问:什么是 AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) 是一项服务,可帮助您轻松地预置、管理和部署用于 AWS 产品的安全套接字层/传输层安全性 (SSL/TLS) 证书。SSL/TLS 证书用于保护网络通信的安全并确立网站在 Internet 上的身份。使用 ACM,您无需再为购买、上传和更新 SSL/TLS 证书而经历耗时的手动流程。利用 ACM,您可以快速请求证书,在 AWS 资源 (如 Amazon API Gateway 上的 Elastic Load Balancer、Amazon CloudFront 分配或 API) 上部署该证书,并让 AWS Certificate Manager 处理证书更新事宜。您也可以将第三方证书导入 ACM,并将其与支持的 AWS 产品关联起来。通过 ACM 预置的 SSL/TLS 证书是免费的。您只需为您创建的用于运行应用程序的 AWS 资源付费。

问:什么是 SSL/TLS 证书?

SSL/TLS 证书使 Web 浏览器能够标识使用安全套接字层/传输层安全性 (SSL/TLS) 协议的网站并与之建立加密的网络连接。证书在名为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI,在双方都信任同一个第三方 (称为证书颁发机构) 的情况下,一方可以为使用证书的另一方确立身份。ACM 用户指南中的概念主题提供更多背景信息和定义。

问:AWS Certificate Manager 有什么作用?

您可以请求和预置 SSL/TLS 证书,并使用与 ACM 集成的服务 (如 Elastic Load Balancing、Amazon CloudFront 或 Amazon API Gateway) 将证书部署到您的网站或应用程序。验证请求域的所有权并获得颁发的证书之后,您可以从 AWS 管理控制台的下拉列表中选择 SSL/TLS 证书并部署该证书。或者,您也可以使用 AWS 命令行界面 (CLI) 命令或 API 调用将 ACM 提供的证书部署到 AWS 资源。ACM 会为您管理证书更新和证书部署事宜。

问:使用 AWS Certificate Manager 有哪些优势?

借助 ACM,您可以更加轻松地为 AWS 平台上的网站或应用程序启用 SSL/TLS。使用 ACM,您无需经历过去与使用和管理 SSL/TLS 证书相关的大量手动流程。ACM 还可管理证书更新,从而帮助您避免因证书配置错误、撤销或过期而导致的停机。您可获得 SSL/TLS 保护并轻松管理证书。启用 SSL/TLS 有助于提高站点的搜索排名,并可帮助您满足传输数据加密的法规合规性要求。

要验证您对证书中域名的所有权或控制权,ACM 会根据您请求证书时的选择使用 DNS 验证电子邮件验证。使用 DNS 验证,您只需将 CNAME 记录写入 DNS 配置,即可建立对域名的控制。为了进一步简化 DNS 验证流程,在您使用 Amazon Route 53 管理 DNS 记录的情况下,ACM 管理控制台可以为您配置 DNS 记录。这样,通过单击几次鼠标即可轻松建立对域名的控制。配置 CNAME 记录后,只要 DNS 记录依然存在并且证书正在使用中,ACM 就可以在经过 DNS 验证的证书过期之前自动更新这些证书。更新是完全自动和非接触式的。对于无法为自己的域更新 DNS 配置的客户,ACM 还支持电子邮件验证。

当您使用 ACM 时,它会应用强加密和密钥管理最佳实践来确保证书私有密钥得到安全保护和存储。通过 ACM,您可以使用 AWS 管理控制台、AWS CLI 或 AWS Certificate Manager API 来集中管理 AWS 地区中 ACM 提供的所有 SSL/TLS 证书。ACM 与其他 AWS 产品集成,因此您可以请求 SSL/TLS 证书,然后通过 AWS 管理控制台、AWS CLI 命令或 API 调用为 Elastic Load Balancing 负载均衡器或 Amazon CloudFront 分配预置证书。

问:如何开始使用 ACM?

要开始使用 AWS Certificate Manager,请导航到 AWS 管理控制台中的“Certificate Manager”,然后使用向导输入站点的名称以请求 SSL/TLS 证书。您也可以使用 AWS CLI 或 API 请求证书。在 ACM 获得域所有者的批准并且系统颁发 SSL/TLS 证书后,您就可以将其用于与 ACM 集成的其他 AWS 资源了。对于每项集成的服务,您只需从 AWS 管理控制台的下拉列表中选择您要部署的 SSL/TLS 证书即可。或者,您也可以执行一个 AWS CLI 命令或调用一个 AWS API,将该证书与您的资源关联起来。集成的服务随后会将该证书部署到您选择的资源。有关请求和使用 AWS Certificate Manager 所提供证书的更多信息,请参阅《AWS Certificate Manager 用户指南》中的入门

问:为什么 ACM 要验证域所有权?

各类证书用于建立您站点的身份,并确保浏览器和应用程序与您的站点之间安全连接。要颁发公开可信的证书,Amazon 必须验证证书请求者是否拥有对证书请求中域名的控制权。

问:在为域颁发证书之前,ACM 如何验证域所有权?

在颁发证书之前,ACM 会验证您对证书请求中域名的所有权或控制权。在请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以通过将 CNAME 记录添加到 DNS 配置来验证域所有权。请参阅 DNS 验证,了解更多详细信息。如果您无法将记录写入域的公有 DNS 配置,则可以使用电子邮件验证而不是 DNS 验证。使用电子邮件验证,ACM 会给已注册的域所有者发送电子邮件,并且所有者或授权代表可以批准为证书请求中的每个域名颁发证书。请参阅电子邮件验证,了解更多详细信息。

问:我应该使用哪种验证方法:DNS 还是电子邮件?

如果您能够更改域的 DNS 配置,我们建议使用 DNS 验证。无法接收来自 ACM 的验证电子邮件的客户,以及使用的域注册商没有在 WHOIS 中发布域所有者电子邮件联系信息的客户应使用 DNS 验证。如果您无法修改 DNS 配置,则应使用电子邮件验证。

问:我可以将现有的证书从电子邮件验证转换为 DNS 验证吗?

不可以,但是您可以向 ACM 申请一个新的免费证书,然后为新的证书选择 DNS 验证。

问:ACM 提供哪种类型的证书?

ACM 提供域验证 (DV) 证书,供终止 SSL/TLS 的网站和应用程序使用。有关 ACM 提供的证书的更多详细信息,请参阅证书特点

问:我可以将 ACM 提供的证书用于哪些 AWS 服务?

您可以将 ACM 用于以下 AWS 服务:
• Elastic Load Balancing – 请参阅 Elastic Load Balancing 文档
• Amazon CloudFront – 请参阅 CloudFront 文档
• Amazon API Gateway – 请参阅 API Gateway 文档
• AWS Elastic Beanstalk – 请参阅 AWS Elastic Beanstalk 文档
• AWS CloudFormation – 请参阅 AWS CloudFormation 文档

问:ACM 在哪些地区提供?

请访问 AWS 全球基础设施页面,了解目前提供 AWS 产品的地区。要将 ACM 证书与 Amazon CloudFront 配合使用,您必须在美国东部 (弗吉尼亚北部) 区域申请或导入该证书。该区域内与 CloudFront 分配关联的 ACM 证书将被分发到为该分配配置的所有地理位置。

问:我是否可以在多个 AWS 区域使用同一证书?

这要取决于您目前使用的是 Elastic Load Balancing 还是 Amazon CloudFront。要在不同地区内针对同一站点 (具有相同的完全限定域名 (FQDN) 或 FQDN 集) 将某个证书与 Elastic Load Balancing 配合使用,您需要为计划使用证书的每个地区申请新证书。要将 ACM 证书与 Amazon CloudFront 配合使用,您必须在美国东部 (弗吉尼亚北部) 区域申请该证书。该区域内与 CloudFront 分配关联的 ACM 证书将被分发到为该分配配置的所有地理位置。

问:是否可以在区域之间复制证书?

目前不可以。

问:如果同一域名我已拥有来自其他提供商的证书,我是否还能够使用 ACM 配置证书?

是。

问:我是否可以在 Amazon EC2 实例或自己的服务器上使用证书?

不可以。目前,ACM 提供的证书只能用于特定 AWS 服务。请参阅我可以将 ACM 提供的证书用于哪些 AWS 服务?

问:我能够通过 ACM 预置的证书数量是否有限制?

默认情况下,您可以在每个区域中为每个账户预置多达 100 个证书。通过 ACM 预置的每个证书最多可以拥有 10 个完全限定域名。您可以访问 AWS Support 中心请求增加上限。有关更多详细信息,请参阅 AWS 文档

回到顶部

问:如何预置 ACM 提供的证书?

您可以使用 AWS 管理控制台、AWS CLI 或 ACM API/SDK 进行预置。要使用 AWS 管理控制台,请导航到 Certificate Manager,选择请求证书,输入站点的域名,然后按照屏幕上的说明完成请求。如果用户可以通过其他名称访问您的站点,则可以在请求中添加其他域名。在 ACM 可以颁发证书之前,它会验证您对证书请求中的域名的所有权或控制权。在请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以将记录写入域的公有 DNS 配置,以建立您对域的所有权或控制权。在您使用一次 DNS 验证来建立对域的控制权之后,只要记录依然存在并且证书仍在使用中,您就可以获得其他证书,并让 ACM 更新域的现有证书。您无需重新验证域的控制权。如果您选择电子邮件验证而不是 DNS 验证,则系统会将电子邮件发送给请求批准颁发证书的域所有者。在验证了您对请求中的每个域名拥有所有权或控制权后,系统将颁发证书并准备好预置证书以用于其他 AWS 产品,如 Elastic Load Balancing 或 Amazon CloudFront。有关详细信息,请参阅 ACM 文档

问:颁发证书需要多长时间?

证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更长时间。

问:请求证书时会发生什么情况?

ACM 将根据您选择的验证方法 (DNS 或电子邮件) 在提出请求时尝试验证证书请求中每个域名的所有权或控制权。当 ACM 尝试验证您对域的所有权或控制权时,证书请求的状态为等待验证。请参阅以下 DNS 验证电子邮件验证部分,了解有关验证流程的更多信息。证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更长时间。证书颁发后,证书请求的状态将变为已颁发,您可以将其用于其他与 ACM 集成的 AWS 产品。

问:我的证书请求状态为什么是“等待验证”?

已发出请求但未经过验证的证书的状态为等待验证。证书请求中的域必须经过验证才能颁发证书。要确定您的请求处于此状态的可能原因,请访问 ACM 故障排除指南

问:我的证书请求状态为什么显示为“失败”?

有多种原因会导致域的验证控制流程失败,包括但不限于:网络资源的网址列表中包括的域被认定为包含恶意软件或欺诈性内容。要确定申请失败的原因,请访问 ACM 故障排除指南

问:我的证书请求状态为什么显示为“验证超时”?

如果 ACM 证书请求在 72 小时内没有接受验证,则被视为超时。有关故障排除建议,请参阅 ACM 用户指南

问:ACM 是否支持查看 DNS 证书颁发机构授权 (CAA) 记录?

支持。借助 DNS 证书颁发机构授权 (CAA) 记录,域所有者可以指定哪些证书颁发机构有权为他们的域颁发证书。在您申请 ACM 证书时,AWS Certificate Manager 会查看您域中 DNS 区域配置内的 CAA 记录。如果没有 CAA 记录,那么 Amazon 将为您的域颁发一个证书。大多数客户都属于这一类。

如果您的 DNS 配置中含有 CAA 记录,则该记录必须指定以下任一证书颁发机构 (CA),Amazon 才能为您的域颁发证书:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。请参阅《AWS Certificate Manager 用户指南》中的配置 CAA 记录排查 CAA 问题,了解更多信息。

问:ACM 是否支持任何其他验证域的方法?

目前没有。

                                                                 回到顶部 >>

问:什么是 DNS 验证?

使用 DNS 验证,您可以通过将 CNAME 记录添加到 DNS 配置来验证您对域的所有权。使用 DNS 验证,在向 ACM 申请 SSL/TLS 证书时,您可以轻松建立对域的所有权。

问:DNS 验证有哪些优势?

使用 DNS 验证,可以轻松验证您对域的所有权或控制权,以便可以获得 SSL/TLS 证书。使用 DNS 验证,您只需将 CNAME 记录写入 DNS 配置,即可建立对域名的控制。为了简化 DNS 验证流程,在您使用 Amazon Route 53 管理 DNS 记录的情况下,ACM 管理控制台可以为您配置 DNS 记录。这样,通过单击几次鼠标即可轻松建立对域名的控制。配置 CNAME 记录后,只要 DNS 验证记录依然存在,ACM 就会自动更新正在使用的证书 (与其他 AWS 资源相关联)。更新是完全自动和非接触式的。

问:哪些人应该使用 DNS 验证?

任何通过 ACM 请求证书并能够更改所请求域的 DNS 配置的人都应考虑使用 DNS 验证。

问:ACM 是否仍然支持电子邮件验证?

可以。对于无法更改自己的 DNS 配置的客户,ACM 会继续支持电子邮件验证。

问:我需要将哪些记录添加到 DNS 配置中才能验证域?

您必须为要验证的域添加 CNAME 记录。例如,要验证名称 www.example.com,您可以向 example.com 的区域添加 CNAME 记录。您添加的记录包含一个随机令牌,该令牌是 ACM 专门为您的域和 AWS 账户生成的。您可以从 ACM 获取 CNAME 记录的两个部分 (名称和标签)。有关更多信息,请参阅 ACM 用户指南

问:如何为我的域添加或修改 DNS 记录?

有关如何添加或修改 DNS 记录的更多信息,请咨询您的 DNS 提供商。Amazon Route 53 DNS 文档为使用 Amazon Route 53 DNS 的客户提供更多信息。

问:ACM 可以简化 Amazon Route 53 DNS 客户的 DNS 验证吗?

可以。对于使用 Amazon Route 53 DNS 管理 DNS 记录的客户,ACM 控制台可以在请求证书时为您将记录添加到 DNS 配置。您的域的 Route 53 DNS 托管区域必须配置在您提出请求时使用的同一 AWS 账户中,并且您必须具有足够的权限以对 Amazon Route 53 配置进行更改。有关更多信息,请参阅 ACM 用户指南

问:DNS 验证是否要求我使用特定的 DNS 提供商?

不要求。只要提供商允许您将 CNAME 记录添加到 DNS 配置,您就可以将 DNS 验证用于任何 DNS 提供商。

问:如果我要为同一个域请求多个证书,则需要多少个 DNS 记录?

一个。您可以使用一个 CNAME 记录为同一个 AWS 账户中的同一个域名获得多个证书。例如,如果您为同一个 AWS 账户中的同一个域名提出 2 个证书请求,则只需要一个 DNS CNAME 记录。

问:我可以使用相同的 CNAME 记录验证多个域名吗?

不可以。每个域名必须具有唯一的 CNAME 记录。

问:我可以使用 DNS 验证来验证通配符域名吗?

可以。

问:ACM 如何构建 CNAME 记录?

DNS CNAME 记录包含两部分:名称和标签。ACM 生成的 CNAME 的名称部分是由一个下划线字符 (_),后跟一个令牌 (这是绑定到您的 AWS 账户和域名的唯一字符串) 构建的。ACM 在您的域名前加上下划线和令牌来构建名称部分。ACM 通过一个下划线字符,其后跟一个不同的令牌来构建标签,此令牌也与您的 AWS 账户和域名绑定。ACM 在下划线和令牌后加上 AWS 用于验证的 DNS 域名:acm-validations.aws。以下示例显示了 www.example.com、subdomain.example.com 和 *.example.com 的 CNAME 格式。

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

请注意,当为通配符名称生成 CNAME 记录时,ACM 将会删除通配符标签 (*)。所以,ACM 为通配符名称 (如 *.example.com) 生成的 CNAME 记录与不带通配符标签 (example.com) 的域名返回的记录相同。

问:我可以使用一个 CNAME 记录来验证一个域的所有子域吗?

不可以。每个域名 (包括主机名和子域名) 必须单独验证,每个域名都有一个唯一的 CNAME 记录。

问:为什么 ACM 使用 CNAME 记录而不使用 TXT 记录进行 DNS 验证?

只要 CNAME 记录存在,使用 CNAME 记录就能使 ACM 更新证书。CNAME 记录指向 AWS 域中的 TXT 记录 (acm-validations.aws),ACM 可以根据需要进行更新,以验证或重新验证域名,而您无需执行任何操作。

问:DNS 验证是否可以跨 AWS 地区进行?

可以。您可以创建一个 DNS CNAME 记录,并使用它来获得提供 ACM 的任何 AWS 地区中同一 AWS 账户的证书。配置一次 CNAME 记录,您就可以获得 ACM 为该名称颁发和更新的证书,而无需创建另一个记录。

问:我可以在同一证书中选择不同的验证方法吗?

不可以。每个证书只能有一个验证方法。

问:如何更新使用 DNS 验证来验证的证书?

只要 DNS 验证记录依然存在,ACM 就会自动更新正在使用的证书 (与其他 AWS 资源相关联)。

问:我可以撤销为我的域颁发证书的权限吗?

可以。只需删除 CNAME 记录即可。在您删除 CNAME 记录并通过 DNS 分配更改后,ACM 不会使用 DNS 验证为您的域颁发或更新证书。删除记录的传播时间取决于您的 DNS 提供商。

问:如果我删除 CNAME 记录,会发生什么情况?

如果您删除 CNAME 记录,则 ACM 将无法使用 DNS 验证为您的域颁发或更新证书。

回到顶部 >>

问:什么是电子邮件验证?

使用电子邮件验证,系统会针对证书请求中的每个域名向已注册域所有者发送批准请求电子邮件。域的所有者或授权代表 (审批者) 可以按照电子邮件中的说明批准证书请求。说明将指引审批者导航到审批网站,单击电子邮件中的链接或将电子邮件中的链接粘贴到浏览器中,以导航到审批网站。审批者确认与证书请求相关的信息,如域名、证书 ID (ARN) 以及发出请求的 AWS 账户 ID,如果信息准确无误,则批准请求。

问:当我请求证书并选择电子邮件验证时,证书批准请求会发送至哪个电子邮件地址?

当您使用电子邮件验证请求证书时,系统会针对证书请求中的每个域名使用 WHOIS 查找来检索该域的联系人信息。电子邮件会发送给针对该域列出的域注册者、管理联系人和技术联系人。电子邮件还会同时发送至域的五个特定电子邮件地址,即在您请求的域名前加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 生成的五个地址。例如,如果您为 server.example.com 请求证书,系统将使用针对 example.com 域,外加 admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com 的 WHOIS 查询返回的联系人信息将电子邮件发送至域注册人、技术联系人和管理联系人。

针对以“www”开头的域名或以星号 (*) 开头的通配符名称,这五个特定电子邮件地址采用不同的构造方式。ACM 会删除前导的“www”或星号,而电子邮件则被发送到通过在域名其余部分之前加上 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 来构造的管理员地址。例如,如果您为 www.example.com 请求证书,则电子邮件被发送到 WHOIS 联系人 (如前所述) 以及 admin@example.com,而不是 admin@www.example.com。其余四个特定电子邮件地址也采用类似的方式构造。

请求证书之后,您可以使用 ACM 控制台、AWS CLI 或 API 查看针对各个域发送的电子邮件的收件方电子邮件地址列表。

问:我是否可以配置接收证书审批请求的电子邮件地址?

不可以,不过您可以配置用于接收验证电子邮件的基础域名。基础域名必须是证书请求中域名的超级域。例如,如果您想为 server.domain.example.com 请求证书,但希望将审批电子邮件发送至 admin@domain.example.com,则可以使用 AWS API 或 API 实现这一目的。有关更多详细信息,请参阅 ACM CLI 参考ACM API 参考

问:我是否可以使用具有代理联系人信息 (例如 Privacy Guard 或 WhoisGuard) 的域?

可以;不过,电子邮件的发送可能会因为代理而延迟。通过代理发送的电子邮件可能会进入您的垃圾邮件文件夹。有关故障排除建议,请参阅 ACM 用户指南

问:ACM 是否可以通过我的 AWS 账户的技术联系人验证我的身份?

不可以。验证域所有者身份的流程和策略非常严格,并且由为公开可信的证书颁发机构设置策略标准的 CA/Browser Forum 决定。要了解详情,请参阅 Amazon Trust Services 存储库中最新的“Amazon Trust Services 认证规范声明”。

问:如果我没有收到批准电子邮件,该怎么做?

有关故障排除建议,请参阅 ACM 用户指南

回到顶部 >>

问:浏览器、操作系统和移动设备是否信任 ACM 提供的证书?

目前的绝大部分浏览器、操作系统和移动设备都信任 ACM 提供的证书。ACM 提供的证书在浏览器和操作系统中的普及率高达 99%,包括 Windows XP SP3 和 Java 6 及更高版本。

问:如何确认我的浏览器是否信任 ACM 提供的证书?

信任 ACM 提供的证书的浏览器会显示一个锁形图标,并且在连接到使用 ACM 基于 SSL/TLS 提供的证书 (例如使用 HTTPS) 的站点时会显示不要颁发证书的警告。

ACM 提供的证书由亚马逊的证书颁发机构 (CA) 进行验证。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority – G2 或 Starfield Class 2 Certification Authority 的浏览器、应用程序和操作系统均会信任由 ACM 提供的证书。

问:ACM 是否可以提供包括多个域名的证书?

可以。每个证书必须包括至少一个域名,并且您可以根据需要在证书中添加更多域名。例如,您可以将域名“www.example.net”添加到用于“www.example.com”的证书,前提是用户通过这两个域名都可以访问您的站点。对于证书请求中包括的所有名称,您必须具有所有权和控制权。

问:什么是通配符域名?

通配符域名匹配域中的所有第一级子域或主机名。第一级子域是一个不包含句号 (圆点) 的域名标签。例如,您可以使用名称“*.example.com”保护 www.example.com、images.example.com 以及以 .example.com 结尾的任何其他主机名或第一级子域。有关更多详细信息,请参阅 ACM 用户指南

问:ACM 是否可以提供带有通配符域名的证书?

可以。

问:ACM 是否提供组织验证 (OV) 或扩展验证 (EV) 证书?

目前不提供。

问:ACM 是否为网站提供除 SSL/TLS 以外的其他类型的证书?

目前不提供。

问:我是否可以使用 ACM 提供的证书进行代码签名或电子邮件加密?

不可以。

问:ACM 是否提供用于签名和加密电子邮件的证书 (S/MIME 证书) ?

目前不提供。

问:ACM 提供的证书使用哪些算法?

ACM 证书使用的是采用 2048 位模数和 SHA-256 的 RSA 密钥。

问:ACM 是否支持椭圆曲线 (ECDSA) 证书?

目前不支持。

问:亚马逊在哪里介绍其关于颁发证书的策略和规范?

“Amazon Trust Services 证书策略”和“Amazon Trust Services 证书规范声明”文档中提供了相关信息。有关最新版本,请参阅 Amazon Trust Services 存储库

问:如何撤销证书?

您可以访问 AWS Support 中心并创建案例,以请求 ACM 撤销证书。 

问:如果证书中的信息发生更改,我该如何通知 AWS?

您可以发送电子邮件至 validation-questions[at]amazon.com,通知 AWS。

回到顶部 >>

问:ACM 提供的证书的私有密钥是如何管理的?

系统会为 ACM 提供的每个证书创建一个键前缀。AWS Certificate Manager 可保护并管理用于 SSL/TLS 证书的私有密钥。ACM 会运用强加密和密钥管理最佳实践来保护并存储私有密钥。

问:ACM 是否可以跨 AWS 区域复制证书?

不可以。每个 ACM 证书私有密钥均存储在您请求该证书的区域。例如,当您在美国东部 (弗吉尼亚北部) 地区获得新的证书后,ACM 会将私有密钥存储在弗吉尼亚北部地区。仅当 ACM 证书与 CloudFront 分配关联时,该证书才能跨区域复制。在这种情况下,CloudFront 会将 ACM 证书分配到为您的分配配置的地理位置。

问:我是否可以对证书私有密钥的使用进行审核?

可以。您可以使用 AWS CloudTrail 查看日志,从而了解证书私有密钥的使用时间。

回到顶部 >>

问:ACM 证书的使用如何收费和计费?

通过 AWS Certificate Manager 预置、管理和部署的 SSL/TLS 证书可免费使用。您只需针对为运行应用程序而创建的 AWS 资源付费,例如 Elastic Load Balancing 负载均衡器或 Amazon CloudFront 分配。

回到顶部 >>

问:我是否可以将同一证书用于多个 Elastic Load Balancing 负载均衡器和多个 CloudFront 分配?

可以。

问:我是否可以将证书用于没有公共 Internet 访问权限的内部 Elastic Load Balancing 负载均衡器?

可以。请参阅托管更新与部署,详细了解 ACM 如何处理无法通过公共 Internet 访问的证书的更新问题。

问:用于 www.example.com 的证书是否也能用于 example.com?

不可以。如果您希望自己的站点能够被两个域名 (www.example.com 和 example.com) 引用,则必须请求包含这两个名称的证书。

问:我是否可以导入第三方证书并将其用于 AWS 服务?

可以。如果想要将第三方证书与 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway 配合使用,您可以使用 AWS 管理控制台、AWS CLI 或 ACM API 将该证书导入 ACM。ACM 不会处理已导入证书的更新流程。您可以使用 AWS 管理控制台监控已导入证书的到期日期,并导入新的第三方证书以便替换即将过期的证书。

问:ACM 提供的证书的有效期是多久?

目前,ACM 提供的证书的有效期为 13 个月。

问:ACM 如何帮助我的企业或组织满足合规性要求?

使用 ACM 可以轻松确保连接的安全性 (这也是 PCI、 FedRAMP 以及 HIPAA 等众多合规性计划的共同要求),从而帮助您遵守法规要求。有关合规性的具体信息,请参阅 http://aws.amazon.com/compliance

问:ACM 是否有服务等级协议 (SLA)?

目前没有。

问:ACM 是否允许域名 (也称为国际化域名 (IDN)) 中包含本地语言字符?

ACM 不支持采用 Unicode 编码的本地语言字符;不过,ACM 支持域名使用 ASCII 编码的本地语言字符。

问:ACM 支持哪些域名标签格式?

ACM 仅支持采用 UTF-8 编码的 ASCII 字符,包括包含“xn-”的标签 (通常称为域名的 Punycode)。ACM 不支持域名中使用 Unicode 输入 (Unicode 标签)。

问:ACM 是否会提供一个可以在我的网站上显示的安全站点签章或信任徽标?

不会。如果您想使用站点签章,您可以从第三方供应商处获得。我们建议选择可评估和维护您站点和/或业务实践的安全性的供应商。

问:亚马逊是否允许将其商标或徽标用作证书徽章、站点签章或信任徽标?

不允许。此类签章和徽章可复制到不使用 ACM 服务的站点,但不能假借亚马逊名号建立信任。为保护我们的客户和亚马逊的声誉,我们不允许以这种方式使用我们的徽标。

回到顶部 >>

问:AWS CloudTrail 提供哪些日志记录信息?

您可以确定哪些用户和账户为支持 AWS CloudTrail 的服务调用了 AWS API、发出调用的源 IP 地址以及调用发生的时间。例如,您可以确定哪些用户为关联 ACM 提供的证书与 Elastic Load Balancer 调用了 API,以及 Elastic Load Balancing 服务使用 KMS API 调用加密密钥的时间。

回到顶部 >>

问:什么是 ACM 托管更新与部署?

ACM 托管更新与部署可以管理由 ACM 提供的 SSL/TLS 证书的更新流程并部署更新后的证书。

问:使用 ACM 托管更新与部署有哪些优势?

ACM 可帮助您管理 SSL/TLS 证书的更新和部署。与容易出错的手动流程相比,ACM 能够让安全 Web 服务或应用程序的 SSL/TLS 配置和维护具有更高的操作可靠性。托管更新与部署有助于您避免因证书过期导致的停机。ACM 托管更新与部署不需要您在自己的站点安装或维护软件客户端或代理。ACM 会作为一种服务运行,并且与其他 AWS 服务集成。这意味着,您可以使用 AWS 管理控制台、AWS CLI 或 API 在 AWS 平台上集中管理和部署证书。

问:哪些证书可以自动更新和部署?

ACM 能够更新并部署 ACM 提供的证书,而无需域的所有者进行任何其他验证。如果证书必须经过其他验证才能更新,则 ACM 会通过验证证书中每个域名的域所有权或控制权来管理更新流程。在证书中的所有域名都经过验证后,ACM 会更新证书并自动将其部署到您的 AWS 资源。如果 ACM 无法验证域所有权,我们会告知于您 (AWS 账户所有者)。

如果您在证书请求中选择了 DNS 验证,只要证书正在使用中 (与其他 AWS 资源相关联),并且您的 CNAME 记录依然存在,那么 ACM 就可以无限期地更新您的证书,而无需您进一步采取任何行动。如果您在请求证书时选择了电子邮件验证,则可以提高 ACM 自动更新和部署 ACM 提供的证书的能力,方法是确保证书正在使用中、证书中包含的所有域名均可解析到您的站点,以及所有域名都可从互联网上获得。

问:ACM 何时更新证书?

ACM 最早可在证书过期前 60 天开始执行更新流程。目前,ACM 提供的证书的验证期限是 13 个月。请参阅 ACM 用户指南,了解有关托管续订的更多信息。

问:在更新证书和部署新证书之前,我是否会收到通知?

不会。ACM 可能会在不提前通知的情况下更新证书或更新密钥,并更换旧的证书。

问:ACM 是否可以更新包含裸域 (也称为顶级域名,例如“example.com”) 的证书?

如果您在证书请求中选择了 DNS 验证,只要证书正在使用中 (与其他 AWS 资源相关联),并且您的 CNAME 记录依然存在,那么 ACM 就可以更新您的证书,而无需您进一步采取任何行动。

如果您在使用裸域请求证书时选择了电子邮件验证,请确保裸域的 DNS 查找解析到与证书相关联的 AWS 资源。将裸域解析到 AWS 资源可能非常困难,除非您使用 Route 53 或支持别名资源记录 (或同类记录) 的其他 DNS 提供商,从而将裸域映射到 AWS 资源。有关更多信息,请参阅 Route 53 开发人员指南

问:在 ACM 部署更新后的证书时,我的站点是否会断开现有连接?

不会。在部署新证书之后建立的连接将使用新证书,而现有连接不会受到影响。

回到顶部 >>