Q : Qu'est-ce qu'AWS Certificate Manager (ACM) ?

AWS Certificate Manager est un service qui vous permet de mettre en service, de gérer et de déployer facilement des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS) afin de les utiliser avec les services AWS et vos ressources internes connectées. Les certificats SSL/TLS sont utilisés pour sécuriser les communications réseau et pour établir l'identité des sites Web par Internet ainsi que celle des ressources présentes sur des réseaux privés. AWS Certificate Manager supprime le processus manuel chronophage d'achat, de chargement et de renouvellement des certificats SSL/TLS. Avec AWS Certificate Manager, vous pouvez rapidement demander un certificat et le déployer sur des ressources AWS (p. ex., programmes Elastic Load Balancer, distributions Amazon CloudFront ou API sur Amazon API Gateway), puis laisser AWS Certificate Manager gérer le renouvellement du certificat. Il vous permet également de créer des certificats privés pour vos ressources internes et de gérer le cycle de vie des certificats de façon centrale. Les certificats SSL/TLS publics et privés mis en service via AWS Certificate Manager et utilisés exclusivement avec des services intégrés dans ACM, comme Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway sont gratuits. Vous payez pour les ressources AWS que vous créez pour exécuter votre application. Vous payez des frais mensuels pour l'utilisation de chaque autorité de certification privée jusqu'à ce que vous la supprimiez, ainsi que pour les certificats privés que vous émettez et qui ne sont pas utilisés exclusivement avec des services intégrés dans ACM.

Q : Qu'est-ce qu'un certificat SSL/TLS ?

Les certificats SSL/TLS permettent aux navigateurs Web d'identifier et d'établir des connexions réseau chiffrées vers des sites Web à l'aide du protocole Secure Sockets Layer/Transport Layer Security (SSL/TLS). Les certificats sont utilisés dans un système cryptographique appelé « infrastructure à clé publique » (PKI, Public Key Infrastructure). L'infrastructure PKI permet à une partie d'établir l'identité d'une autre partie à l'aide de certificats si elles font toutes deux confiance à un tiers appelé « autorité de certification ». La rubrique Concepts du Guide de l'utilisateur d'ACM fournit des informations générales supplémentaires, ainsi que des définitions. 

Q : Que sont les certificats privés ?

Les certificats privés permettent d'identifier des ressources dans une organisation, comme des applications, des services, des appareils et des utilisateurs. Lorsque deux points de terminaisons établissent entre eux un canal de communication chiffré et sécurisé, chacun d'entre eux utilise un certificat et des techniques de chiffrement pour prouver son identité à l'autre point de terminaison. Les points de terminaisons API internes, les serveurs Web, les utilisateurs de VPN, les appareils IoT et bien d'autres applications utilisent des certificats privés pour établir les canaux de communication chiffrés nécessaire à ce qu'ils fonctionnent en toute sécurité.

Q : Quelle est la différence entre certificats publics et privés ?

Les certificats tant publics que privés aident les clients à identifier les ressources sur les réseaux et à sécuriser les communications entre ces ressources. Les certificats publics permettent d'identifier les ressources sur l'Internet public, alors que les certificats privés font cela pour les réseaux privés. Une différence majeure est que les applications et les navigateurs font automatiquement confiance aux certificats publics, par défaut, alors que les applications doivent être expressément configurées par l'administrateur pour faire confiance aux certificats privés. Les autorités de certification publiques qui émettent des certificats publics doivent suivre des règles strictes, fournir une visibilité opérationnelle et répondre aux exigences de sécurité imposées par les vendeurs du navigateur et du système d'exploitation qui déterminent les autorités de certification à qui leurs navigateurs et systèmes d'exploitation font automatiquement confiance. Les autorités de certification privées sont gérées par des organisations privées et les administrateurs d'autorités de certification privés peuvent établir leurs propres règles pour l'émission de certificats privés, ce qui comprend les pratiques d'émission des certificats et les informations qu'ils peuvent inclure. Consultez la partie Autorité de certification privée ACM ci-dessous pour en savoir plus sur les certificats et les autorités de certifications privés.

Q : Quels avantages y a-t-il à utiliser AWS Certificate Manager (ACM) et une autorité de certification (CA) privée ACM ?

ACM facilite l'activation du protocole SSL/TLS pour un site Web ou une application sur la plate-forme AWS. ACM supprime nombre des processus manuels précédemment associés à l'utilisation du protocole et à la gestion des certificats SSL/TLS. ACM peut également vous aider à éviter les temps d'arrêt dus à des certificats mal configurés, révoqués ou arrivés à expiration en gérant les renouvellements. Vous profitez de la protection du protocole SSL/TLS, ainsi que d'une gestion facile des certificats. L'activation du protocole SSL/TLS peut améliorer le positionnement de votre site Web et vous aider à satisfaire les exigences en matière de réglementation et de conformité relatives au chiffrement des données en transit.

Lorsque vous utilisez ACM pour gérer des certificats, les clés privées de certificat sont sécurisées et stockées dans le respect des bonnes pratiques de chiffrement et de gestion des clés. ACM vous permet d'utiliser AWS Management Console, l'interface de ligne de commande AWS ou les API AWS Certificate Manager pour gérer de façon centralisée tous les certificats SSL/TLS fournis par ACM dans une région AWS. ACM est intégré à d'autres services AWS. Vous pouvez donc demander un certificat SSL/TLS et le mettre en service avec votre équilibreur de charge Elastic Load Balancing ou votre distribution Amazon CloudFront à partir d'AWS Management Console, via des commandes de l'interface de ligne de commande AWS ou au moyen d'appels d'API.

La CA privée d'ACM est un service d'autorité de certification privée géré qui vous aide à gérer facilement et en toute sécurité le cycle de vie de vos certificats privés. La CA privée d'ACM vous fournit un service d'autorité de certification privée hautement disponible sans devoir fournir l'investissement initial ni supporter les coûts d'entretien continus inhérents à l'utilisation de votre propre autorité de certification privée. La CA privée d'ACM étend les capacités de gestion de certificats d'ACM aux certificats privés, ce qui vous permet de gérer les certificats publics et privés de façon centrale. La CA privée d'ACM permet aux développeurs d'être plus agiles en leur fournissant des API permettant de créer et de déployer des certificats privés par programmation. Vous avez également la flexibilité de créer des certificats privés pour des applications qui nécessitent des certificats dont la durée de vie ou le nom de ressource est personnalisé. Avec la CA privée d'ACM, vous pouvez créer, gérer et suivre les certificats privés pour vos ressources connectées depuis un seul endroit au moyen d'un service d'autorité de certification privée géré sûr au paiement à l'utilisation. 

Q : Quels types de certificats puis-je créer et gérer avec ACM ?

ACM vous permet de gérer le cycle de vie de vos certificats publics et privés. Les capacités d'ACM varient en fonction de la nature du certificat (s'il est public ou privé), de la façon dont vous l'avez obtenu et de l'endroit où vous le déployez. Consultez Certificats publics ACM pour en savoir plus à propos des certificats publics et référez-vous à la section Autorité de certification d'ACM ci-dessous pour en savoir plus sur les certificats et les autorités de certification privés.

Certificats publics-ACM gère le renouvellement et le déploiement de certificats publics utilisés avec des services intégrés dans ACM, ce qui comprend Amazon CloudFront, Elastic Load Balancing et Amazon API Gateway.

Certificats privés – La CA privée d'ACM propose trois moyens pour créer et gérer des certificats privés. 1) Vous pouvez choisir de déléguer la gestion de certificat privé à ACM. Lorsqu'il est utilisé de cette façon, ACM peut automatiquement renouveler et déployer des certificats privés utilisés avec des services intégrés à ACM, ce qui comprend Amazon CloudFront, Elastic Load Balancing et Amazon API Gateway. Vous pouvez facilement déployer ces certificats privés en utilisant l'AWS Management Console, les API et l'interface en ligne de commande. 2) Vous pouvez exporter des certificats privés depuis ACM et les utiliser avec des instances EC2, des conteneurs, des serveurs sur site et des appareils IoT. La CA privée d'ACM renouvelle automatiquement ces certificats et envoye une notification Amazon CloudWatch lorsque le renouvellement est effectué. Vous pouvez écrire un code côté client pour télécharger des certificats renouvelés et des clés privées et les déployer dans votre application. 3) La CA privée d'ACM vous donne la flexibilité de créer vos propres clés privées, générer une demande de signature de certificat (CSR), émettre des certificats privés à partir de votre autorité de certification privée d'ACM et gérer les clés et les certificats par vous-même. Vous êtes responsable du renouvellement et du déploiement de ces certificats privés.

Certificats importés – Si vous souhaitez utiliser un certificat tiers avec Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, vous pouvez l'importer dans ACM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou des API AWS Certificate Manager. ACM ne gère pas le processus de renouvellement des certificats importés. Vous êtes chargé de surveiller la date d'expiration de vos certificats importés et de les renouveler avant leur expiration. Vous pouvez utiliser AWS Management Console pour surveiller les dates d'expiration des certificats importés et importer un nouveau certificat tiers pour remplacer un certificat arrivant à expiration. 

Q : Comment démarrer avec ACM ?

Pour démarrer avec AWS Certificate Manager, accédez à Certificate Manager dans AWS Management Console et utilisez l'assistant pour demander un certificat SSL/TLS. Si vous avez déjà créé une CA privée d'ACM, vous pouvez choisir un certificat public ou privé puis saisir le nom de votre site. Voir Autorité de certification privée d'ACM et Certificats publics ACM ci-dessous pour déterminer le genre de certificat dont vous avez besoin et pour en savoir plus sur la CA privée d'ACM. Vous pouvez également demander un certificat à l'aide de la CLI ou de l'API AWS. Une fois le certificat émis, vous pouvez l'utiliser avec d'autres services AWS intégrés dans ACM. Pour chaque service intégré, il vous suffit de sélectionner le certificat SSL/TLS de votre choix dans une liste déroulante d'AWS Management Console. Vous pouvez également exécuter une commande de l'interface de ligne de commande AWS ou appeler une API AWS pour associer le certificat à votre ressource. Le service intégré déploie ensuite le certificat vers la ressource de votre choix. Pour en savoir plus sur la demande et l'utilisation de certificats fournis par AWS Certificate Manager, consultez la section Démarrez du Guide de l'utilisateur d'AWS Certificate Manager. En plus d'utiliser des certificats privés avec des services intégrés dans ACM, vous pouvez également utiliser des certificats privés avec des instances EC2 des conteneurs ECS ou avec n'importe quoi d'autre. Voir Certificats privés pour plus de détails.

Q : Avec quels services AWS puis-je utiliser les certificats ACM ?

Vous pouvez utiliser des certificats ACM publics et privés avec les services AWS suivants :
• Elastic Load Balancing – Consultez la documentation Elastic Load Balancing
• Amazon CloudFront – Consultez la documentation CloudFront
• Amazon API Gateway : Consultez la documentation API Gateway
• AWS Elastic Beanstalk : Consultez la documentation AWS Elastic Beanstalk
• AWS CloudFormation – La prise en charge est actuellement limitée aux certificats publics qui utilisent une validation par e-mail. Consultez la documentation AWS CloudFormation  

De plus, vous pouvez utiliser des certificats privés émis avec la CA privée d'ACM avec des instances EC2, des conteneurs, des appareils IoT et sur vos propres serveurs.

Q : Dans quelles régions le service ACM est-il disponible ?

Veuillez consulter les pages relatives à l'infrastructure mondiale AWS pour connaître la disponibilité actuelle des services AWS dans les différentes régions. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander ou importer le certificat dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution. 

Q : Qu'est-ce que la CA privée d'ACM ?

Les certificats privés sont utilisés pour identifier et sécuriser les communications entre des ressources connectées à des réseaux privés, comme des serveurs, des appareils mobiles et IoT et des applications. La CA privée d'ACM est un service d'autorité de certification privée géré qui vous aide à gérer facilement et en toute sécurité le cycle de vie de vos certificats privés. La CA privée d'ACM vous fournit un service d'autorité de certification privée hautement disponible sans devoir fournir l'investissement initial ni supporter les coûts d'entretien continus inhérents à l'utilisation de votre propre autorité de certification privée. La CA privée d'ACM étend les capacités de gestion des certificats d'ACM aux certificats privés, ce qui vous permet de créer et de gérer des certificats publics et privés de façon centrale. Vous pouvez facilement créer et déployer des certificats privés pour vos ressources AWS en utlisant l'AWS Management Console ou les API ACM. Pour les instances EC2, les conteneurs, les appareils IoT et les ressources sur site, vous pouvez facilement créer et suivre des certificats privés et utiliser votre propre code d'automatisation côté client afin de les déployer. Vous avez également la flexibilité de créer des certificats privés et de les gérer vous-même pour des applications qui nécessitent des certificats dont la durée de vie, l'algorithme de clé, ou le nom de ressource est personnalisé. En savoir plus sur la CA privée d'ACM.  

Q : Que sont les certificats privés ?

Les certificats privés permettent d'identifier des ressources dans une organisation, comme des applications, des services, des appareils et des utilisateurs. Lorsque deux points de terminaisons établissent entre eux un canal de communication chiffré et sécurisé, chacun d'entre eux utilise un certificat et des techniques de chiffrement pour prouver son identité à l'autre point de terminaison. Les points de terminaisons API internes, les serveurs Web, les utilisateurs de VPN, les appareils IoT et bien d'autres applications utilisent des certificats privés pour établir les canaux de communication chiffrés nécessaire à ce qu'ils fonctionnent en toute sécurité.  

Q : Qu'est-ce qu'une autorité de certification privée (CA) ?

Une autorité de certification privée gère l'émission, la validation et la révocation des certificats privés dans un réseau privé (et non sur l'Internet public). Elle se compose de deux composants principaux : le premier est le certificat d'autorité de certification, un bloc de construction cryptographique sur lequel des certificats peuvent être émis. Le second est un ensemble de services d'exécution permettant d'entretenir les informations de révocation via la liste de révocation de certificat (CRL). Lorsque des ressources tentent de se connecter les une aux autres, elles vérifient l'état des certificats présentés par chaque entité sur la CRL. Si les certificats sont valides, une liaison prouvant de façon chiffrée l'identité de chaque entité à l'autre est établie entre les ressources et crée un canal de communication chiffré (TSL/SSL) entre les deux.

Q : En quoi les certificats et autorités de certifications privés diffèrent-ils des certificats et autorités de certification publics ?

Les autorités de certification privée et publique partagent les mêmes composants. Cependant, les autorités de certification publiques doivent émettre et valider des certificats pour des ressources se trouvant sur l'Internet public, et les autorités de certifications privées font la même chose pour les ressources se trouvant sur les réseaux privés. Une différence majeure est que les applications et les navigateurs font automatiquement confiance aux certificats publics, par défaut, alors que les applications doivent être expressément configurées par l'administrateur pour faire confiance aux certificats émis par des CA privées. Les autorités de certifications publiques suivent des règles strictes, fournissent une visibilité opérationnelle et répondent à des normes de sécurité imposées par les vendeurs du navigateur et du système d'exploitation qui décident des autorités de certification auxquelles leurs navigateurs et systèmes d'exploitation font automatiquement confiance. Les administrateurs de CA privées peuvent établir leurs propres règles pour l'émission de certificats privés, ce qui comprend les pratiques d'émission des certificats et les informations qu'ils peuvent inclure.

Q : Pourquoi est-ce que les organisations utilisent des certificats privés au lieu des certificats publics ?

Les certificats privés fournissent la flexibilité permettant d'identifier presque tout dans une organisation, sans en divulguer publiquement le nom. Wiki.internal, IP address 192.168.1.1, fire-sensor-123 et user123 sont des exemples de noms pouvant être utilisés dans des certificats privés. A contrario, les certificats publics sont strictement limités à l'identification de ressources présentant des noms DNS publics, comme www.example.com. Les certificats privés peuvent inclure des informations interdites sur les certificats publics. Certaines applications d'entreprise ont tiré profit de cette possibilité pour inclure des informations supplémentaires sur les certificats privés et ne pourraient donc pas fonctionner avec des certificats publics.

Q : Que sont les certificats autosignés et pourquoi les organisations devraient-elles leur préférer des certificats émanant d'une CA privée à la place ?

Les certificats autosignés sont ceux qui sont émis sans CA. Contrairement aux certificats émis par une racine sécurisée maintenue à jour par une autorité de certification, les certificats autosignés agissent comme s'ils étaient leur propre racine, ce qui fait qu'ils souffrent beaucoup de limitations : ils peuvent être utilisés pour fournir un codage pendant le transfert, mais pas pour contrôler une identité, et ils ne peuvent être révoqués. Du point de vue de la sécurité, ils sont inacceptables, mais les organisations y recourent quand même car ils sont faciles à générer, ne requièrent pas d'expertise ni d'infrastructure et sont acceptés par beaucoup d'applications. Aucun contrôle n'est en place pour l'émission de certificats autosignés. Les organisations qui les utilisent encourent de plus grands risques de panne étant donné qu'elles n'ont aucun moyen de suivre les dates d'expiration. La CA privée d'ACM résout ces problèmes.

Q : Comment démarrer avec la CA privée d'ACM ?

Pour démarrer avec la CA privée d'ACM, naviguez jusqu'au Gestionnaire de certificats dans l'AWS Management Console et sélectionnez Autorités de certification privées sur le côté gauche de l'écran. Choisissez Mise en route pour commencer à créer une autorité de certification privée. Visitez Démarrez dans le Guide de l'utilisateur de la CA privée d'ACM pour en savoir plus.

Où puis-je en savoir plus à propos de la CA privée d'ACM ?

Consultez la page de la CA privée d'ACM, le Guide de l'utilisateur de la CA privée d'ACM, les API de référence de la CA privée d'ACM et ACM dans les références CLI AWS pour en savoir plus. 

                                                                 Haut de la page >>

Q : Quels types de certificats est-ce qu'ACM gère ?

ACM gère des certificats publics, privés et importés. Consultez [Q : Comment puis-je gérer des certificats avec ACM ?] pour plus de détails sur les capacités de gestion d'ACM pour chaque type de certificat.

Q : Le service ACM peut-il fournir des certificats contenant plusieurs noms de domaine ?

Oui. Chaque certificat doit inclure au moins un nom de domaine. Vous pouvez y ajouter d'autres noms si vous le souhaitez. Par exemple, vous pouvez ajouter le nom « www.exemple.net » à un certificat pour « www.exemple.com » si les utilisateurs peuvent accéder à votre site avec ces deux noms. Vous devez détenir ou contrôler tous les noms inclus dans votre demande de certificat.  

Q : Qu'est-ce qu'un nom de domaine contenant des caractères génériques ?

Un nom de domaine contenant des caractères génériques correspond à un sous-domaine de premier niveau ou à un nom d'hôte au sein d'un domaine. Un sous-domaine de premier niveau est une étiquette de nom de domaine unique qui ne contient pas de point. Par exemple, vous pouvez utiliser le nom *.exemple.com pour protéger www.exemple.com, images.exemple.com et tout autre nom d'hôte ou sous-domaine de premier niveau qui se termine par .exemple.com. Pour en savoir plus, consultez le Guide de l'Utilisateur d'ACM.

Q : Le service ACM peut-il fournir des certificats comprenant des noms de domaine contenant des caractères génériques ?

Oui.

Q : Le service ACM fournit-il des certificats pour des protocoles autres que SSL/TLS ?

Les certificats gérés dans ACM sont prévus pour être utilisés avec SSL/TLS. Si vous émettez des certificats privés directement depuis une CA privée d'ACM et gérez les clés et les certificats sans utiliser ACM pour la gestion des certificats, vous pouvez configurer le sujet, la période de validité, l'algorithme de clé et l'algorithme de signature de ces certificats privés et utiliser avec SSL/TLS et d'autres applications.

Q : Puis-je utiliser les certificats ACM pour signer des codes ou chiffrer des e-mails ?

Non.

Q : Le service ACM fournit-il des certificats utilisés pour la signature et le chiffrement des e-mails (certificats S/MIME) ?

Pas à l'heure actuelle.

Q : Quelle est la période de validité pour les certificats ACM ?

Les certificats émis par ACM sont valides pendant 13 mois. Si vous émettez des certificats privés directement depuis une CA privée d'ACM et gérez les clés et les certificats sans utiliser ACM pour la gestion des certificats, vous pouvez choisir n'importe quelle période de validité, qu'il s'agisse d'une date d'expiration absolue ou d'une période relative exprimée en jours, en mois ou en années commençant directement.

Q : Quels sont les algorithmes utilisés par les certificats ACM ?

Les certificats gérés dans ACM utilisent des clés RSA avec un module 2 048 bits et SHA-256. Si vous émettez des certificats privés directement depuis une CA privée d'ACM et gérez les clés et les certifications sans utiliser ACM pour la gestion des certificats, vous pouvez également émettre et utiliser des certificats Elliptic Curve (ECDSA). ACM ne peut pas encore gérer ces certificats.  

Q : Comment révoquer un certificat ?

Vous pouvez demander à ACM de révoquer un certificat public en vous rendant sur le centre de support AWS et en créant un cas. Pour révoquer un certificat privé émis par votre CA privée d'ACM, consultez le Guide de l'utilisateur de la CA privée d'ACM. 

Q : Puis-je copier un certificat d'une région AWS vers une autre ?

Pour l'instant, il est impossible de copier des certificats gérés par ACM entre des régions. Vous pouvez copier des certificats privés que vous exportez depuis ACM et des certificats que vous émettez directement depuis votre CA privée d'ACM sans utiliser ACM pour la gestion des certificats et des clés privées.

Q : Puis-je utiliser le même certificat ACM dans plusieurs régions AWS ?

Cela dépend de si vous utilisez Elastic Load Balancing ou Amazon CloudFront. Pour utiliser un certificat avec Elastic Load Balancing pour le même site (le même nom de domaine complet, ou FQDN, ou le même ensemble de FQDN) dans une autre région, vous devez demander un nouveau certificat dans chaque région souhaitée. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander le certificat dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution.

Q : Puis-je mettre en service un certificat avec ACM si je possède déjà un certificat d'un autre fournisseur pour le même nom de domaine ?

Oui.

Q : Puis-je utiliser des certificats sur des instances Amazon EC2 ou sur mes propres serveurs ?

Vous pouvez utiliser des certificats privés émis avec la CA privée d'ACM avec des instances EC2, des conteneurs, ainsi que vos propres serveurs. Pour l'heure, les certificats ACM publics ne peuvent être utilisés qu'avec des services AWS spécifiques. Voir la question Avec quels services AWS puis-je utiliser les certificats ACM ?

 

Q : Le service ACM autorise-t-il les caractères linguistiques locaux dans les noms de domaine, autrement dit les noms de domaine internationalisés (IDN) ?

ACM n'autorise pas les caractères linguistiques locaux codés en Unicode ; cependant, le service autorise les caractères linguistiques locaux codés en ASCII pour les noms de domaine.

Q : Quels formats d'étiquette de nom de domaine le service ACM autorise-t-il ?

ACM autorise uniquement le format ASCII codé en UTF-8, y compris les étiquettes contenant « xn– », communément appelé « Punycode », pour les noms de domaine. ACM n'accepte pas d'entrée Unicode (étiquettes U) pour les noms de domaine. 

                                                                 Haut de la page >>

Q : Que sont les certificats publics ?

Les certificats tant publics que privés aident les clients à identifier les ressources sur les réseaux et à sécuriser les communications entre ces ressources. Les certificats publics permettent d'identifier des ressources sur Internet.

Q : Quel type de certificats publics le service ACM fournit-il ?

ACM fournit des certificats publics de validation de domaine (DV) à utiliser avec les sites Web et les applications qui arrêtent le protocole SSL/TLS. Pour plus de détails à propos des certificats ACM, voir Caractéristiques de certificat.

Q : Est-ce que les navigateurs, les systèmes d'exploitation et les appareils mobiles font confiance aux certificats publics ACM ?

La plupart des navigateurs, des systèmes d'exploitation et des appareils mobiles modernes font confiance aux certificats publics ACM. Les certificats fournis par ACM présentent une omniprésence de 99 % pour les navigateurs et les systèmes d'exploitation, notamment Windows XP SP3 et Java 6 et versions ultérieures.

Q : Comment puis-je confirmer que mon navigateur fait confiance aux certificats publics ACM ?

Les navigateurs qui fon confiance aux certificats fournis par ACM affichent une icône de verrouillage et n'émettent aucun avertissement concernant les certificats lorsqu'ils sont connectés à des sites qui utilisent des certificats fournis par ACM sur SSL/TLS, par exemple à l'aide du protocole HTTPS.

Les certificats ACM publics sont vérifiés par l'autorité de certification Amazon (CA). Tous les navigateurs, applications ou systèmes d'exploitation qui incluent l'autorité de certification Amazon Root CA 1, Starfield Services Root Certificate Authority-G2 ou Starfield Class 2 Certificate Authority approuvent les certificats fournis par ACM.

Q : Le service ACM fournit-il des certificats à validation d'organisation (OV, Organizational Validation) ou de validation étendue (EV, Extended Validation) ?

Pas à l'heure actuelle.

Q : Quels documents décrivent les politiques et pratiques d'Amazon en matière d'émission de certificats ?

Ces politiques et pratiques sont décrites dans les politiques de certification et la déclaration des pratiques de certification d'Amazon Trust Services. Reportez-vous au référentiel d'Amazon Trust Services pour consulter les dernières versions.

Q : Comment puis-je avertir AWS en cas de modification des informations du certificat ?

Vous pouvez avertir AWS en envoyant un e-mail à l'adresse validation-questions[at]amazon.com.

                                                                 Haut de la page >>

Q : Comment mettre en service un certificat fourni par ACM ?

Vous pouvez utiliser AWS Management Console, la CLI AWS ou les API/SDK ACM. Pour utiliser AWS Management Console, accédez à Certificate Manager, choisissez Request a Certificate, sélectionnez Request a public certificate indiquez le nom de domaine de votre site et suivez les instructions à l'écran pour terminer votre demande. Vous pouvez ajouter des noms de domaine supplémentaires à votre demande si les utilisateurs peuvent accéder à votre site en utilisant d'autres noms. Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous écrivez un enregistrement dans la configuration DNS publique de votre domaine pour établir que vous détenez ou contrôlez le domaine. Après avoir utilisé la validation DNS pour établir le contrôle de votre domaine, vous pouvez obtenir des certificats supplémentaires et demander à ACM de renouveler des certificats existants pour le domaine tant que l'enregistrement reste en place et que le certificat est en cours d'utilisation. Vous n'avez pas à valider à nouveau le contrôle du domaine. Si vous optez pour la validation par e-mail plutôt que pour la validation DNS, des e-mails sont envoyés au propriétaire de domaine pour lui demander d'approuver l'émission du certificat. Après la validation de chaque nom de domaine de votre demande, le certificat est émis et prêt à être mis en service avec d'autres services AWS comme Elastic Load Balancing ou Amazon CloudFront. Pour plus d'informations, consultez la documentation ACM.

Q : Pourquoi est-ce qu'ACM valide la propriété de domaine pour les certificats publics ?

Les certificats sont utilisés pour établir l'identité de votre site et des connexions sécurisées entre les navigateurs et les applications et votre site. Pour émettre un certificat approuvé publiquement, Amazon doit vérifier que le demandeur contrôle le nom de domaine inclus dans la demande de certificat.

Q : Comment le service ACM valide-t-il la propriété d'un domaine avant d'émettre un certificat public pour ce domaine ?

Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous pouvez valider la propriété du domaine en ajoutant un enregistrement CNAME à votre configuration DNS. Pour plus d'informations, consultez la section Validation DNS. Si vous ne pouvez pas écrire d'enregistrements dans la configuration DNS publique de votre domaine, vous pouvez utiliser la validation par e-mail au lieu de la validation DNS. Avec la validation par e-mail, ACM envoie des e-mails au propriétaire de domaine enregistré. Ce dernier ou un représentant autorisé peut alors approuver l'émission pour chaque nom de domaine inclus dans la demande de certificat. Pour plus d'informations, consultez la section Validation par e-mail.

Q : Quelle méthode de validation dois-je employer pour mon certificat public : DNS ou e-mail ?

Nous vous recommandons d'utiliser la validation DNS si vous pouvez modifier la configuration DNS de votre domaine. Les clients qui ne peuvent pas recevoir d'e-mails de validation d'ACM et ceux qui utilisent un serveur d'inscription qui ne publie pas l'adresse e-mail du propriétaire de domaine dans WHOIS doivent utiliser la validation DNS. Si vous ne pouvez pas modifier votre configuration DNS, vous devez utiliser la validation par e-mail.

Q : Puis-je passer de la validation par e-mail à la validation DNS pour un certificat public existant ?

Non, mais vous pouvez demander un nouveau certificat gratuit à ACM et choisir la validation DNS pour ce dernier.

Q : Combien de temps prend l'émission d'un certificat public ?

L'émission d'un certificat, après la validation de tous les noms de domaine d'une demande de certificat, peut prendre plusieurs heures voire plus.

Q : Que se passe-t-il lorsque je demande un certificat public ?

ACM tente de valider la propriété ou le contrôle de chaque nom de domaine inclus dans votre demande de certificat, selon la méthode de validation que vous avez choisie (validation DNS ou validation par e-mail). L'état de la demande de certificat est Pending validation lorsqu'ACM cherche à vérifier que vous détenez ou contrôlez le domaine. Consultez les sections Validation DNS et Validation par e-mail ci-dessous pour obtenir plus d'informations sur le processus de validation. Une fois tous les noms de domaine de la demande de certificat validés, l'émission des certificats peut prendre plusieurs heures ou plus. Lors de l'émission du certificat, l'état de la demande de certificat devient alors Issued et vous pouvez commencer à utiliser le certificat avec d'autres services AWS intégrés à ACM.

Q : Est-ce qu'ACM vérifie les enregistrements DNS Certificate Authority Authorization (CAA) avant d'émettre des certificats publics ?

Oui. Les archives de l'autorisation de l'autorité de certification (CAA) DNS permettent aux propriétaires de domaine d'indiquer quelles autorités de certification sont autorisées à émettre des certificats pour leur domaine. Lorsque vous demandez un certificat ACM, AWS Certificate Manager recherche une archive CAA dans la configuration de zone DNS pour votre domaine. Si aucune archive CAA n'est présente, Amazon peut alors émettre un certificat pour votre domaine. Beaucoup de clients se retrouvent dans cette catégorie.

Si votre configuration DNS contient une archive CAA, cette dernière doit spécifier l'un des CA suivants avant qu'Amazon puisse émettre un certificat pour votre domaine : amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Pour en savoir plus, consultez les sections Configurer une archive CAA ou Résoudre des problèmes liés à la CAA du Guide de l'utilisateur AWS Certificate Manager.

Q : Le service ACM prend-il en charge d'autres méthodes de validation de domaine ?

Pas à l'heure actuelle.  

 

                                                                 Haut de la page >>

Q : Qu'est-ce que la validation DNS ?

Avec la validation DNS, vous pouvez valider la propriété d'un domaine en ajoutant un enregistrement CNAME à votre configuration DNS. La validation DNS vous permet facilement d'établir que vous détenez un domaine lorsque vous demandez des certificats SSL/TLS à ACM.

Q : Quels sont les avantages de la validation DNS ?

La validation DNS vous permet de valider facilement que vous détenez ou contrôlez un domaine de manière à obtenir un certificat SSL/TLS. Avec la validation DNS, il vous suffit d'écrire un enregistrement CNAME dans votre configuration DNS pour établir le contrôle de votre nom de domaine. Pour simplifier le processus de validation DNS, la console de gestion ACM peut configurer des enregistrements DNS pour vous si vous gérez vos enregistrements DNS avec Amazon Route 53. Vous pouvez ainsi facilement établir le contrôle de votre nom de domaine en quelques clics. Une fois l'enregistrement CNAME configuré, ACM renouvelle automatiquement les certificats utilisés (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place. Les renouvellements sont entièrement automatiques.

Q : Qui doit utiliser la validation DNS ?

Toute personne demandant un certificat à ACM et en mesure de modifier la configuration DNS du domaine demandé doit envisager d'utiliser la validation DNS.

Q : Le service ACM prend-il toujours en charge la validation par e-mail ?

Oui. ACM continue de prendre en charge la validation par e-mail pour les clients qui ne sont pas en mesure de modifier leur configuration DNS.

Q : Quels enregistrements dois-je ajouter à ma configuration DNS pour valider un domaine ?

Vous devez ajouter un enregistrement CNAME pour le domaine que vous souhaitez valider. Par exemple, pour valider le nom www.exemple.com, vous ajoutez un enregistrement CNAME à la zone correspondant à exemple.com. L'enregistrement que vous ajoutez contient un jeton aléatoire qu'ACM génère spécifiquement pour votre domaine et votre compte AWS. Vous pouvez obtenir les deux parties de l'enregistrement CNAME (le nom et l'étiquette) auprès d'ACM. Pour plus d'instructions, consultez le Guide de l'utilisateur d'ACM.

Q : Comment ajouter ou modifier des enregistrements DNS pour mon domaine ?

Pour en savoir plus sur l'ajout ou la modification d'enregistrements DNS, consultez votre fournisseur DNS. La documentation du service DNS Amazon Route 53 fournit de plus amples informations pour les clients qui utilisent le service DNS Amazon Route 53.

Q : Le service ACM peut-il simplifier la validation DNS pour les clients du service DNS Amazon Route 53 ?

Oui. Pour les clients qui utilisent le service DNS Amazon Route 53 pour gérer les enregistrements DNS, la console ACM peut ajouter des enregistrements à votre configuration DNS pour vous lorsque vous demandez un certificat. La zone hébergée DNS Route 53 de votre domaine doit être configurée sur le même compte AWS que celui depuis lequel vous effectuez la demande, et vous devez disposer des autorisations suffisantes pour modifier votre configuration Amazon Route 53. Pour plus d'instructions, consultez le Guide de l'utilisateur d'ACM.

Q : La validation DNS exige-t-elle de faire appel à un fournisseur DNS particulier ?

Non. Vous pouvez utiliser la validation DNS avec n'importe quel fournisseur DNS tant qu'il vous permet d'ajouter un enregistrement CNAME à votre configuration DNS.

Q : De combien d'enregistrements DNS ai-je besoin pour obtenir plusieurs certificats pour le même domaine ?

Un seul. Vous pouvez obtenir plusieurs certificats pour le même nom de domaine dans le même compte AWS en utilisant un seul enregistrement CNAME. Par exemple, si vous effectuez deux demandes de certificat depuis le même compte AWS pour le même nom de domaine, vous n'avez besoin que d'un seul enregistrement DNS CNAME.

Q : Puis-je valider plusieurs noms de domaine avec le même enregistrement CNAME ?

Non. Chaque nom de domaine doit posséder un enregistrement CNAME unique.

Q : Puis-je valider un nom de domaine contenant des caractères génériques à l'aide de la validation DNS ?

Oui.

Q : Comment le service ACM crée-t-il des enregistrements CNAME ?

Les enregistrements DNS CNAME se composent de deux éléments : un nom et une étiquette. Le nom d'un enregistrement CNAME généré par ACM comprend un caractère de soulignement (_) suivi d'un jeton (une chaîne de caractères unique liée à votre compte AWS et à votre nom de domaine). ACM ajoute le caractère de soulignement et le jeton à votre nom de domaine pour créer le nom. ACM crée l'étiquette à partir d'un caractère de soulignement ajouté à un autre jeton également lié à votre compte AWS et à votre nom de domaine. ACM ajoute le caractère de soulignement et le jeton à un nom de domaine DNS utilisé par AWS pour les validations : acm-validations.aws. Les exemples suivants montrent le format des enregistrements CNAME des domaines www.example.com, subdomain.example.com et *.example.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Notez qu'ACM supprime l'étiquette générique (*) lors de la génération des enregistrements CNAME pour les noms contenant des caractères génériques. Ainsi, l'enregistrement CNAME généré par ACM pour un nom générique (comme *.example.com) est le même enregistrement que celui renvoyé pour le nom de domaine sans l'étiquette générique (example.com).

Q : Puis-je valider tous les sous-domaines à l'aide d'un seul enregistrement CNAME ?

Non. Chaque nom de domaine, y compris les noms d'hôte et les noms de sous-domaine, doit être validé séparément à l'aide d'un enregistrement CNAME unique.

Q : Pourquoi le service ACM utilise-t-il des enregistrements CNAME pour la validation DNS au lieu d'enregistrements TXT ?

L'utilisation d'un enregistrement CNAME permet à ACM de renouveler les certificats tant que l'enregistrement CNAME existe. L'enregistrement CNAME pointe vers un enregistrement TXT inclus dans un domaine AWS (acm-validations.aws) qu'ACM peut mettre à jour si nécessaire pour valider ou revalider un nom de domaine, sans qu'aucune action de votre part ne soit nécessaire.

Q : La validation DNS fonctionne-t-elle dans toutes les régions AWS ?

Oui. Vous pouvez créer un enregistrement DNS CNAME et l'utiliser pour obtenir des certificats sur le même compte AWS dans toutes les régions AWS dans lesquelles ACM est disponible. Configurez l'enregistrement CNAME une seule fois pour obtenir des certificats émis et renouvelés depuis ACM pour ce nom sans créer un autre enregistrement.

Q : Puis-je choisir différentes méthodes de validation dans le même certificat ?

Non. Vous ne pouvez utiliser qu'une seule méthode de validation pour chaque certificat.

Q : Comment renouveler un certificat approuvé par la validation DNS ?

ACM renouvelle automatiquement les certificats en cours d'utilisation (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place.

Q : Puis-je révoquer l'autorisation d'émission de certificats pour mon domaine ?

Oui. Il suffit de supprimer l'enregistrement CNAME. ACM n'émet ou ne renouvelle pas de certificats pour votre domaine à l'aide de la validation DNS une fois que vous avez supprimé l'enregistrement CNAME et que la modification a été diffusée via le DNS. Le délai de propagation de la suppression de l'enregistrement dépend de votre fournisseur DNS.

Q : Que se passe-t-il si je supprime l'enregistrement CNAME ?

ACM ne peut émettre ni renouveler de certificats pour votre domaine à l'aide de la validation DNS si vous supprimez l'enregistrement CNAME.

Haut de la page >>

Q : Qu'est-ce que la validation par e-mail ?

Avec la validation par e-mail, une demande d'approbation est envoyée au propriétaire de domaine enregistré pour chaque nom de domaine inclus dans la demande de certificat. Le propriétaire de domaine ou un représentant autorisé (approbateur) peut approuver la demande de certificat en suivant les instructions contenues dans l'e-mail. Les instructions demandent à l'approbateur d'accéder au site Web d'approbation en cliquant sur le lien contenu dans l'e-mail ou en le copiant dans un navigateur. L'approbateur vérifie les informations associées à la demande de certificat, telles que le nom de domaine, l'ID de certificat (ARN) et l'ID de compte AWS à l'origine de la demande, puis approuve la demande si les informations sont exactes.

Q : Lorsque je demande un certificat et que je choisis la validation par e-mail, à quelles adresses e-mail la demande d'approbation de certificat est-elle envoyée ?

Lorsque vous demandez un certificat à l'aide de la validation par e-mail, une recherche WHOIS est exécutée pour chaque nom de domaine de la demande de certificat afin de récupérer les coordonnées du domaine. Un e-mail est envoyé au titulaire du nom de domaine, au contact administratif et au contact technique indiqués pour le domaine. Un e-mail est également envoyé à cinq adresses électroniques spéciales, créées en ajoutant les préfixes admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domaine demandé. Par exemple, si vous demandez un certificat pour serveur.exemple.com, un e-mail est envoyé au titulaire du nom de domaine, au contact technique et au contact administratif à l'aide des coordonnées renvoyées par une requête WHOIS pour le domaine exemple.com, plus admin@serveur.exemple.com, administrator@serveur.exemple.com, hostmaster@serveur.exemple.com, postmaster@serveur.exemple.com et webmaster@serveur.exemple.com.

Les cinq adresses électroniques spéciales sont conçues différemment pour les noms de domaine commençant par « www » et les noms génériques commençant par un astérisque (*). ACM supprime le « www » ou l'astérisque en en-tête, et un e-mail est envoyé aux adresses administratives formées en ajoutant les préfixes admin@, administrator@, hostmaster@, postmaster@ et webmaster@ au reste du nom de domaine. Ainsi, si vous demandez un certificat pour www.exemple.com, un e-mail est envoyé aux contacts WHOIS, comme décrit précédemment, et à admin@exemple.com au lieu de admin@www.exemple.com. Les quatre adresses électroniques spéciales sont formées de la même manière.

Après avoir demandé un certificat, vous pouvez afficher la liste des adresses e-mail auxquelles un e-mail a été envoyé pour chaque domaine à l'aide de la console ACM, de la CLI AWS ou d'API.

Q : Puis-je configurer les adresses e-mail auxquelles la demande d'approbation de certificat est envoyée ?

Non, mais vous pouvez configurer le nom de domaine de base auquel vous souhaitez que l'e-mail de validation soit envoyé. Le nom de domaine de base doit être un superdomaine du nom de domaine de la demande de certificat. Par exemple, si vous souhaitez demander un certificat pour serveur.domaine.exemple.com, mais que vous souhaitez envoyer l'e-mail d'approbation à admin@domaine.exemple.com, vous pouvez le faire à l'aide de la CLI ou de l'API AWS. Pour plus d'informations, consultez le document de référence sur la CLI ACM et le document de référence sur l'API ACM.

Q : Puis-je utiliser des domaines qui disposent de coordonnées de proxy (par exemple, Privacy Guard ou WhoisGuard) ?

Oui, cependant, l'envoi d'e-mails peut être retardé en raison du proxy. Les e-mails envoyés via un proxy peuvent se retrouver dans le dossier des courriers indésirables. Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Q : Le service ACM peut-il valider mon identité à l'aide du contact technique de mon compte AWS ?

Non. Les procédures et politiques de validation de l'identité du propriétaire de domaine sont très strictes et déterminées par CA/Browser Forum, une organisation qui établit des normes pour des autorités de certification approuvées publiquement. Pour en savoir plus, consultez la dernière déclaration des pratiques de certification d'Amazon Trust Services dans le référentiel Amazon Trust Services.

Q : Que faire si je ne reçois pas l'e-mail d'approbation ?

Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Haut de la page >>

Q : Comment les clés privées des certificats fournis par ACM sont-elles gérées ?

Une paire de clés (key pair) est créée pour chaque certificat fourni par ACM. AWS Certificate Manager est conçu pour protéger et gérer les clés privées utilisées avec les certificats SSL/TLS. Un chiffrement avancé et de bonnes pratiques de gestion des clés sont utilisés lors de la protection et du stockage des clés privées.

Q : Le service ACM copie-t-il les certificats dans plusieurs régions AWS ?

Non. La clé privée de chaque certificat ACM est stockée dans la région dans laquelle vous demandez le certificat. Par exemple, lorsque vous obtenez un nouveau certificat dans la région USA Est (Virginie du Nord), ACM stocke la clé privée dans cette même région. Les certificats ACM sont uniquement copiés dans plusieurs régions si le certificat est associé à une distribution CloudFront. Dans ce cas, CloudFront distribue le certificat ACM vers les emplacements géographiques configurés pour votre distribution.

Q : Puis-je vérifier l'utilisation des clés privées de certificat ?

Oui. A l'aide d'AWS CloudTrail, vous pouvez consulter des journaux qui vous indiquent quand la clé privée du certificat a été utilisée.

Haut de la page >>

Q : Quels sont les frais encourus et comment mon utilisation des certificats ACM va-t-elle m'être facturée ?

Les certificats publics et privés mis en service via AWS Certificate Manager pour être utilisés avec des services intégrés ACM, comme les services Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway sont gratuits. Vous payez pour les ressources AWS que vous créez pour exécuter votre application. La tarification de la CA privée d'AWS Certificate Manager se fait à l'utilisation. Vous payez des frais mensuels pour l'utilisation de chaque CA privée d'ACM jusqu'à ce que vous la supprimiez. Vous payez également pour les certificats privés que vous créez et exportez depuis ACM, comme ceux utilisés avec EC2 ou les serveurs sur site, ou ceux que vous émettez directement depuis votre propre autorité de certification en créant vous-même la clé privée. Consultez la page de tarification pour plus de détails et d'exemples. 

Haut de la page >>

Q : Puis-je utiliser le même certificat avec plusieurs load balancers Elastic Load Balancing et plusieurs distributions CloudFront ?

Oui.

Q : Puis-je utiliser les certificats publics pour des équilibreurs de charges Elastic Load Balancing internes sans accès public à Internet ?

Oui, mais vous pouvez également envisager d'utiliser la CA privée d'ACM pour émettre des certificats privés qu'ACM peut renouveler sans validation. Consultez la section Fonction gérée du renouvellement et du déploiement pour en savoir plus sur la manière dont ACM gère le renouvellement des certificats publics qui ne sont pas accessibles depuis l'Internet et des certificats privés.

Q : Un certificat établi pour le domaine www.exemple.com fonctionnera-t-il également pour le domaine exemple.com ?

Non. Si vous souhaitez que votre site soit référencé par les deux noms de domaine (www.exemple.com et exemple.com), vous devez demander un certificat qui inclut les deux noms.

Q : Puis-je importer un certificat tiers et l'utiliser avec les services AWS ?

Oui. Si vous souhaitez utiliser un certificat tiers avec Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, vous pouvez l'importer dans ACM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou des API AWS Certificate Manager. ACM ne gère pas le processus de renouvellement des certificats importés. Vous pouvez utiliser AWS Management Console pour surveiller les dates d'expiration des certificats importés et importer un nouveau certificat tiers pour remplacer un certificat arrivant à expiration.

Q : Comment le service ACM peut-il aider mon organisation à satisfaire les exigences en matière de conformité ?

ACM vous aide à respecter les exigences réglementaires en facilitant l'établissement de connexions sécurisées, une exigence commune à de nombreux programmes de conformité tels que PCI, FedRAMP et HIPAA. Pour obtenir des informations spécifiques sur la conformité, rendez-vous sur http://aws.amazon.com/compliance.

Q : Le service ACM est-il soumis à un accord de niveau de service (SLA) ?

Pas à l'heure actuelle.

Q : Le service ACM fournit-il un sceau de site sécurisé ou un logo de confiance que je peux afficher sur mon site Web ?

Non. Si vous souhaitez utiliser un sceau sur votre site, vous pouvez en obtenir un auprès d'un fournisseur tiers. Nous vous recommandons de choisir un fournisseur qui évalue et certifie la sécurité de votre site, ou vos pratiques commerciales, ou bien les deux.

Q : Est-il permis d'utiliser les marques de commerce ou le logo d'Amazon comme badge de certification, sceau de site ou logo de confiance ?

Non. Les sceaux et les badges de ce type peuvent être copiés sur des sites qui ne font pas appel au service ACM et utilisés de façon inappropriée pour instaurer la confiance sous de faux prétextes. Pour protéger nos clients et la réputation d'Amazon, nous n'autorisons l'utilisation de notre logo de cette manière. 

Haut de la page >>

Q : Quelles informations de journalisation sont disponibles dans AWS CloudTrail ?

Vous pouvez identifier les utilisateurs et les comptes qui ont appelé les API AWS pour des services prenant en charge AWS CloudTrail, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Par exemple, vous pouvez savoir quel utilisateur a appelé une API pour associer un certificat fourni par ACM à Elastic Load Balancer, et à quel moment le service Elastic Load Balancing a déchiffré la clé en appelant une API KMS.

Haut de la page >>

Q : Qu'est-ce que la fonction gérée du renouvellement et du déploiement d'ACM ?

La fonction gérée du renouvellement et du déploiement d'ACM gère le processus de renouvellement des certificats SSL/TLS fournis par ACM et le déploiement des certificats après leur renouvellement.

Q : Quels sont les avantages de la fonction gérée du renouvellement et du déploiement d'ACM ?

ACM peut gérer le renouvellement et le déploiement des certificats SSL/TLS à votre place. Grâce à ACM, la configuration et le maintien des certificats SSL/TLS d'un service Web sécurisé ou d'une application sont plus solides sur le plan opérationnel que les processus manuels qui peuvent être sources d'erreurs. La fonction de gestion du renouvellement et du déploiement peut vous aider à éviter les temps d'arrêts dus à l'expiration de certificats. En effet, ACM fonctionne comme un service intégré aux autres services AWS. Cela signifie que vous pouvez gérer et déployer de façon centralisée des certificats sur la plate-forme AWS à l'aide d'AWS management console, de la CLI AWS ou d'API. Avec la CA privée d'ACM, vous pouvez créer des certificats privés et les exporter. ACM renouvelle les certificats exportés, ce qui permet à votre code d'automatisation côté client de les télécharger et de les déployer.  

Q : Quels certificats ACM peuvent être renouvelés et déployés automatiquement ?

Certificats publics

Le service ACM peut renouveler et déployer les certificats ACM publics qu'il fournit sans qu'une autre validation ne soit nécessaire de la part du propriétaire de domaine. Si un certificat ne peut être renouvelé sans une validation supplémentaire, ACM gère le processus de renouvellement en validant la propriété ou le contrôle du domaine pour chaque nom de domaine du certificat. Une fois que chaque nom de domaine du certificat a été validé, ACM renouvelle le certificat et le déploie automatiquement avec vos ressources AWS. Si ACM ne peut pas valider la propriété du domaine, nous en informons le propriétaire du compte AWS.

Si vous avez choisi la validation DNS pour votre demande de certificat, ACM peut renouveler votre certificat indéfiniment, sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place. Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat, vous pouvez améliorer la capacité de renouvellement et de déploiement automatiques des certificats du service ACM en vous assurant que le certificat est en cours d'utilisation, que tous les noms de domaine qu'il contient peuvent être résolus sur votre site et qu'ils sont accessibles via Internet.

Certificats privés

ACM fournit trois options pour gérer les certificats privés émis avec les autorités de certification privées ACM. ACM fournit différentes capacités de renouvellement et de déploiement en fonction de la façon dont vous gérez vos certificats privés. Vous pouvez choisir la meilleure option de gestion pour chaque certificat privé que vous émettez.

1) ACM peut automatiser entièrement le renouvellement et le déploiement de certificats privés émis avec vos autorités de certifications privées ACM et utilisés avec des services intégrés dans ACM, comme Elastic Load Balancing et API Gateway. ACM peut renouveler et déployer des certificats privés créés et gérés dans ACM aussi longtemps que l'autorité de certification privée qui a émis le certificat conserve un statut actif.

2) Pour les certificats privés que vous exportez depuis ACM pour une utilisation avec des ressources sur site, des instances EC2 et des appareils IoT, la CA privée d'ACM renouvelle automatiquement votre certificat. Vous êtes responsable de la récupération du nouveau certificat et de la nouvelle clé privée et de les déployer avec votre application.

3) Si vous émettez des certificats directement depuis la CA privée d'ACM et gérez les clés et certificats vous-même sans utiliser ACM pour gérer les certificats, ACM ne renouvelle pas votre certificat. Vous êtes responsable du renouvellement et du déploiement de ces certificats privés.

Q : Quand le service ACM renouvelle-t-il les certificats ?

Le processus de renouvellement commence au plus tôt 60 jours avant la date d'expiration du certificat. La période de validité des certificats ACM; est actuellement de 13 mois. Consultez le guide de l'utilisateur ACM pour en savoir plus sur le renouvellement géré.

Q : Serai-je informé avant le renouvellement de mon certificat et m'avertira-t-on du déploiement du nouveau certificat ?

Non. ACM peut renouveler ou recomposer le certificat et remplacer l'ancien par un nouveau sans préavis.

Q : Le service ACM peut-il renouveler les certificats publics contenant des domaines nus tels que « exemple.com » (également appelés zone apex ou domaines nus) ?

Si vous avez choisi la validation DNS pour votre demande de certificat public, ACM peut renouveler votre certificat sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place.

Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat public contenant un domaine nu, assurez-vous que la recherche DNS du domaine nu est résolue vers la ressource AWS associée au certificat. La résolution du domaine nu vers une ressource AWS peut être difficile, à moins que vous n'utilisiez Route 53 ou un autre fournisseur DNS prenant en charge les enregistrements de ressources alias (ou leur équivalent) pour le mappage des domaines nus aux ressources AWS. Pour plus d'informations, consultez le manuel Route 53 Developer Guide.

Q : Mon site abandonne-t-il les connexions existantes lorsque le service ACM déploie le certificat renouvelé ?

Non, les connexions établies après le déploiement du nouveau certificat utilisent le nouveau certificat et les connexions existantes ne sont pas affectées.

Haut de la page >>