Q : Qu'est-ce qu'AWS Certificate Manager (ACM) ?

AWS Certificate Manager (ACM) est un service qui vous permet de mettre en service, de gérer et de déployer facilement des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS) afin de les utiliser avec les services AWS. Les certificats SSL/TLS sont utilisés pour sécuriser les communications réseau et établir l'identité de sites Web sur Internet. ACM supprime le processus manuel chronophage d'achat, de chargement et de renouvellement des certificats SSL/TLS. Avec ACM, vous pouvez demander un certificat, le déployer sur des ressources AWS, telles que les programmes Elastic Load Balancer, les distributions Amazon CloudFront ou les API sur Amazon API Gateway, et laisser AWS Certificate Manager gérer le renouvellement des certificats. Vous pouvez également importer des certificats tiers dans ACM et les associer aux services AWS pris en charge. Les certificats SSL/TLS alloués par ACM sont gratuits. Vous ne payez que les ressources AWS que vous créez pour exécuter votre application.

Q : Qu'est-ce qu'un certificat SSL/TLS ?

Les certificats SSL/TLS permettent aux navigateurs Web d'identifier et d'établir des connexions réseau chiffrées vers des sites Web à l'aide du protocole Secure Sockets Layer/Transport Layer Security (SSL/TLS). Les certificats sont utilisés dans un système cryptographique appelé « infrastructure à clé publique » (PKI, Public Key Infrastructure). L'infrastructure PKI permet à une partie d'établir l'identité d'une autre partie à l'aide de certificats si elles font toutes deux confiance à un tiers appelé « autorité de certification ». La rubrique Concepts du Guide de l'utilisateur d'ACM fournit des informations générales supplémentaires, ainsi que des définitions.

Q : Que puis-je faire avec AWS Certificate Manager ?

Vous pouvez demander et mettre en service des certificats SSL/TLS, et utiliser les services intégrés à ACM, tels qu'Elastic Load Balancing, Amazon CloudFront ou Amazon API Gateway, pour déployer des certificats sur votre site Web ou application. Une fois que vous avez validé la propriété du domaine demandé et que le certificat a été émis, vous pouvez sélectionner le certificat SSL/TLS dans une liste déroulante d'AWS Management Console pour le déployer. Vous pouvez également déployer les certificats fournis par ACM aux ressources AWS en utilisant les commandes de l'interface de ligne de commande (CLI) AWS ou les appels d'API. ACM gère le renouvellement et le déploiement des certificats à votre place.

Q : Quels sont les avantages d'AWS Certificate Manager ?

ACM facilite l'activation du protocole SSL/TLS pour un site Web ou une application sur la plate-forme AWS. ACM supprime nombre des processus manuels précédemment associés à l'utilisation du protocole et à la gestion des certificats SSL/TLS. ACM peut également vous aider à éviter les temps d'arrêt dus à des certificats mal configurés, révoqués ou arrivés à expiration en gérant les renouvellements. Vous profitez de la protection du protocole SSL/TLS, ainsi que d'une gestion facile des certificats. L'activation du protocole SSL/TLS peut améliorer le positionnement de votre site Web et vous aider à satisfaire les exigences en matière de réglementation et de conformité relatives au chiffrement des données en transit.

Pour vérifier que vous détenez ou contrôlez le nom de domaine de votre certificat, ACM utilise la validation DNS ou la validation par e-mail en fonction de la méthode choisie lors de la demande de certificat. Avec la validation DNS, il vous suffit d'écrire un enregistrement CNAME dans votre configuration DNS pour établir le contrôle de votre nom de domaine. Pour simplifier encore davantage le processus de validation DNS, la console de gestion ACM peut configurer des enregistrements DNS pour vous si vous gérez vos enregistrements DNS avec Amazon Route 53. Vous pouvez ainsi facilement établir le contrôle de votre nom de domaine en quelques clics. Une fois l'enregistrement CNAME configuré, ACM peut automatiquement renouveler les certificats ayant réussi la validation DNS avant qu'ils n'expirent, tant que l'enregistrement DNS reste en place et que les certificats sont en cours d'utilisation. Les renouvellements sont entièrement automatiques. ACM prend également en charge la validation par e-mail pour les clients qui ne sont pas en mesure de mettre à jour la configuration DNS de leur domaine.

Lorsque vous utilisez ACM, les clés privées de certificat sont sécurisées et stockées dans le respect des bonnes pratiques de chiffrement et de gestion des clés. ACM vous permet d'utiliser AWS Management Console, l'interface de ligne de commande AWS ou les API AWS Certificate Manager pour gérer de façon centralisée tous les certificats SSL/TLS fournis par ACM dans une région AWS. ACM est intégré à d'autres services AWS. Vous pouvez donc demander un certificat SSL/TLS et le mettre en service avec votre équilibreur de charge Elastic Load Balancing ou votre distribution Amazon CloudFront à partir d'AWS Management Console, via des commandes de l'interface de ligne de commande AWS ou au moyen d'appels d'API.

Q : Comment démarrer avec ACM ?

Pour démarrer avec AWS Certificate Manager, accédez à Certificate Manager dans AWS Management Console et utilisez l'assistant pour demander un certificat SSL/TLS en indiquant le nom de votre site. Vous pouvez également demander un certificat à l'aide de la CLI ou de l'API AWS. Une fois qu'ACM reçoit l'approbation de la part du propriétaire du domaine et que le certificat SSL/TLS est émis, vous pouvez l'utiliser avec les autres services AWS intégrés à ACM. Pour chaque service intégré, il vous suffit de sélectionner le certificat SSL/TLS de votre choix dans une liste déroulante d'AWS Management Console. Vous pouvez également exécuter une commande de l'interface de ligne de commande AWS ou appeler une API AWS pour associer le certificat à votre ressource. Le service intégré déploie ensuite le certificat vers la ressource de votre choix. Pour en savoir plus sur la demande et l'utilisation de certificats fournis par AWS Certificate Manager, consultez la section Démarrage du Guide de l'utilisateur d'AWS Certificate Manager.

Q : Pourquoi le service ACM valide-t-il la propriété du domaine ?

Les certificats sont utilisés pour établir l'identité de votre site et des connexions sécurisées entre les navigateurs et les applications et votre site. Pour émettre un certificat approuvé publiquement, Amazon doit vérifier que le demandeur contrôle le nom de domaine inclus dans la demande de certificat.

Q : Comment le service ACM valide-t-il la propriété d'un domaine avant d'émettre un certificat pour ce domaine ?

Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous pouvez valider la propriété du domaine en ajoutant un enregistrement CNAME à votre configuration DNS. Pour plus d'informations, consultez la section Validation DNS. Si vous ne pouvez pas écrire d'enregistrements dans la configuration DNS publique de votre domaine, vous pouvez utiliser la validation par e-mail au lieu de la validation DNS. Avec la validation par e-mail, ACM envoie des e-mails au propriétaire de domaine enregistré. Ce dernier ou un représentant autorisé peut alors approuver l'émission pour chaque nom de domaine inclus dans la demande de certificat. Pour plus d'informations, consultez la section Validation par e-mail.

Q : Quelle méthode de validation dois-je utiliser : la validation DNS ou la validation par e-mail ?

Nous vous recommandons d'utiliser la validation DNS si vous pouvez modifier la configuration DNS de votre domaine. Les clients qui ne peuvent pas recevoir d'e-mails de validation d'ACM et ceux qui utilisent un serveur d'inscription qui ne publie pas l'adresse e-mail du propriétaire de domaine dans WHOIS doivent utiliser la validation DNS. Si vous ne pouvez pas modifier votre configuration DNS, vous devez utiliser la validation par e-mail.

Q : Puis-je passer de la validation par e-mail à la validation DNS pour un certificat existant ?

Non, mais vous pouvez demander un nouveau certificat gratuit à ACM et choisir la validation DNS pour ce dernier.

Q : Quel type de certificats le service ACM fournit-il ?

ACM fournit des certificats de validation de domaine (DV) à utiliser avec les sites Web et les applications qui mettent fin au protocole SSL/TLS. Pour en savoir plus sur les certificats fournis par ACM, consultez les caractéristiques des certificats.

Q : Avec quels services AWS puis-je utiliser les certificats fournis par ACM ?

Vous pouvez utiliser ACM avec les services AWS :
• Elastic Load Balancing – Consultez la documentation Elastic Load Balancing
• Amazon CloudFront – Consultez la documentation CloudFront
• Amazon API Gateway – Consultez la documentation API Gateway
• AWS Elastic Beanstalk : Consultez la documentation AWS Elastic Beanstalk
• AWS CloudFormation – Consultez la documentation AWS CloudFormation

Q : Dans quelles régions le service ACM est-il disponible ?

Veuillez consulter les pages relatives à l'infrastructure mondiale AWS pour connaître la disponibilité actuelle des services AWS dans les différentes régions. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander ou importer le certificat dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution.

Q : Puis-je utiliser le même certificat dans plusieurs régions AWS ?

Cela dépend de si vous utilisez Elastic Load Balancing ou Amazon CloudFront. Pour utiliser un certificat avec Elastic Load Balancing pour le même site (le même nom de domaine complet, ou FQDN, ou le même ensemble de FQDN) dans une autre région, vous devez demander un nouveau certificat dans chaque région souhaitée. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander le certificat dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution.

Q : Puis-je copier un certificat d'une région vers une autre ?

Pas à l'heure actuelle.

Q : Puis-je allouer un certificat avec ACM si je possède déjà un certificat d'un autre fournisseur pour le même nom de domaine ?

Oui.

Q : Puis-je utiliser des certificats sur des instances Amazon EC2 ou sur mes propres serveurs ?

Non. A l'heure actuelle, les certificats fournis par ACM ne peuvent être utilisés qu'avec des services AWS spécifiques. Consultez la section Avec quels services AWS puis-je utiliser les certificats fournis par ACM ?

Q : Le nombre de certificats pouvant être mis en service avec ACM est-il limité ?

Vous pouvez mettre en service jusqu'à 100 certificats par compte dans chaque région par défaut. Chaque certificat mis en service avec ACM peut posséder jusqu'à dix noms de domaine entièrement qualifiés. Vous pouvez demander une augmentation des limites en consultant le centre de support AWS. Reportez-vous à la documentation AWS pour obtenir plus d'informations.

Haut de la page

Q : Comment mettre en service un certificat fourni par ACM ?

Vous pouvez utiliser AWS Management Console, la CLI AWS ou les API/SDK ACM. Pour utiliser AWS Management Console, accédez à Certificate Manager, choisissez Request a Certificate, indiquez le nom de domaine de votre site et suivez les instructions à l'écran pour terminer votre demande. Vous pouvez ajouter des noms de domaine supplémentaires à votre demande si les utilisateurs peuvent accéder à votre site en utilisant d'autres noms. Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous écrivez un enregistrement dans la configuration DNS publique de votre domaine pour établir que vous détenez ou contrôlez le domaine. Après avoir utilisé la validation DNS pour établir le contrôle de votre domaine, vous pouvez obtenir des certificats supplémentaires et demander à ACM de renouveler des certificats existants pour le domaine tant que l'enregistrement reste en place et que le certificat est en cours d'utilisation. Vous n'avez pas à valider à nouveau le contrôle du domaine. Si vous optez pour la validation par e-mail plutôt que pour la validation DNS, des e-mails sont envoyés au propriétaire de domaine pour lui demander d'approuver l'émission du certificat. Après la validation de chaque nom de domaine de votre demande, le certificat est émis et prêt à être mis en service avec d'autres services AWS comme Elastic Load Balancing ou Amazon CloudFront. Pour plus d'informations, consultez la documentation ACM.

Q : Combien de temps prend l'émission d'un certificat ?

L'émission d'un certificat, après la validation de tous les noms de domaine d'une demande de certificat, peut prendre plusieurs heures voire plus.

Q : Que se passe-t-il lorsque je demande un certificat ?

ACM tente de valider la propriété ou le contrôle de chaque nom de domaine inclus dans votre demande de certificat, selon la méthode de validation que vous avez choisie (validation DNS ou validation par e-mail). L'état de la demande de certificat est Pending validation lorsqu'ACM cherche à vérifier que vous détenez ou contrôlez le domaine. Consultez les sections Validation DNS et Validation par e-mail ci-dessous pour obtenir plus d'informations sur le processus de validation. Une fois tous les noms de domaine de la demande de certificat validés, l'émission des certificats peut prendre plusieurs heures ou plus. Lors de l'émission du certificat, l'état de la demande de certificat devient alors Issued et vous pouvez commencer à utiliser le certificat avec d'autres services AWS intégrés à ACM.

Q : Pourquoi ma demande de certificat est-elle à l'état « Pending validation » ?

Les certificats qui ont fait l'objet d'une demande, mais qui ne sont pas encore validés sont à l'état Pending validation. Le domaine inclus dans la demande de certificat doit être validé avant l'émission du certificat. Pour déterminer pourquoi votre demande est dans cet état, consultez le Guide de dépannage d'ACM.

Q : Pourquoi ma demande de certificat est-elle à l'état « Failed » ?

Le processus de validation du contrôle du domaine peut échouer pour plusieurs raisons. Le domaine peut notamment faire partie d'une liste d'URL de ressources Web soupçonnées de contenir un programme malveillant ou un contenu de type « hameçonnage ». Pour savoir pour quelle raison votre demande a échoué, veuillez consulter le Guide de dépannage d'ACM.

Q : Pourquoi ma demande de certificat est-elle à l'état « Validation timed out » ?

Les demandes de certificats ACM expirent si elles ne sont pas validées dans les 72 heures. Consultez le Guide de l'Utilisateur d'ACM pour des suggestions de dépannage.

Q : Est-ce qu'ACM prend en charge la vérification des archives de l'autorisation de l'autorité de certification (CAA) DNS ?

Oui. Les archives de l'autorisation de l'autorité de certification (CAA) DNS permettent aux propriétaires de domaine d'indiquer quelles autorités de certification sont autorisées à émettre des certificats pour leur domaine. Lorsque vous demandez un certificat ACM, AWS Certificate Manager recherche une archive CAA dans la configuration de zone DNS pour votre domaine. Si aucune archive CAA n'est présente, Amazon peut alors émettre un certificat pour votre domaine. Beaucoup de clients se retrouvent dans cette catégorie.

Si votre configuration DNS contient une archive CAA, cette dernière doit spécifier l'un des CA suivants avant qu'Amazon puisse émettre un certificat pour votre domaine : amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Pour en savoir plus, consultez les sections Configurer une archive CAA ou Résoudre des problèmes liés à la CAA du Guide de l'utilisateur AWS Certificate Manager.

Q : Le service ACM prend-il en charge d'autres méthodes de validation de domaine ?

Pas à l'heure actuelle.

                                                                 Haut de la page >>

Q : Qu'est-ce que la validation DNS ?

Avec la validation DNS, vous pouvez valider la propriété d'un domaine en ajoutant un enregistrement CNAME à votre configuration DNS. La validation DNS vous permet facilement d'établir que vous détenez un domaine lorsque vous demandez des certificats SSL/TLS à ACM.

Q : Quels sont les avantages de la validation DNS ?

La validation DNS vous permet de valider facilement que vous détenez ou contrôlez un domaine de manière à obtenir un certificat SSL/TLS. Avec la validation DNS, il vous suffit d'écrire un enregistrement CNAME dans votre configuration DNS pour établir le contrôle de votre nom de domaine. Pour simplifier le processus de validation DNS, la console de gestion ACM peut configurer des enregistrements DNS pour vous si vous gérez vos enregistrements DNS avec Amazon Route 53. Vous pouvez ainsi facilement établir le contrôle de votre nom de domaine en quelques clics. Une fois l'enregistrement CNAME configuré, ACM renouvelle automatiquement les certificats utilisés (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place. Les renouvellements sont entièrement automatiques.

Q : Qui doit utiliser la validation DNS ?

Toute personne demandant un certificat à ACM et en mesure de modifier la configuration DNS du domaine demandé doit envisager d'utiliser la validation DNS.

Q : Le service ACM prend-il toujours en charge la validation par e-mail ?

Oui. ACM continue de prendre en charge la validation par e-mail pour les clients qui ne sont pas en mesure de modifier leur configuration DNS.

Q : Quels enregistrements dois-je ajouter à ma configuration DNS pour valider un domaine ?

Vous devez ajouter un enregistrement CNAME pour le domaine que vous souhaitez valider. Par exemple, pour valider le nom www.exemple.com, vous ajoutez un enregistrement CNAME à la zone correspondant à exemple.com. L'enregistrement que vous ajoutez contient un jeton aléatoire qu'ACM génère spécifiquement pour votre domaine et votre compte AWS. Vous pouvez obtenir les deux parties de l'enregistrement CNAME (le nom et l'étiquette) auprès d'ACM. Pour plus d'instructions, consultez le Guide de l'utilisateur d'ACM.

Q : Comment ajouter ou modifier des enregistrements DNS pour mon domaine ?

Pour en savoir plus sur l'ajout ou la modification d'enregistrements DNS, consultez votre fournisseur DNS. La documentation du service DNS Amazon Route 53 fournit de plus amples informations pour les clients qui utilisent le service DNS Amazon Route 53.

Q : Le service ACM peut-il simplifier la validation DNS pour les clients du service DNS Amazon Route 53 ?

Oui. Pour les clients qui utilisent le service DNS Amazon Route 53 pour gérer les enregistrements DNS, la console ACM peut ajouter des enregistrements à votre configuration DNS pour vous lorsque vous demandez un certificat. La zone hébergée DNS Route 53 de votre domaine doit être configurée sur le même compte AWS que celui depuis lequel vous effectuez la demande, et vous devez disposer des autorisations suffisantes pour modifier votre configuration Amazon Route 53. Pour plus d'instructions, consultez le Guide de l'utilisateur d'ACM.

Q : La validation DNS exige-t-elle de faire appel à un fournisseur DNS particulier ?

Non. Vous pouvez utiliser la validation DNS avec n'importe quel fournisseur DNS tant qu'il vous permet d'ajouter un enregistrement CNAME à votre configuration DNS.

Q : De combien d'enregistrements DNS ai-je besoin pour obtenir plusieurs certificats pour le même domaine ?

Un seul. Vous pouvez obtenir plusieurs certificats pour le même nom de domaine dans le même compte AWS en utilisant un seul enregistrement CNAME. Par exemple, si vous effectuez deux demandes de certificat depuis le même compte AWS pour le même nom de domaine, vous n'avez besoin que d'un seul enregistrement DNS CNAME.

Q : Puis-je valider plusieurs noms de domaine avec le même enregistrement CNAME ?

Non. Chaque nom de domaine doit posséder un enregistrement CNAME unique.

Q : Puis-je valider un nom de domaine contenant des caractères génériques à l'aide de la validation DNS ?

Oui.

Q : Comment le service ACM crée-t-il des enregistrements CNAME ?

Les enregistrements DNS CNAME se composent de deux éléments : un nom et une étiquette. Le nom d'un enregistrement CNAME généré par ACM comprend un caractère de soulignement (_) suivi d'un jeton (une chaîne de caractères unique liée à votre compte AWS et à votre nom de domaine). ACM ajoute le caractère de soulignement et le jeton à votre nom de domaine pour créer le nom. ACM crée l'étiquette à partir d'un caractère de soulignement ajouté à un autre jeton également lié à votre compte AWS et à votre nom de domaine. ACM ajoute le caractère de soulignement et le jeton à un nom de domaine DNS utilisé par AWS pour les validations : acm-validations.aws. Les exemples suivants montrent le format des enregistrements CNAME des domaines www.example.com, subdomain.example.com et *.example.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Notez qu'ACM supprime l'étiquette générique (*) lors de la génération des enregistrements CNAME pour les noms contenant des caractères génériques. Ainsi, l'enregistrement CNAME généré par ACM pour un nom générique (comme *.example.com) est le même enregistrement que celui renvoyé pour le nom de domaine sans l'étiquette générique (example.com).

Q : Puis-je valider tous les sous-domaines à l'aide d'un seul enregistrement CNAME ?

Non. Chaque nom de domaine, y compris les noms d'hôte et les noms de sous-domaine, doit être validé séparément à l'aide d'un enregistrement CNAME unique.

Q : Pourquoi le service ACM utilise-t-il des enregistrements CNAME pour la validation DNS au lieu d'enregistrements TXT ?

L'utilisation d'un enregistrement CNAME permet à ACM de renouveler les certificats tant que l'enregistrement CNAME existe. L'enregistrement CNAME pointe vers un enregistrement TXT inclus dans un domaine AWS (acm-validations.aws) qu'ACM peut mettre à jour si nécessaire pour valider ou revalider un nom de domaine, sans qu'aucune action de votre part ne soit nécessaire.

Q : La validation DNS fonctionne-t-elle dans toutes les régions AWS ?

Oui. Vous pouvez créer un enregistrement DNS CNAME et l'utiliser pour obtenir des certificats sur le même compte AWS dans toutes les régions AWS dans lesquelles ACM est disponible. Configurez l'enregistrement CNAME une seule fois pour obtenir des certificats émis et renouvelés depuis ACM pour ce nom sans créer un autre enregistrement.

Q : Puis-je choisir différentes méthodes de validation dans le même certificat ?

Non. Vous ne pouvez utiliser qu'une seule méthode de validation pour chaque certificat.

Q : Comment renouveler un certificat approuvé par la validation DNS ?

ACM renouvelle automatiquement les certificats en cours d'utilisation (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place.

Q : Puis-je révoquer l'autorisation d'émission de certificats pour mon domaine ?

Oui. Il suffit de supprimer l'enregistrement CNAME. ACM n'émet ou ne renouvelle pas de certificats pour votre domaine à l'aide de la validation DNS une fois que vous avez supprimé l'enregistrement CNAME et que la modification a été diffusée via le DNS. Le délai de propagation de la suppression de l'enregistrement dépend de votre fournisseur DNS.

Q : Que se passe-t-il si je supprime l'enregistrement CNAME ?

ACM ne peut émettre ni renouveler de certificats pour votre domaine à l'aide de la validation DNS si vous supprimez l'enregistrement CNAME.

Haut de la page >>

Q : Qu'est-ce que la validation par e-mail ?

Avec la validation par e-mail, une demande d'approbation est envoyée au propriétaire de domaine enregistré pour chaque nom de domaine inclus dans la demande de certificat. Le propriétaire de domaine ou un représentant autorisé (approbateur) peut approuver la demande de certificat en suivant les instructions contenues dans l'e-mail. Les instructions demandent à l'approbateur d'accéder au site Web d'approbation en cliquant sur le lien contenu dans l'e-mail ou en le copiant dans un navigateur. L'approbateur vérifie les informations associées à la demande de certificat, telles que le nom de domaine, l'ID de certificat (ARN) et l'ID de compte AWS à l'origine de la demande, puis approuve la demande si les informations sont exactes.

Q : Lorsque je demande un certificat et que je choisis la validation par e-mail, à quelles adresses e-mail la demande d'approbation de certificat est-elle envoyée ?

Lorsque vous demandez un certificat à l'aide de la validation par e-mail, une recherche WHOIS est exécutée pour chaque nom de domaine de la demande de certificat afin de récupérer les coordonnées du domaine. Un e-mail est envoyé au titulaire du nom de domaine, au contact administratif et au contact technique indiqués pour le domaine. Un e-mail est également envoyé à cinq adresses électroniques spéciales, créées en ajoutant les préfixes admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domaine demandé. Par exemple, si vous demandez un certificat pour serveur.exemple.com, un e-mail est envoyé au titulaire du nom de domaine, au contact technique et au contact administratif à l'aide des coordonnées renvoyées par une requête WHOIS pour le domaine exemple.com, plus admin@serveur.exemple.com, administrator@serveur.exemple.com, hostmaster@serveur.exemple.com, postmaster@serveur.exemple.com et webmaster@serveur.exemple.com.

Les cinq adresses électroniques spéciales sont conçues différemment pour les noms de domaine commençant par « www » et les noms génériques commençant par un astérisque (*). ACM supprime le « www » ou l'astérisque en en-tête, et un e-mail est envoyé aux adresses administratives formées en ajoutant les préfixes admin@, administrator@, hostmaster@, postmaster@ et webmaster@ au reste du nom de domaine. Ainsi, si vous demandez un certificat pour www.exemple.com, un e-mail est envoyé aux contacts WHOIS, comme décrit précédemment, et à admin@exemple.com au lieu de admin@www.exemple.com. Les quatre adresses électroniques spéciales sont formées de la même manière.

Après avoir demandé un certificat, vous pouvez afficher la liste des adresses e-mail auxquelles un e-mail a été envoyé pour chaque domaine à l'aide de la console ACM, de la CLI AWS ou d'API.

Q : Puis-je configurer les adresses e-mail auxquelles la demande d'approbation de certificat est envoyée ?

Non, mais vous pouvez configurer le nom de domaine de base auquel vous souhaitez que l'e-mail de validation soit envoyé. Le nom de domaine de base doit être un superdomaine du nom de domaine de la demande de certificat. Par exemple, si vous souhaitez demander un certificat pour serveur.domaine.exemple.com, mais que vous souhaitez envoyer l'e-mail d'approbation à admin@domaine.exemple.com, vous pouvez le faire à l'aide de la CLI ou de l'API AWS. Pour plus d'informations, consultez le document de référence sur la CLI ACM et le document de référence sur l'API ACM.

Q : Puis-je utiliser des domaines qui disposent de coordonnées de proxy (par exemple, Privacy Guard ou WhoisGuard) ?

Oui, cependant, l'envoi d'e-mails peut être retardé en raison du proxy. Les e-mails envoyés via un proxy peuvent se retrouver dans le dossier des courriers indésirables. Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Q : Le service ACM peut-il valider mon identité à l'aide du contact technique de mon compte AWS ?

Non. Les procédures et politiques de validation de l'identité du propriétaire de domaine sont très strictes et déterminées par CA/Browser Forum, une organisation qui établit des normes pour des autorités de certification approuvées publiquement. Pour en savoir plus, consultez la dernière déclaration des pratiques de certification d'Amazon Trust Services dans le référentiel Amazon Trust Services.

Q : Que faire si je ne reçois pas l'e-mail d'approbation ?

Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Haut de la page >>

Q : Les certificats fournis par ACM sont-ils approuvés par les navigateurs, les systèmes d'exploitation et les appareils mobiles ?

Les certificats fournis par ACM sont approuvés par la plupart des navigateurs, systèmes d'exploitation et appareils mobiles modernes. Les certificats fournis par ACM présentent une omniprésence de 99 % pour les navigateurs et les systèmes d'exploitation, notamment Windows XP SP3 et Java 6 et versions ultérieures.

Q : Comment puis-je vérifier que mon navigateur approuve les certificats fournis par ACM ?

Les navigateurs qui approuvent les certificats fournis par ACM affichent une icône de verrouillage et n'émettent aucun avertissement concernant les certificats lorsqu'ils sont connectés à des sites qui utilisent des certificats fournis par ACM sur SSL/TLS, par exemple à l'aide du protocole HTTPS.

Les certificats fournis par ACM sont vérifiés par l'autorité de certification (CA) d'Amazon. Tous les navigateurs, applications ou systèmes d'exploitation qui incluent l'autorité de certification Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 ou Starfield Class 2 Certificate Authority approuvent les certificats fournis par ACM.

Q : Le service ACM peut-il fournir des certificats contenant plusieurs noms de domaine ?

Oui. Chaque certificat doit inclure au moins un nom de domaine. Vous pouvez y ajouter d'autres noms si vous le souhaitez. Par exemple, vous pouvez ajouter le nom « www.exemple.net » à un certificat pour « www.exemple.com » si les utilisateurs peuvent accéder à votre site avec ces deux noms. Vous devez détenir ou contrôler tous les noms inclus dans votre demande de certificat.

Q : Qu'est-ce qu'un nom de domaine contenant des caractères génériques ?

Un nom de domaine contenant des caractères génériques correspond à un sous-domaine de premier niveau ou à un nom d'hôte au sein d'un domaine. Un sous-domaine de premier niveau est une étiquette de nom de domaine unique qui ne contient pas de point. Par exemple, vous pouvez utiliser le nom *.exemple.com pour protéger www.exemple.com, images.exemple.com et tout autre nom d'hôte ou sous-domaine de premier niveau qui se termine par .exemple.com. Pour en savoir plus, consultez le Guide de l'Utilisateur d'ACM.

Q : Le service ACM peut-il fournir des certificats comprenant des noms de domaine contenant des caractères génériques ?

Oui.

Q : Le service ACM fournit-il des certificats à validation d'organisation (OV, Organizational Validation) ou de validation étendue (EV, Extended Validation) ?

Pas à l'heure actuelle.

Q : Le service ACM fournit-il des certificats pour des protocoles autres que SSL/TLS pour les sites Web ?

Pas à l'heure actuelle.

Q : Puis-je utiliser les certificats fournis par ACM pour la signature de codes ou le chiffrement d'e-mails ?

Non.

Q : Le service ACM fournit-il des certificats utilisés pour la signature et le chiffrement des e-mails (certificats S/MIME) ?

Pas à l'heure actuelle.

Q : Quels algorithmes les certificats fournis par ACM utilisent-ils ?

Les certificats ACM utilisent des clés RSA avec un module de 2 048 bits et la fonction SHA-256.

Q : Le service ACM prend-il en charge les certificats ECDSA (Elliptic Curve Digital Signature Algorithm) ?

Pas à l'heure actuelle.

Q : Quels documents décrivent les politiques et pratiques d'Amazon en matière d'émission de certificats ?

Ces politiques et pratiques sont décrites dans les politiques de certification et la déclaration des pratiques de certification d'Amazon Trust Services. Reportez-vous au référentiel d'Amazon Trust Services pour consulter les dernières versions.

Q : Comment révoquer un certificat ?

Vous pouvez demander à ACM de révoquer un certificat en vous rendant sur le centre de support AWS et en créant un cas. 

Q : Comment puis-je avertir AWS en cas de modification des informations du certificat ?

Vous pouvez avertir AWS en envoyant un e-mail à l'adresse validation-questions[at]amazon.com.

Haut de la page >>

Q : Comment les clés privées des certificats fournis par ACM sont-elles gérées ?

Une paire de clés (key pair) est créée pour chaque certificat fourni par ACM. AWS Certificate Manager est conçu pour protéger et gérer les clés privées utilisées avec les certificats SSL/TLS. Un chiffrement avancé et de bonnes pratiques de gestion des clés sont utilisés lors de la protection et du stockage des clés privées.

Q : Le service ACM copie-t-il les certificats dans plusieurs régions AWS ?

Non. La clé privée de chaque certificat ACM est stockée dans la région dans laquelle vous demandez le certificat. Par exemple, lorsque vous obtenez un nouveau certificat dans la région USA Est (Virginie du Nord), ACM stocke la clé privée dans cette même région. Les certificats ACM sont uniquement copiés dans plusieurs régions si le certificat est associé à une distribution CloudFront. Dans ce cas, CloudFront distribue le certificat ACM vers les emplacements géographiques configurés pour votre distribution.

Q : Puis-je vérifier l'utilisation des clés privées de certificat ?

Oui. A l'aide d'AWS CloudTrail, vous pouvez consulter des journaux qui vous indiquent quand la clé privée du certificat a été utilisée.

Haut de la page >>

Q : Quels sont les frais encourus et comment mon utilisation des certificats ACM va-t-elle m'être facturée ?

Les certificats SSL/TLS mis en service, gérés et déployés via AWS Certificate Manager sont gratuits. Vous ne payez que les ressources AWS que vous créez pour exécuter votre application, telles que les load balancers Elastic Load Balancing ou les distributions Amazon CloudFront.

Haut de la page >>

Q : Puis-je utiliser le même certificat avec plusieurs load balancers Elastic Load Balancing et plusieurs distributions CloudFront ?

Oui.

Q : Puis-je utiliser les certificats pour des load balancers Elastic Load Balancing internes sans accès public à Internet ?

Oui. Consultez la section Fonction de gestion du renouvellement et du déploiement pour en savoir plus sur la manière dont ACM gère le renouvellement des certificats qui ne sont pas accessibles depuis l'Internet public.

Q : Un certificat établi pour le domaine www.exemple.com fonctionnera-t-il également pour le domaine exemple.com ?

Non. Si vous souhaitez que votre site soit référencé par les deux noms de domaine (www.exemple.com et exemple.com), vous devez demander un certificat qui inclut les deux noms.

Q : Puis-je importer un certificat tiers et l'utiliser avec les services AWS ?

Oui. Si vous souhaitez utiliser un certificat tiers avec Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, vous pouvez l'importer dans ACM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou des API AWS Certificate Manager. ACM ne gère pas le processus de renouvellement des certificats importés. Vous pouvez utiliser AWS Management Console pour surveiller les dates d'expiration des certificats importés et importer un nouveau certificat tiers pour remplacer un certificat arrivant à expiration.

Q : Quelle est la période de validité des certificats fournis par ACM ?

Les certificats fournis par ACM sont actuellement valables 13 mois.

Q : Comment le service ACM peut-il aider mon organisation à satisfaire les exigences en matière de conformité ?

ACM vous aide à respecter les exigences réglementaires en facilitant l'établissement de connexions sécurisées, une exigence commune à de nombreux programmes de conformité tels que PCI, FedRAMP et HIPAA. Pour obtenir des informations spécifiques sur la conformité, rendez-vous sur http://aws.amazon.com/compliance.

Q : Le service ACM est-il soumis à un accord de niveau de service (SLA, Service Level Agreement) ?

Pas à l'heure actuelle.

Q : Le service ACM autorise-t-il les caractères linguistiques locaux dans les noms de domaine, autrement dit les noms de domaine internationalisés (IDN) ?

ACM n'autorise pas les caractères linguistiques locaux codés en Unicode ; cependant, le service autorise les caractères linguistiques locaux codés en ASCII pour les noms de domaine.

Q : Quels formats d'étiquette de nom de domaine le service ACM autorise-t-il ?

ACM autorise uniquement le format ASCII codé en UTF-8, y compris les étiquettes contenant « xn– », communément appelé « Punycode », pour les noms de domaine. ACM n'accepte pas d'entrée Unicode (étiquettes U) pour les noms de domaine.

Q : Le service ACM fournit-il un sceau de site sécurisé ou un logo de confiance que je peux afficher sur mon site Web ?

Non. Si vous souhaitez utiliser un sceau sur votre site, vous pouvez en obtenir un auprès d'un fournisseur tiers. Nous vous recommandons de choisir un fournisseur qui évalue et certifie la sécurité de votre site, ou vos pratiques commerciales, ou bien les deux.

Q : Est-il permis d'utiliser les marques de commerce ou le logo d'Amazon comme badge de certification, sceau de site ou logo de confiance ?

Non. Les sceaux et les badges de ce type peuvent être copiés sur des sites qui ne font pas appel au service ACM et utilisés de façon inappropriée pour instaurer la confiance sous de faux prétextes. Pour protéger nos clients et la réputation d'Amazon, nous n'autorisons l'utilisation de notre logo de cette manière.

Haut de la page >>

Q : Quelles informations de journalisation sont disponibles dans AWS CloudTrail ?

Vous pouvez identifier les utilisateurs et les comptes qui ont appelé les API AWS pour des services prenant en charge AWS CloudTrail, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Par exemple, vous pouvez savoir quel utilisateur a appelé une API pour associer un certificat fourni par ACM à Elastic Load Balancer, et à quel moment le service Elastic Load Balancing a déchiffré la clé en appelant une API KMS.

Haut de la page >>

Q : Qu'est-ce que la fonction de gestion du renouvellement et du déploiement d'ACM ?

La fonction de gestion du renouvellement et du déploiement d'ACM gère le processus de renouvellement des certificats SSL/TLS fournis par ACM et le déploiement des certificats après leur renouvellement.

Q : Quels sont les avantages de la fonction de gestion du renouvellement et du déploiement d'ACM ?

ACM gère le renouvellement et le déploiement des certificats SSL/TLS à votre place. Grâce à ACM, la configuration et le maintien des certificats SSL/TLS d'un service Web sécurisé ou d'une application sont plus solides sur le plan opérationnel que les processus manuels qui peuvent être sources d'erreurs. La fonction de gestion du renouvellement et du déploiement peut vous aider à éviter les temps d'arrêts dus à l'expiration de certificats. Inutile d'installer ou de conserver un client ou agent logiciel sur votre site. En effet, ACM fonctionne comme un service intégré aux autres services AWS. Cela signifie que vous pouvez gérer et déployer de façon centralisée des certificats sur la plate-forme AWS à l'aide d'AWS management console, de la CLI AWS ou d'API.

Q : Quels certificats peuvent-être renouvelés et déployés automatiquement ?

Le service ACM peut renouveler et déployer les certificats qu'il fournit sans qu'une autre validation ne soit nécessaire de la part du propriétaire de domaine. Si un certificat ne peut être renouvelé sans une validation supplémentaire, ACM gère le processus de renouvellement en validant la propriété ou le contrôle du domaine pour chaque nom de domaine du certificat. Une fois que chaque nom de domaine du certificat a été validé, ACM renouvelle le certificat et le déploie automatiquement avec vos ressources AWS. Si ACM ne peut pas valider la propriété du domaine, nous en informons le propriétaire du compte AWS.

Si vous avez choisi la validation DNS pour votre demande de certificat, ACM peut renouveler votre certificat indéfiniment, sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place. Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat, vous pouvez améliorer la capacité de renouvellement et de déploiement automatiques des certificats du service ACM en vous assurant que le certificat est en cours d'utilisation et que tous les noms de domaine qu'il contient peuvent être résolus sur votre site et qu'ils sont accessibles via Internet.

Q : Quand le service ACM renouvelle-t-il les certificats ?

Le processus de renouvellement commence au plus tôt 60 jours avant la date d'expiration du certificat. La période de validité des certificats fournis par ACM est actuellement de 13 mois. Consultez le guide de l'utilisateur ACM pour en savoir plus sur le renouvellement géré.

Q : Serai-je informé avant le renouvellement de mon certificat et m'avertira-t-on du déploiement du nouveau certificat ?

Non. ACM peut renouveler ou recomposer le certificat et remplacer l'ancien par un nouveau sans préavis.

Q : Le service ACM peut-il renouveler les certificats contenant des domaines nus tels que « exemple.com » (également appelés zone apex) ?

Si vous avez choisi la validation DNS pour votre demande de certificat, ACM peut renouveler votre certificat sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place.

Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat contenant un domaine nu, assurez-vous que la recherche DNS du domaine nu est résolue vers la ressource AWS associée au certificat. La résolution du domaine nu vers une ressource AWS peut être difficile, à moins que vous n'utilisiez Route 53 ou un autre fournisseur DNS prenant en charge les enregistrements de ressources alias (ou leur équivalent) pour le mapping des domaines nus aux ressources AWS. Pour plus d'informations, consultez le manuel Route 53 Developer Guide.

Q : Mon site abandonne-t-il les connexions existantes lorsque le service ACM déploie le certificat renouvelé ?

Non, les connexions établies après le déploiement du nouveau certificat utilisent le nouveau certificat et les connexions existantes ne sont pas affectées.

Haut de la page >>