AWS Certificate Manager 常见问题

问：什么是 AWS Certificate Manager？

AWS Certificate Manager (ACM) 这项服务可帮助您轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性（SSL/TLS）证书，以便用于 AWS 产品和您的内部互联资源。SSL/TLS 证书用于保护网络通信的安全，并确认网站在 Internet 上的身份以及资源在私有网络上的身份。使用 ACM，您无需再为购买、上传和更新 SSL/TLS 证书而经历耗时的手动流程。利用 AWS Certificate Manager，您可以快速请求证书，在 AWS 资源（如 Elastic Load Balancer、Amazon CloudFront 分配和 API Gateway 上的 API）上部署该证书，并让 ACM 处理证书续订事宜。它还让您能够为内部资源创建私有证书并集中管理证书生命周期。通过 ACM 预置的专用于 ACM 集成服务（例如 Elastic Load Balancing、Amazon CloudFront 和 Amazon API Gateway）的公有和私有 SSL/TLS 证书均免费。您需要为您创建的用于运行应用程序的 AWS 资源付费。您需要按月支付每个 CA 的操作费用，直至您将其删除，并为您颁发的并非专用于 ACM 集成服务的私有证书付费。

问：什么是 SSL/TLS 证书？

SSL/TLS 证书使 Web 浏览器能够标识使用安全套接字层/传输层安全性 (SSL/TLS) 协议的网站并与之建立加密的网络连接。证书在名为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI，在双方都信任同一个第三方（称为证书颁发机构）的情况下，一方可以确认使用证书的另一方的身份。您可以访问 ACM 用户指南中的概念主题，了解更多背景信息和定义。

问：什么是私有证书？

私有证书可以识别和保护组织内的应用程序、服务、设备和用户等资源。在建立安全的加密通信通道时，每个终端节点都使用证书和加密技术向另一终端节点证明其身份。内部 API 终端节点、Web 服务器、VPN 用户、物联网设备以及许多其他应用程序都使用私有证书来建立其安全操作所需的加密通信通道。

问：公有证书和私有证书有什么区别？

公有证书和私有证书都可以帮助客户识别网络上的资源，并确保这些资源之间的通信安全。公有证书用于识别公共 Internet 上的资源，私有证书用于识别私有网络上的资源。其主要区别在于，应用程序和浏览器默认自动信任公有证书，而管理员必须显式配置应用程序以信任私有证书。公有 CA（颁发公有证书的实体）必须遵守严格的规则、提供操作可见性，并遵循浏览器和操作系统供应商规定的安全标准，这些标准决定他们的浏览器和操作系统自动信任哪些 CA。Private CA 由私有组织管理，Private CA 管理员可以制定自己的私有证书颁发规则，包括颁发证书的实践以及证书可以包含的信息。 

问：使用 AWS Certificate Manager（ACM）有哪些优势？

借助 ACM，您可以更加轻松地为 AWS 平台上的网站或应用程序启用 SSL/TLS。使用 ACM，您无需经历过去与使用和管理 SSL/TLS 证书相关的大量手动流程。ACM 还可管理证书续订，从而帮助您避免因证书配置错误、撤销或过期而导致的停机。您可获得 SSL/TLS 保护并轻松管理证书。为面向 Internet 的站点启用 SSL/TLS 有助于提高站点的搜索排名，并帮助您满足加密动态数据的合规性要求。

当您使用 ACM 管理证书时，它会应用强加密和密钥管理最佳实践来确保证书私有密钥得到安全保护和存储。通过 ACM，您可以使用 AWS 管理控制台、AWS CLI 或 ACM API 来集中管理 AWS 区域中 ACM 提供的所有 SSL/TLS 证书。ACM 与其他 AWS 产品集成，因此您可以请求 SSL/TLS 证书，然后通过 AWS 管理控制台、AWS CLI 命令或 API 调用为 Elastic Load Balancing 负载均衡器或 Amazon CloudFront 分配预置证书。

问：我可以使用 ACM 管理哪些类型的证书？

使用 ACM，您可以管理公有证书和私有证书的生命周期。ACM 的功能取决于证书是公有还是私有、您如何获得证书，以及在何处部署证书。

公有证书 - 您可以在 ACM 中请求 Amazon 颁发的公有证书。ACM 管理用于 ACM 集成服务（包括 Amazon CloudFront、Elastic Load Balancing 和 Amazon API Gateway）的公有证书的续订和部署。

私有证书 - 您可以选择将私有证书管理委托给 ACM。使用这种方式时，ACM 会自动续订和部署用于 ACM 集成服务（包括 Amazon CloudFront、Elastic Load Balancing 和 Amazon API Gateway）的私有证书。您可以使用 AWS 管理控制台、API 和命令行界面 (CLI) 轻松部署这些私有证书。您可以从 ACM 中导出私有证书，将其用于 EC2 实例、容器、本地服务器和物联网设备。AWS 私有 CA 会自动续订这些证书，并在续订完成时发送 Amazon CloudWatch 通知。您可以编写客户端代码以下载续订的证书和私有密钥，以便和应用程序一起部署它们。

导入证书 – 如果想将第三方证书与 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway 配合使用，您可以使用 AWS 管理控制台、AWS CLI 或 ACM API 将该证书导入 ACM。ACM 无法续订导入的证书，但它可以帮助您管理续订过程。您负责监控所导入证书的到期日期，并在到期之前续订。您可以使用 ACM CloudWatch 指标监控已导入证书的到期日期，并导入新的第三方证书来替换即将到期的证书。

问：如何开始使用 ACM？

要开始使用 ACM，请导航到 AWS 管理控制台中的“证书管理”，然后使用向导请求 SSL/TLS 证书。如果已经创建了 Private CA，您可以选择需要公有证书还是私有证书，然后输入您的站点名称。您也可以使用 AWS CLI 或 API 请求证书。证书颁发后，您可以将其用于与 ACM 集成的“其他 AWS 产品”。对于每项集成的服务，您只需从 AWS 管理控制台的下拉列表中选择您要部署的 SSL/TLS 证书即可。或者，您也可以执行一个 AWS CLI 命令或调用一个 AWS API，将该证书与您的资源关联起来。集成的服务随后会将该证书部署到您选择的资源。 有关请求和使用 ACM 提供的证书的更多信息，请在 ACM 用户指南中进行深入了解。除了将私有证书用于 ACM 集成服务之外，您还可以在 EC2 实例、ECS 容器或任何位置导出私有证书以供使用。

问：我可以将 ACM 证书用于哪些 AWS 产品？

• 您可以将公有和私有 ACM 证书用于以下 AWS 产品：
• Elastic Load Balancing – 请参阅 Elastic Load Balancing 文档
• Amazon CloudFront – 请参阅 CloudFront 文档
• Amazon API Gateway – 请参阅 API Gateway 文档
• AWS CloudFormation – 目前仅支持 ACM 颁发的公有和私有证书。请参阅 AWS CloudFormation 文档
• AWS Elastic Beanstalk – 请参阅 AWS Elastic Beanstalk 文档
• AWS Nitro Enclaves – 请参阅 AWS Nitro Enclaves 文档

问：ACM 在哪些区域提供？

请访问 AWS 全球基础设施页面，了解目前提供 AWS 产品的区域。要将 ACM 证书与 Amazon CloudFront 配合使用，您必须在美国东部（弗吉尼亚北部）区域请求或导入该证书。该区域内与 CloudFront 分配关联的 ACM 证书将被分发到为该分配配置的所有地理位置。

问：ACM 管理哪些类型的证书？

ACM 管理公有证书、私有证书和导入证书。在颁发和管理证书文档中了解有关 ACM 功能的更多信息。

问：ACM 是否可以提供包括多个域名的证书？

可以。每个证书必须包括至少一个域名，并且您可以根据需要在证书中添加更多域名。例如，您可以将域名“www.example.net”添加到用于“www.example.com”的证书，前提是用户通过这两个域名都可以访问您的站点。对于证书请求中包括的所有名称，您必须具有所有权和控制权。 

问：什么是通配符域名？

通配符域名匹配域中的所有第一级子域或主机名。第一级子域是一个不包含句号（圆点）的域名标签。例如，您可以使用名称“*.example.com”保护 www.example.com、images.example.com 以及以 .example.com 结尾的任何其他主机名或第一级子域。在 ACM 用户指南中了解更多信息。

问：ACM 是否可以提供带有通配符域名的证书？

是。

问：ACM 是否提供 SSL/TLS 之外的证书？

否。

问：是否可以使用 ACM 证书进行代码签名或电子邮件加密？

不能。

问：ACM 是否提供用于签名和加密电子邮件的证书（S/MIME 证书）？

否。

问：ACM 证书的有效期是多长？

通过 ACM 颁发的证书有效期为 13 个月（395 天）。如果您直接通过 Private CA 颁发私有证书并自行管理密钥和证书，而不是使用 ACM 进行证书管理，则可以选择任何有效期，包括绝对结束日期或相对时间（即自当前时间开始计算的天数、月数或年数）。

问：ACM 颁发的证书使用什么算法？

默认情况下，ACM 中颁发的证书使用的是采用 2048 位模数和 SHA-256 的 RSA 密钥。此外，您可以使用 P-256 或 P-384 请求椭圆曲线数字签名算法（ECDSA）证书。在 ACM 用户指南中了解有关算法的更多信息。

问：如何吊销证书？

您可以通过访问 AWS Support 中心并创建一个问题来请求 ACM 吊销公有证书。要吊销由您的 AWS 私有 CA 颁发的私有证书，请参阅 AWS 私有 CA 用户指南。 

问：是否可以在多个 AWS 区域中使用同一个 ACM 证书？

不可以。ACM 证书必须与使用它们的资源位于同一区域。唯一的例外是 Amazon CloudFront，这是一项需要美国东部（弗吉尼亚州北部）地区证书的全球服务。该区域内与 CloudFront 分配关联的 ACM 证书将被分发到为该分配配置的所有地理位置。

问：如同一域名我已经拥有来自其他提供商的证书，是否还能使用 ACM 来预置证书？

可以。

问：我是否可以在 Amazon EC2 实例或自己的服务器上使用证书？

您可以将 Private CA 颁发的私有证书用于 EC2 实例、容器和您自己的服务器。目前，公有 ACM 证书仅可用于特定 AWS 服务，包括 AWS Nitro Enclaves。请参阅 ACM 服务集成。

问：ACM 是否允许域名（也称为国际化域名 [IDN]）中包含本地语言字符？

ACM 不支持采用 Unicode 编码的本地语言字符；不过，ACM 支持域名使用 ASCII 编码的本地语言字符。

问：ACM 支持哪些域名标签格式？

ACM 仅支持采用 UTF-8 编码的 ASCII 字符，包括包含“xn-”的标签（通常称为域名的 Punycode）。ACM 不支持域名中使用 Unicode 输入（Unicode 标签）。

问：是否可以导入第三方证书并将其用于 AWS 产品？

可以。如果想要将第三方证书与 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway 配合使用，您可以使用 AWS 管理控制台、AWS CLI 或 ACM API 将该证书导入 ACM。ACM 不会处理已导入证书的续订过程。您可以使用 AWS 管理控制台监控已导入证书的到期日期，并导入新的第三方证书来替换即将到期的证书。

问：什么是公有证书？

公有证书和私有证书都可以帮助客户识别网络上的资源，并确保这些资源之间的通信安全。公有证书用于识别 Internet 上的资源。

问：ACM 提供哪些类型的公有证书？

ACM 提供域验证 (DV) 公有证书，供终止 SSL/TLS 的网站和应用程序使用。有关 ACM 证书的更多详细信息，请参阅证书特征。

问：ACM 公有证书是否受浏览器、操作系统和移动设备信任？

ACM 公有证书受大多数现代浏览器、操作系统和移动设备信任。ACM 提供的证书在浏览器和操作系统（包括 Windows XP SP3 和 Java 6 及更高版本）中的普及率高达 99%。

问：如何确认我的浏览器信任 ACM 公有证书？

一些信任 ACM 证书的浏览器会显示一个锁形图标，并且在连接到基于 SSL/TLS 使用 ACM 证书（例如使用 HTTPS）的站点时不会发出证书警告。

公有 ACM 证书由 Amazon 证书颁发机构 (CA) 验证。任何包含 Amazon Root CA 1、Amazon Root CA 2、Amazon Root CA 3、Amazon Root CA 4、Starfield Services Root Certificate Authority - G2 的浏览器、应用程序和操作系统均信任 ACM 证书。有关根 CA 的更多信息，请访问 Amazon Trust Services 存储库。

问：ACM 是否可以提供公有组织验证 (OV) 或扩展验证 (EV) 证书？

否。

问：Amazon 在哪里介绍关于颁发公有证书的策略和规范？

“Amazon Trust Services 证书策略”和“Amazon Trust Services 证书规范声明”文档中提供了相关信息。有关最新版本，请参阅 Amazon Trust Services 存储库。

问：用于 www.example.com 的证书是否也能用于 example.com？

否。如果您希望自己的站点能够被两个域名（www.example.com 和 example.com）引用，则必须请求包含这两个名称的证书。

问：ACM 如何帮助我的组织满足合规性要求？

使用 ACM 可以轻松确保连接的安全性（这也是 PCI、FedRAMP 以及 HIPAA 等众多合规性计划的共同要求），从而帮助您满足法规要求。有关合规性的具体信息，请参阅 http://aws.amazon.com/compliance。

问：ACM 是否有服务等级协议 (SLA)？

否，ACM 没有 SLA。 

问：ACM 是否会提供一个可以在我的网站上显示的安全站点签章或信任徽标？

否。如果您想使用站点签章，您可以从第三方供应商处获得。我们建议选择可评估和维护您站点和/或业务实践的安全性的供应商。

问：Amazon 是否允许将其商标或徽标用作证书徽章、站点签章或信任徽标？

否。此类签章和徽章可复制到不使用 ACM 服务的站点，但不能假借亚马逊名号建立信任。为保护我们的客户和 Amazon 的声誉，我们不允许以这种方式使用我们的徽标。

 

问：如何预置 ACM 提供的公有证书？

您可以使用 AWS 管理控制台、AWS CLI 或 ACM API/开发工具包进行预置。要使用 AWS 管理控制台，请导航至“证书管理”，依次选择“请求证书”、“请求公有证书”，输入站点的域名，然后按照屏幕上的说明完成请求。如果用户可以通过其他名称访问您的站点，则可以在请求中添加其他域名。在 ACM 可以颁发证书之前，它会验证您对证书请求中的域名的所有权或控制权。在请求证书时，您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证，您可以将记录写入域的公有 DNS 配置，以建立您对域的所有权或控制权。在您使用一次 DNS 验证来建立对域的控制权之后，只要记录依然存在并且证书仍在使用中，您就可以获得其他证书，并让 ACM 更新域的现有证书。您无需重新验证域的控制权。如果您选择电子邮件验证而不是 DNS 验证，则系统会将电子邮件发送给请求批准颁发证书的域所有者。在验证了您对请求中的每个域名拥有所有权或控制权后，系统将颁发证书并准备好预置证书以用于其他 AWS 产品，如 Elastic Load Balancing 或 Amazon CloudFront。有关详细信息，请参阅 ACM 文档。

问：ACM 为何要验证公有证书的域所有权？

各类证书用于建立您站点的身份，并确保浏览器和应用程序与您的站点之间安全连接。要颁发公开可信的证书，Amazon 必须验证证书请求者是否拥有对证书请求中域名的控制权。

问：在为域颁发公有证书之前，ACM 如何验证域所有权？

在颁发证书之前，ACM 会验证您对证书请求中域名的所有权或控制权。在请求证书时，您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证，您可以通过将 CNAME 记录添加到 DNS 配置来验证域所有权。请参阅 DNS 验证，了解更多详细信息。如果您无法将记录写入域的公有 DNS 配置，则可以使用电子邮件验证而不是 DNS 验证。使用电子邮件验证，ACM 会给已注册的域所有者发送电子邮件，并且所有者或授权代表可以批准为证书请求中的每个域名颁发证书。请参阅电子邮件验证，了解更多详细信息。

问：我的公有证书应该使用哪种验证方法：DNS 还是电子邮件？

如果您能够更改域的 DNS 配置，我们建议使用 DNS 验证。无法接收来自 ACM 的验证电子邮件的客户，以及使用的域注册商没有在 WHOIS 中发布域所有者电子邮件联系信息的客户应使用 DNS 验证。如果您无法修改 DNS 配置，则应使用电子邮件验证。

问：是否可以将现有的公有证书从电子邮件验证转换为 DNS 验证？

不可以。但是您可以向 ACM 申请一个新的免费证书，然后为新证书选择 DNS 验证。

问：颁发公有证书需要多长时间？

证书请求中的所有域名都经过验证后，颁发证书的时间可能会持续几个小时或更久。

问：请求公有证书时会发生什么情况？

ACM 将根据您在提出请求时选择的验证方法（DNS 或电子邮件），尝试验证证书请求中每个域名的所有权或控制权。当 ACM 尝试验证您对域的所有权或控制权时，证书请求的状态为“等待验证”。请参阅下面的 DNS 验证和电子邮件验证部分，了解有关验证过程的更多信息。证书请求中的所有域名都经过验证后，颁发证书的时间可能会持续几个小时或更久。证书颁发后，证书请求的状态将变为“已颁发”，您可以将证书用于其他与 ACM 集成的 AWS 产品。

问：在颁发公有证书之前，ACM 是否会检查 DNS 证书颁发机构授权 (CAA) 记录？

会。借助 DNS 证书颁发机构授权 (CAA) 记录，域所有者可以指定哪些证书颁发机构有权为他们的域颁发证书。在您申请 ACM 证书时，AWS Certificate Manager 会查看您域中 DNS 区域配置内的 CAA 记录。如果没有 CAA 记录，那么 Amazon 将为您的域颁发一个证书。大多数客户都属于这一类。

如果您的 DNS 配置中含有 CAA 记录，则该记录必须指定以下任一证书颁发机构 (CA)，Amazon 才能为您的域颁发证书：amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。请参阅《AWS Certificate Manager 用户指南》中的配置 CAA 记录或排查 CAA 问题，了解更多信息。

问：ACM 是否支持任何其他验证域的方法？

目前不提供。

问：什么是 DNS 验证？

使用 DNS 验证，您可以通过将 CNAME 记录添加到 DNS 配置来验证您对域的所有权。使用 DNS 验证，在向 ACM 申请公有 SSL/TLS 证书时，您可以轻松建立对域的所有权。

问：DNS 验证有哪些优势？

使用 DNS 验证，可以轻松验证您对域的所有权或控制权，以便可以获得 SSL/TLS 证书。使用 DNS 验证，您只需将 CNAME 记录写入 DNS 配置，即可建立对域名的控制。为了简化 DNS 验证流程，在您使用 Amazon Route 53 管理 DNS 记录的情况下，ACM 管理控制台可以为您配置 DNS 记录。这样，通过单击几次鼠标即可轻松建立对域名的控制。配置 CNAME 记录后，只要 DNS 验证记录依然存在，ACM 就会自动更新正在使用的证书（与其他 AWS 资源相关联）。续订是完全自动和非接触式的。

问：哪些人应该使用 DNS 验证？

任何通过 ACM 请求证书并能够更改所请求域的 DNS 配置的人都应考虑使用 DNS 验证。

问：ACM 是否仍然支持电子邮件验证？

是。对于无法更改自己的 DNS 配置的客户，ACM 会继续支持电子邮件验证。

问：我需要将哪些记录添加到 DNS 配置中才能验证域？

您必须为要验证的域添加 CNAME 记录。例如，要验证名称 www.example.com，您可以向 example.com 的区域添加 CNAME 记录。您添加的记录包含一个随机令牌，该令牌是 ACM 专门为您的域和 AWS 账户生成的。您可以从 ACM 获取 CNAME 记录的两个部分（名称和标签）。有关更多信息，请参阅 ACM 用户指南。

问：如何为我的域添加或修改 DNS 记录？

有关如何添加或修改 DNS 记录的更多信息，请咨询您的 DNS 提供商。Amazon Route 53 DNS 文档为使用 Amazon Route 53 DNS 的客户提供更多信息。

问：ACM 可以简化 Amazon Route 53 DNS 客户的 DNS 验证吗？

可以。对于使用 Amazon Route 53 DNS 管理 DNS 记录的客户，ACM 控制台可以在请求证书时为您将记录添加到 DNS 配置。您的域的 Route 53 DNS 托管区域必须配置在您提出请求时使用的同一 AWS 账户中，并且您必须具有足够的权限以对 Amazon Route 53 配置进行更改。有关更多信息，请参阅 ACM 用户指南。

问：DNS 验证是否要求我使用特定的 DNS 提供商？

否。只要提供商允许您将 CNAME 记录添加到 DNS 配置，您就可以将 DNS 验证用于任何 DNS 提供商。

问：如果我要为同一个域请求多个证书，则需要多少个 DNS 记录？

一个。您可以使用一个 CNAME 记录为同一个 AWS 账户中的同一个域名获得多个证书。例如，如果您为同一个 AWS 账户中的同一个域名提出 2 个证书请求，则只需要一个 DNS CNAME 记录。

问：我可以使用相同的 CNAME 记录验证多个域名吗？

不可以。每个域名必须具有唯一的 CNAME 记录。

问：我可以使用 DNS 验证来验证通配符域名吗？

可以。

问：ACM 如何构建 CNAME 记录？

DNS CNAME 记录包含两部分：名称和标签。ACM 生成的 CNAME 的名称部分是由一个下划线字符 (_)，后跟一个令牌（这是绑定到您的 AWS 账户和域名的唯一字符串）构建的。ACM 在您的域名前加上下划线和令牌来构建名称部分。ACM 通过一个下划线字符，其后跟一个不同的令牌来构建标签，此令牌也与您的 AWS 账户和域名绑定。ACM 在下划线和令牌后加上 AWS 用于验证的 DNS 域名：acm-validations.aws。以下示例显示了 www.example.com、subdomain.example.com 和 *.example.com 的 CNAME 格式。

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

请注意，当为通配符名称生成 CNAME 记录时，ACM 将会删除通配符标签 (*)。所以，ACM 为通配符名称（如 *.example.com）生成的 CNAME 记录与不带通配符标签 (example.com) 的域名返回的记录相同。

问：我可以使用一个 CNAME 记录来验证一个域的所有子域吗？

不可以。每个域名（包括主机名和子域名）必须单独验证，每个域名都有一个唯一的 CNAME 记录。

问：为什么 ACM 使用 CNAME 记录而不使用 TXT 记录进行 DNS 验证？

只要 CNAME 记录存在，使用 CNAME 记录就能使 ACM 更新证书。CNAME 记录指向 AWS 域中的 TXT 记录 (acm-validations.aws)，ACM 可以根据需要进行更新，以验证或重新验证域名，而您无需执行任何操作。

问：DNS 验证是否可以跨 AWS 区域进行？

可以。您可以创建一个 DNS CNAME 记录，并使用它来获得提供 ACM 的任何 AWS 区域中同一 AWS 账户的证书。配置一次 CNAME 记录，您就可以获得 ACM 为该名称颁发和更新的证书，而无需创建另一个记录。

问：我可以在同一证书中选择不同的验证方法吗？

不可以。每个证书只能有一个验证方法。

问：如何更新使用 DNS 验证来验证的证书？

只要 DNS 验证记录依然存在，ACM 就会自动更新正在使用的证书（与其他 AWS 资源相关联）。

问：我可以撤销为我的域颁发证书的权限吗？

可以。只需删除 CNAME 记录即可。在您删除 CNAME 记录并通过 DNS 分配更改后，ACM 不会使用 DNS 验证为您的域颁发或更新证书。删除记录的传播时间取决于您的 DNS 提供商。

问：如果我删除 CNAME 记录，会发生什么情况？

如果您删除 CNAME 记录，则 ACM 将无法使用 DNS 验证为您的域颁发或更新证书。

问：什么是电子邮件验证？

使用电子邮件验证，系统会针对证书请求中的每个域名向已注册域所有者发送批准请求电子邮件。域的所有者或授权代表（审批者）可以按照电子邮件中的说明批准证书请求。说明将指引审批者导航到审批网站，单击电子邮件中的链接或将电子邮件中的链接粘贴到浏览器中，以导航到审批网站。审批者确认与证书请求相关的信息，如域名、证书 ID (ARN) 以及发出请求的 AWS 账户 ID，如果信息准确无误，则批准请求。

问：当我请求证书并选择电子邮件验证时，证书批准请求会发送至哪个电子邮件地址？

当您使用电子邮件验证请求证书时，系统会针对证书请求中的每个域名使用 WHOIS 查找来检索该域的联系人信息。电子邮件会发送给针对该域列出的域注册者、管理联系人和技术联系人。电子邮件还会同时发送至域的五个特定电子邮件地址，即在您请求的域名前加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 生成的五个地址。例如，如果您为 server.example.com 请求证书，系统将使用针对 example.com 域，外加 admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com 的 WHOIS 查询返回的联系人信息将电子邮件发送至域注册人、技术联系人和管理联系人。

针对以“www”开头的域名或以星号 (*) 开头的通配符名称，这五个特定电子邮件地址采用不同的构造方式。ACM 会删除前导的“www”或星号，而电子邮件则被发送到通过在域名其余部分之前加上 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 来构造的管理员地址。例如，如果您为 www.example.com 请求证书，则电子邮件被发送到 WHOIS 联系人（如前所述）以及 admin@example.com，而不是 admin@www.example.com。其余四个特定电子邮件地址也采用类似的方式构造。

请求证书之后，您可以使用 ACM 控制台、AWS CLI 或 API 查看针对各个域发送的电子邮件的收件方电子邮件地址列表。

问：我是否可以配置接收证书审批请求的电子邮件地址？

不可以，不过您可以配置用于接收验证电子邮件的基础域名。基础域名必须是证书请求中域名的超级域。例如，如果您想为 server.domain.example.com 请求证书，但希望将审批电子邮件发送至 admin@domain.example.com，则可以使用 AWS CLI 或 API 实现这一目的。有关更多详细信息，请参阅 ACM CLI 参考和 ACM API 参考。

问：我是否可以使用具有代理联系人信息（例如 Privacy Guard 或 WhoisGuard）的域？

可以；不过，电子邮件的发送可能会因为代理而延迟。通过代理发送的电子邮件可能会进入您的垃圾邮件文件夹。有关故障排除建议，请参阅 ACM 用户指南。

问：ACM 是否可以通过我的 AWS 账户的技术联系人验证我的身份？

不可以。验证域所有者身份的流程和策略非常严格，并且由为公开可信的证书颁发机构设置策略标准的 CA/Browser Forum 决定。要了解详情，请参阅 Amazon Trust Services 存储库中最新的“Amazon Trust Services 认证规范声明”。

问：如果我没有收到批准电子邮件，该怎么做？

有关故障排除建议，请参阅 ACM 用户指南。

问：如何管理 ACM 提供的证书的私有密钥？

系统会为 ACM 提供的每个证书创建一个密钥对。ACM 可保护并管理用于 SSL/TLS 证书的私有密钥。会运用强加密和密钥管理最佳实践来保护并存储私有密钥。

问：ACM 是否可以跨 AWS 区域复制证书？

不可以。每个 ACM 证书私有密钥均存储在您请求该证书的区域。例如，当您在美国东部（弗吉尼亚北部）区域获得新的证书后，ACM 会将私有密钥存储在弗吉尼亚北部区域。仅当 ACM 证书与 CloudFront 分配关联时，该证书才能跨区域复制。在这种情况下，CloudFront 会将 ACM 证书分配到为您的分配配置的地理位置。

问：什么是 ACM 托管续订与部署？

ACM 托管续订与部署可以管理由 ACM 提供的 SSL/TLS 证书的续订过程，并部署续订的证书。

问：使用 ACM 托管续订与部署有哪些优势？

ACM 可帮助您管理 SSL/TLS 证书的续订和部署。与容易出错的手动流程相比，ACM 能够让安全 Web 服务或应用程序的 SSL/TLS 配置和维护具有更高的操作可靠性。托管续订与部署有助于您避免因证书过期导致的停机。ACM 作为一种服务运行，并且与其他 AWS 产品集成。这意味着，您可以使用 AWS 管理控制台、AWS CLI 或 API 在 AWS 平台上集中管理和部署证书。借助 Private CA，您可以创建私有证书并将其导出。ACM 会续订导出的证书，让您可以使用自己的客户端自动化代码化来下载并部署它们。 

问：哪些 ACM 证书可以自动续订和部署？

公有证书

ACM 可以续订并部署公有 ACM 提供的证书，而无需域的所有者进行任何其他验证。如果证书必须经过其他验证才能续订，则 ACM 会通过验证证书中每个域名的域所有权或控制权来管理续订流程。在证书中的所有域名都经过验证后，ACM 会更新证书并自动将其部署到您的 AWS 资源。如果 ACM 无法验证域所有权，我们会告知于您（AWS 账户所有者）。

如果您在证书请求中选择了 DNS 验证，只要证书正在使用中（与其他 AWS 资源相关联），并且您的 CNAME 记录依然存在，那么 ACM 就可以无限期地更新您的证书，而无需您进一步采取任何行动。如果您在请求证书时选择了电子邮件验证，则可以提高 ACM 自动续订和部署 ACM 证书的能力，方法是确保证书正在使用中、证书中包含的所有域名均可解析到您的站点以及所有域名均可通过 Internet 访问。

私有证书

ACM 提供了两个选项，用于管理由 AWS Private CA 颁发的私有证书。ACM 可根据您管理私有证书的方式提供不同的续订功能。您可以为您发布的每个私有证书选择最佳管理选项。

1）ACM 可以完全自动续订和部署由 AWS Private CA 颁发的用于 ACM 集成服务（如 Elastic Load Balancing 和 API Gateway）的私有证书。ACM 可以续订和部署通过 ACM 颁发的私有证书，前提是颁发相关证书的私有 CA 保持活动状态。

2）对于您从 ACM 导出的用于本地资源、EC2 实例和物联网设备的私有证书，ACM 会自动续订这些证书。您只需负责检索新证书和私有密钥并将其部署到应用程序中。

问：ACM 何时更新证书？

ACM 最早可在证书过期前 60 天开始执行续订流程。目前，ACM 证书的有效期为 13 个月（395 天）。请参阅 ACM 用户指南，了解有关托管续订的更多信息。

问：在更新证书和部署新证书之前，我是否会收到通知？

否。ACM 可能会在不提前通知的情况下更新证书或更新密钥，并更换旧的证书。

问：ACM 是否可以续订包含裸域（也称为顶级域名，例如“example.com”）的公有证书？

如果您在证书请求中为公有证书选择了 DNS 验证，只要证书正在使用中（与其他 AWS 资源相关联）并且您的 CNAME 记录依然存在，那么 ACM 就可以续订您的证书，而无需您采取任何进一步行动。

如果您在请求包含裸域的公有证书时选择了电子邮件验证，请确保将裸域的 DNS 查找解析到与该证书相关联的 AWS 资源。将裸域解析到 AWS 资源可能非常困难，除非您使用 Route 53 或支持别名资源记录（或同类记录）的其他 DNS 提供商，从而将裸域映射到 AWS 资源。有关更多信息，请参阅 Route 53 开发人员指南。

问：在 ACM 部署更新后的证书时，我的站点是否会断开现有连接？

不会。在部署新证书之后建立的连接将使用新证书，而现有连接不会受到影响。

问：是否可以将同一证书用于多个 Elastic Load Balancing 负载均衡器和多个 CloudFront 分配？

可以。

问：是否可以将公有证书用于没有公共 Internet 访问权限的内部 Elastic Load Balancing 负载均衡器？

可以。但是您也可以考虑使用 AWS 私有 CA 来颁发 ACM 无需验证即可续订的私有证书。请参阅托管续订与部署，详细了解 ACM 如何处理无法从 Internet 访问的公有证书和私有证书的续订。

问：是否可以对证书私有密钥的使用进行审核？

是。您可以使用 AWS CloudTrail 查看日志，从而了解证书私有密钥的使用时间。

问：AWS CloudTrail 提供哪些日志记录信息？

您可以确定哪些用户和账户为支持 AWS CloudTrail 的服务调用了 AWS API、发出调用的源 IP 地址以及调用发生的时间。例如，您可以确定哪些用户为关联 ACM 提供的证书与 Elastic Load Balancer 调用了 API，以及 Elastic Load Balancing 服务使用 KMS API 调用加密密钥的时间。

问：使用 ACM 证书时如何收费和计费？

通过 AWS Certificate Manager 预置的用于 ACM 集成服务（例如 Elastic Load Balancing、Amazon CloudFront 和 Amazon API Gateway 服务）的公有和私有证书均免费。您需要为您创建的用于运行应用程序的 AWS 资源付费。AWS Private CA 采用现收现付定价；访问 AWS 私有 CA 定价页面了解更多详细信息和示例。

问：在哪里可以找到有关 AWS 私有 CA 的信息？

请查看 AWS Private CA 常见问题了解关于使用 AWS Private CA 的疑问解答。