 个月。请参阅 ACM 用户指南,了解托管续订的更多信息。

不会。ACM 可直接续订或重新加密证书并替换旧证书,无需事先通知。

如果您在公有证书的证书请求中选择了 DNS 验证,只要证书仍处于使用状态(与其他亚马逊云科技资源相关联),且您的别名记录仍然存在,ACM 则可以续订您的证书,无需您执行任何进一步操作。

如果您在请求具有裸域的公有证书时选择了电子邮件验证,请确保裸域的 DNS 查找解析到与证书相关的亚马逊云科技资源。除非您使用支持别名资源记录(或其等效记录)的 DNS 提供程序将裸域映射到亚马逊云科技资源,否则将裸域解析到亚马逊云科技资源可能会有一定的难度。

不会,部署新证书后建立的连接将使用新证书,同时现有连接不会受到影响。