FAQ sur AWS Certificate Manager 

Q : Qu'est-ce qu'AWS Certificate Manager ?

AWS Certificate Manager (ACM) est un service qui vous permet de mettre en service, de gérer et de déployer facilement des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS) afin de les utiliser avec les services AWS et vos ressources internes connectées. Les certificats SSL/TLS sont utilisés pour sécuriser les communications réseau et pour établir l'identité des sites Web par Internet ainsi que celle des ressources présentes sur des réseaux privés. ACM supprime le processus manuel chronophage d'achat, de chargement et de renouvellement des certificats SSL/TLS. Avec AWS Certificate Manager, vous pouvez rapidement demander un certificat et le déployer sur des ressources AWS tels qu' Elastic Load Balancer, distributions Amazon CloudFront ou API sur Amazon API Gateway, puis laisser AWS Certificate Manager gérer le renouvellement du certificat. Il vous permet également de créer des certificats privés pour vos ressources internes et de gérer le cycle de vie des certificats de façon centrale. Les certificats SSL/TLS publics et privés provisionnés par ACM et utilisés exclusivement avec les services intégrés à ACM, tels que Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway, sont gratuits. Vous payez pour les ressources AWS que vous créez pour exécuter votre application. Vous payez des frais mensuels pour l'utilisation de chaque autorité de certification privée jusqu'à ce que vous la supprimiez, ainsi que pour les certificats privés que vous émettez et qui ne sont pas utilisés exclusivement avec des services intégrés dans ACM.

Q : Qu'est-ce qu'un certificat SSL/TLS ?

Les certificats SSL/TLS permettent aux navigateurs Web d'identifier et d'établir des connexions réseau chiffrées vers des sites Web à l'aide du protocole Secure Sockets Layer/Transport Layer Security (SSL/TLS). Les certificats sont utilisés dans un système cryptographique appelé « infrastructure à clé publique » (PKI, Public Key Infrastructure). L'infrastructure PKI permet à une partie d'établir l'identité d'une autre partie à l'aide de certificats si elles font toutes deux confiance à un tiers appelé « autorité de certification ». La rubrique Concepts du Guide de l'utilisateur d'ACM fournit des informations générales supplémentaires, ainsi que des définitions.

Q : Que sont les certificats privés ?

Les certificats privés permettent d'identifier des ressources dans une organisation, comme des applications, des services, des appareils et des utilisateurs. Lorsque deux points de terminaison établissent entre eux un canal de communication chiffré et sécurisé, chacun d'entre eux utilise un certificat et des techniques de chiffrement pour prouver son identité à l'autre point de terminaison. Les points de terminaisons API internes, les serveurs Web, les utilisateurs de VPN, les appareils IoT et bien d'autres applications utilisent des certificats privés pour établir les canaux de communication chiffrés nécessaire à ce qu'ils fonctionnent en toute sécurité.

Q : Quelle est la différence entre certificats publics et privés ?

Les certificats tant publics que privés aident les clients à identifier les ressources sur les réseaux et à sécuriser les communications entre ces ressources. Les certificats publics permettent d'identifier les ressources sur l'Internet public, alors que les certificats privés font cela pour les réseaux privés. Une différence majeure est que les applications et les navigateurs font automatiquement confiance aux certificats publics, par défaut, alors que les applications doivent être expressément configurées par l'administrateur pour faire confiance aux certificats privés. Les autorités de certification publiques qui émettent des certificats publics doivent suivre des règles strictes, fournir une visibilité opérationnelle et répondre aux exigences de sécurité imposées par les vendeurs du navigateur et du système d'exploitation qui déterminent les autorités de certification à qui leurs navigateurs et systèmes d'exploitation font automatiquement confiance. Les autorités de certification privées gérées par des organisations privées et les administrateurs d'autorités de certification privés peuvent établir leurs propres règles pour l'émission de certificats privés, ce qui comprend les pratiques d'émission des certificats et les informations qu'ils peuvent inclure. 

Q : Quels sont les avantages d'AWS Certificate Manager (ACM) ?

ACM facilite l'activation du protocole SSL/TLS pour un site Web ou une application sur la plate-forme AWS. ACM supprime nombre des processus manuels précédemment associés à l'utilisation du protocole et à la gestion des certificats SSL/TLS. ACM peut également vous aider à éviter les temps d'arrêt dus à des certificats mal configurés, révoqués ou arrivés à expiration en gérant les renouvellements. Vous profitez de la protection du protocole SSL/TLS, ainsi que d'une gestion facile des certificats. L'activation du protocole SSL/TLS peut améliorer le positionnement de votre site Web et vous aider à satisfaire les exigences en matière de réglementation et de conformité relatives au chiffrement des données en transit.

Lorsque vous utilisez ACM pour gérer des certificats, les clés privées de certificat sont sécurisées et stockées dans le respect des bonnes pratiques de chiffrement et de gestion des clés. ACM vous permet d'utiliser l'AWS Management Console, AWS CLI ou API ACM pour gérer de manière centralisée tous les certificats SSL/TLS ACM dans une région AWS. ACM est intégré à d'autres services AWS. Vous pouvez donc demander un certificat SSL/TLS et le mettre en service avec votre équilibreur de charge Elastic Load Balancing ou votre distribution Amazon CloudFront à partir de la console de gestion AWS, via des commandes de l'interface de ligne de commande AWS ou au moyen d'appels d'API.

Q : Quels types de certificats est-il possible de gérer avec ACM ?

ACM vous permet de gérer le cycle de vie de vos certificats publics et privés. Les capacités d'ACM varient en fonction de la nature du certificat (s'il est public ou privé), de la façon dont vous l'avez obtenu et de l'endroit où vous le déployez.

Certificats publics - Vous pouvez demander des certificats publics émis par Amazon dans ACM. ACM gère le renouvellement et le déploiement des certificats publics utilisés avec les services intégrés à ACM, notamment Amazon CloudFront, Elastic Load Balancing et Amazon API Gateway.

Certificats privés - Vous pouvez choisir de déléguer la gestion des certificats privés à ACM. Lorsqu'il est utilisé de cette façon, ACM peut automatiquement renouveler et déployer des certificats privés utilisés avec des services intégrés à ACM, ce qui comprend Amazon CloudFront, Elastic Load Balancing et Amazon API Gateway. Vous pouvez facilement déployer ces certificats privés en utilisant l'AWS Management Console, les API et l'interface en ligne de commande (CLI). Vous pouvez exporter des certificats privés depuis ACM et les utiliser avec des instances EC2, des conteneurs, des serveurs sur site et des appareils IoT. AWS Private CA renouvelle automatiquement ces certificats et envoie une notification Amazon CloudWatch lorsque le renouvellement est effectué. Vous pouvez écrire un code côté client pour télécharger des certificats renouvelés et des clés privées et les déployer dans votre application.

Certificats importés : si vous souhaitez utiliser un certificat tiers avec Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, vous pouvez l'importer dans ACM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou des API AWS Certificate Manager. ACM ne peut pas renouveler les certificats importés, mais il peut vous aider à gérer le processus de renouvellement. Vous êtes chargé de surveiller la date d'expiration de vos certificats importés et de les renouveler avant leur expiration. Vous pouvez utiliserACM CloudWatch metrics pour surveiller les dates d'expiration des certificats importés et importer un nouveau certificat tiers pour remplacer un certificat arrivant à expiration.

Question : Comment démarrer avec ACM ?

Pour démarrer avec ACM, accédez au Gestionnaire de certificats dans l'AWS Management Console et utilisez l'assistant pour demander un certificat SSL/TLS. Si vous avez déjà créé une CA privée, vous pouvez choisir un certificat public ou privé puis saisir le nom de votre site. Vous pouvez également demander un certificat à l'aide de la CLI ou de l'API AWS. Une fois le certificat émis, vous pouvez l'utiliser avec d'autres services AWS intégrés dans ACM. Pour chaque service intégré, il vous suffit de sélectionner le certificat SSL/TLS de votre choix dans une liste déroulante d'AWS Management Console. Vous pouvez également exécuter une commande de l'interface de ligne de commande AWS ou appeler une API AWS pour associer le certificat à votre ressource. Le service intégré déploie ensuite le certificat vers la ressource de votre choix.  Pour plus d'informations sur la demande et l'utilisation des certificats fournis par ACM, consultez le Guide de l'utilisateur d'ACM. En plus de l'utilisation de certificats privés avec les services intégrés à l'ACM, vous pouvez également exporter des certificats privés pour les utiliser sur des instances EC2, sur des conteneurs ECS, ou n'importe où.

Q : Avec quels services AWS puis-je utiliser les certificats ACM ?

• Vous pouvez utiliser des certificats ACM publics et privés avec les services AWS suivants :
• Elastic Load Balancing – Consultez la documentation Elastic Load Balancing
• Amazon CloudFront – Consultez la documentation CloudFront
• Amazon API Gateway : Consultez la documentation API Gateway
• AWS CloudFormation – La prise en charge est actuellement limitée aux certificats publics et privés gérés par ACM. Consultez la documentation AWS CloudFormation 
• AWS Elastic Beanstalk – Consultez la documentation AWS Elastic Beanstalk
• AWS Nitro Enclaves – Consultez la documentation AWS Nitro Enclaves

Q : Dans quelles régions le service ACM est-il disponible ?

Veuillez consulter les pages relatives àAWS Global Infrastructure pour connaître la disponibilité actuelle des services AWS dans les différentes régions. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez demander ou importer le certificat dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution.

Q : Quels types de certificats est-ce qu'ACM gère ?

ACM gère des certificats publics, privés et importés. Pour en savoir plus sur les fonctionnalités d'ACM, consultez la documentation sur l'émission et la gestion des certificats .

Q : Le service ACM peut-il fournir des certificats contenant plusieurs noms de domaine ?

Oui. Chaque certificat doit inclure au moins un nom de domaine. Vous pouvez y ajouter d'autres noms si vous le souhaitez. Par exemple, vous pouvez ajouter le nom « www.exemple.net » à un certificat pour « www.exemple.com » si les utilisateurs peuvent accéder à votre site avec ces deux noms. Vous devez détenir ou contrôler tous les noms inclus dans votre demande de certificat. 

Q : Qu'est-ce qu'un nom de domaine contenant des caractères génériques ?

Un nom de domaine contenant des caractères génériques correspond à un sous-domaine de premier niveau ou à un nom d'hôte au sein d'un domaine. Un sous-domaine de premier niveau est une étiquette de nom de domaine unique qui ne contient pas de point. Par exemple, vous pouvez utiliser le nom *.exemple.com pour protéger www.exemple.com, images.exemple.com et tout autre nom d'hôte ou sous-domaine de premier niveau qui se termine par .exemple.com. Pour en savoir plus, consultez le Guide de l'utilisateur ACM.

Q : Le service ACM peut-il fournir des certificats comprenant des noms de domaine contenant des caractères génériques ?

Oui.

Q : Le service ACM fournit-il des certificats en dehors de SSL/TLS ?

Non.

Q : Puis-je utiliser les certificats ACM pour signer des codes ou chiffrer des e-mails ?

Non.

Q : Le service ACM fournit-il des certificats utilisés pour la signature et le chiffrement des e-mails (certificats S/MIME) ?

Non.

Q : Quelle est la période de validité pour les certificats ACM ?

Les certificats émis par ACM sont valides pendant 13 mois (395 jours). Si vous émettez des certificats privés directement depuis une CA privée et gérez les clés et les certificats sans utiliser ACM pour la gestion des certificats, vous pouvez choisir n'importe quelle période de validité, qu'il s'agisse d'une date d'expiration absolue ou d'une période relative exprimée en jours, en mois ou en années commençant directement.

Q : Quels sont les algorithmes utilisés par les certificats ACM ?

Par défaut, les certificats émis dans ACM utilisent des clés RSA avec un module de 2048 bits et SHA-256. En outre, vous pouvez demander des certificats ECDSA (Elliptic Curve Digital Signature Algorithm) avec P-256 ou P-384. Pour en savoir plus sur les algorithmes, consultez le Guide de l'utilisateur ACM.

Q : Comment révoquer un certificat ?

Vous pouvez demander à ACM de révoquer un certificat public en vous rendant sur le Centre AWS Support et en créant un cas. Pour révoquer un certificat privé émis par votre AWS Private CA consultez le Guide de l'utilisateur de AWS Private CA. 

Q : Puis-je utiliser le même certificat ACM dans plusieurs régions AWS ?

Non. Les certificats ACM doivent se trouver dans la même région que la ressource où ils sont utilisés. La seule exception est Amazon CloudFront, un service mondial qui nécessite des certificats dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont répartis entre les emplacements géographiques configurés pour cette distribution.

Q : Puis-je mettre en service un certificat avec ACM si je possède déjà un certificat d'un autre fournisseur pour le même nom de domaine ?

Oui.

Q : Puis-je utiliser des certificats sur des instances Amazon EC2 ou sur mes propres serveurs ?

Vous pouvez utiliser des certificats privés émis avec la CA privée avec des instances EC2, des conteneurs, ainsi que vos propres serveurs. Pour l'heure, les certificats ACM publics ne peuvent être utilisés qu'avec des services AWS spécifiques, notamment AWS Nitro Enclaves. Voir les services d'intégration ACM.

Q : Le service ACM autorise-t-il les caractères linguistiques locaux dans les noms de domaine, autrement dit les noms de domaine internationalisés (IDN) ?

ACM n'autorise pas les caractères linguistiques locaux codés en Unicode ; cependant, le service autorise les caractères linguistiques locaux codés en ASCII pour les noms de domaine.

Q : Quels formats d'étiquette de nom de domaine le service ACM autorise-t-il ?

ACM autorise uniquement le format ASCII codé en UTF-8, y compris les étiquettes contenant « xn– », communément appelé « Punycode », pour les noms de domaine. ACM n'accepte pas d'entrée Unicode (étiquettes U) pour les noms de domaine.

Q : Puis-je importer un certificat tiers et l'utiliser avec les services AWS ?

Oui. Si vous souhaitez utiliser un certificat tiers avec Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, vous pouvez l'importer dans ACM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou des API AWS Certificate Manager. ACM ne gère pas le processus de renouvellement des certificats importés. Vous pouvez utiliser la console de gestion AWS pour surveiller les dates d'expiration des certificats importés et importer un nouveau certificat tiers pour remplacer un certificat arrivant à expiration.

Q : Que sont les certificats publics ?

Les certificats tant publics que privés aident les clients à identifier les ressources sur les réseaux et à sécuriser les communications entre ces ressources. Les certificats publics permettent d'identifier des ressources sur Internet.

Q : Quel type de certificats publics le service ACM fournit-il ?

ACM fournit des certificats publics de validation de domaine (DV) à utiliser avec les sites Web et les applications qui arrêtent le protocole SSL/TLS. Pour plus de détails à propos des certificats ACM, consultez Caractéristiques d'un certificat.

Q : Est-ce que les navigateurs, les systèmes d'exploitation et les appareils mobiles font confiance aux certificats publics ACM ?

La plupart des navigateurs, des systèmes d'exploitation et des appareils mobiles modernes font confiance aux certificats publics ACM. Les certificats fournis par ACM présentent une omniprésence de 99 % pour les navigateurs et les systèmes d'exploitation, notamment Windows XP SP3 et Java 6 et versions ultérieures.

Q : Comment puis-je confirmer que mon navigateur fait confiance aux certificats publics ACM ?

Les navigateurs qui font confiance aux certificats ACM affichent une icône de verrouillage et n'émettent aucun avertissement concernant les certificats lorsqu'ils sont connectés à des sites qui utilisent des certificats fournis par ACM sur SSL/TLS, par exemple à l'aide du protocole HTTPS.

Les certificats ACM publics sont vérifiés par l'autorité de certification Amazon (CA). Tous les navigateurs, applications ou systèmes d'exploitation qui incluent l'autorité de certification Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3,Amazon Root CA 4, Starfield Services Root - G2 fait confiance aux certificats ACM. Pour plus d'informations sur les autorités de certification root, consultez le référentiel Amazon Trust Services.

Q : Le service ACM fournit-il des certificats à validation d'organisation (OV) ou de validation étendue (EV) ?

Non.

Q : Quels documents décrivent les politiques et pratiques d'Amazon en matière d'émission de certificats ?

Ces politiques et pratiques sont décrites dans les politiques de certification et la déclaration des pratiques de certification d'Amazon Trust Services. Reportez-vous au référentiel d'Amazon Trust Services pour consulter les dernières versions.

Q : Un certificat établi pour le domaine www.exemple.com fonctionnera-t-il également pour le domaine exemple.com ?

Non. Si vous voulez que votre site soit référencé par les deux noms de domaine (www.exemple.com et exemple.com), vous devez demander un certificat qui inclut les deux noms.

Q : Comment le service ACM peut-il aider mon organisation à satisfaire les exigences en matière de conformité ?

ACM vous aide à respecter les exigences réglementaires en facilitant l'établissement de connexions sécurisées, une exigence commune à de nombreux programmes de conformité tels que PCI, FedRAMP et HIPAA. Pour obtenir des informations spécifiques sur la conformité, rendez-vous sur http://aws.amazon.com/compliance.

Q : Le service ACM est-il soumis à un accord de niveau de service (SLA) ?

Non, le service ACM n'est soumis à aucun accord de niveau de service. 

Q : Le service ACM fournit-il un sceau de site sécurisé ou un logo de confiance que je peux afficher sur mon site Web ?

Non. Si vous souhaitez utiliser un sceau sur votre site, vous pouvez en obtenir un auprès d'un fournisseur tiers. Nous vous recommandons de choisir un fournisseur qui évalue et certifie la sécurité de votre site, ou vos pratiques commerciales, ou bien les deux.

Q : Est-il permis d'utiliser les marques de commerce ou le logo d'Amazon comme badge de certification, sceau de site ou logo de confiance ?

Non. Les sceaux et les badges de ce type peuvent être copiés sur des sites qui ne font pas appel au service ACM et utilisés de façon inappropriée pour instaurer la confiance sous de faux prétextes. Pour protéger nos clients et la réputation d'Amazon, nous n'autorisons pas l'utilisation de notre logo de cette manière.

 

Q : Comment allouer un certificat public à partir d'ACM ?

Vous pouvez utiliser AWS Management Console, la CLI AWS ou les API/SDK ACM. Pour utiliser AWS Management Console, accédez à Certificate Manager, choisissez Request a Certificate, sélectionnez Request a public certificate, indiquez le nom de domaine de votre site et suivez les instructions à l'écran pour terminer votre demande. Vous pouvez ajouter des noms de domaine supplémentaires à votre demande si les utilisateurs peuvent accéder à votre site en utilisant d'autres noms. Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous écrivez un enregistrement dans la configuration DNS publique de votre domaine pour établir que vous détenez ou contrôlez le domaine. Après avoir utilisé la validation DNS pour établir le contrôle de votre domaine, vous pouvez obtenir des certificats supplémentaires et demander à ACM de renouveler des certificats existants pour le domaine tant que l'enregistrement reste en place et que le certificat est en cours d'utilisation. Vous n'avez pas à valider à nouveau le contrôle du domaine. Si vous optez pour la validation par e-mail plutôt que pour la validation DNS, des e-mails sont envoyés au propriétaire de domaine pour lui demander d'approuver l'émission du certificat. Après la validation de chaque nom de domaine de votre demande, le certificat est émis et prêt à être mis en service avec d'autres services AWS comme Elastic Load Balancing ou Amazon CloudFront. Pour plus d'informations, consultez la documentation ACM.

Q : Pourquoi est-ce qu'ACM valide la propriété de domaine pour les certificats publics ?

Les certificats sont utilisés pour établir l'identité de votre site et des connexions sécurisées entre les navigateurs et les applications et votre site. Pour émettre un certificat approuvé publiquement, Amazon doit vérifier que le demandeur contrôle le nom de domaine inclus dans la demande de certificat.

Q : Comment le service ACM valide-t-il la propriété d'un domaine avant d'émettre un certificat public pour ce domaine ?

Avant d'émettre un certificat, ACM vérifie que vous détenez ou contrôlez les noms de domaine inclus dans votre demande de certificat. Lors de la demande de certificat, vous avez le choix entre deux méthodes : la validation DNS et la validation par e-mail. Avec la validation DNS, vous pouvez valider la propriété du domaine en ajoutant un enregistrement CNAME à votre configuration DNS. Pour plus d'informations, consultez la section Validation DNS. Si vous ne pouvez pas écrire d'enregistrements dans la configuration DNS publique de votre domaine, vous pouvez utiliser la validation par e-mail au lieu de la validation DNS. Avec la validation par e-mail, ACM envoie des e-mails au propriétaire de domaine enregistré. Ce dernier ou un représentant autorisé peut alors approuver l'émission pour chaque nom de domaine inclus dans la demande de certificat. Pour plus d'informations, consultez la section Validation par e-mail.

Q : Quelle méthode de validation dois-je employer pour mon certificat public : DNS ou e-mail ?

Nous vous recommandons d'utiliser la validation DNS si vous pouvez modifier la configuration DNS de votre domaine. Les clients qui ne peuvent pas recevoir d'e-mails de validation d'ACM et ceux qui utilisent un serveur d'inscription qui ne publie pas l'adresse e-mail du propriétaire de domaine dans WHOIS doivent utiliser la validation DNS. Si vous ne pouvez pas modifier votre configuration DNS, vous devez utiliser la validation par e-mail.

Q : Puis-je passer de la validation par e-mail à la validation DNS pour un certificat public existant ?

Non, mais vous pouvez demander un nouveau certificat gratuit à ACM et choisir la validation DNS pour ce dernier.

Q : Combien de temps prend l'émission d'un certificat public ?

L'émission d'un certificat, après la validation de tous les noms de domaine d'une demande de certificat, peut prendre plusieurs heures voire plus.

Q : Que se passe-t-il lorsque je demande un certificat public ?

ACM tente de valider la propriété ou le contrôle de chaque nom de domaine inclus dans votre demande de certificat, selon la méthode de validation que vous avez choisie (validation DNS ou validation par e-mail). L'état de la demande de certificat est Pending validation lorsqu'ACM cherche à vérifier que vous détenez ou contrôlez le domaine. Consultez les sections Validation DNS et Validation par e-mail ci-dessous pour obtenir plus d'informations sur le processus de validation. Une fois tous les noms de domaine de la demande de certificat validés, l'émission des certificats peut prendre plusieurs heures ou plus. Lors de l'émission du certificat, l'état de la demande de certificat devient alors Issued et vous pouvez commencer à utiliser le certificat avec d'autres services AWS intégrés à ACM.

Q : Est-ce qu'ACM vérifie les enregistrements DNS Certificate Authority Authorization (CAA) avant d'émettre des certificats publics ?

Oui. Les archives de l'autorisation de l'autorité de certification (CAA) DNS permettent aux propriétaires de domaine d'indiquer quelles autorités de certification sont autorisées à émettre des certificats pour leur domaine. Lorsque vous demandez un certificat ACM, AWS Certificate Manager recherche une archive CAA dans la configuration de zone DNS pour votre domaine. Si aucune archive CAA n'est présente, Amazon peut alors émettre un certificat pour votre domaine. Beaucoup de clients se retrouvent dans cette catégorie.

Si votre configuration DNS contient une archive CAA, cette dernière doit spécifier l'un des CA suivants avant qu'Amazon puisse émettre un certificat pour votre domaine : amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Pour en savoir plus, consultez les sections Configuration d'un enregistrement CAA ou Résoudre des problèmes liés à la CAA du Guide de l'utilisateur AWS Certificate Manager.

Q : Le service ACM prend-il en charge d'autres méthodes de validation de domaine ?

Pas à l'heure actuelle.

Q : Qu'est-ce que la validation DNS ?

Avec la validation DNS, vous pouvez valider la propriété d'un domaine en ajoutant un enregistrement CNAME à votre configuration DNS. La validation DNS vous permet facilement d'établir que vous détenez un domaine lorsque vous demandez des certificats publics SSL/TLS à ACM.

Q : Quels sont les avantages de la validation DNS ?

La validation DNS vous permet de valider facilement que vous détenez ou contrôlez un domaine de manière à obtenir un certificat SSL/TLS. Avec la validation DNS, il vous suffit d'écrire un enregistrement CNAME dans votre configuration DNS pour établir le contrôle de votre nom de domaine. Pour simplifier le processus de validation DNS, la console de gestion ACM peut configurer des enregistrements DNS pour vous si vous gérez vos enregistrements DNS avec Amazon Route 53. Vous pouvez ainsi facilement établir le contrôle de votre nom de domaine en quelques clics. Une fois l'enregistrement CNAME configuré, ACM renouvelle automatiquement les certificats utilisés (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place. Les renouvellements sont entièrement automatiques.

Q : Qui doit utiliser la validation DNS ?

Toute personne demandant un certificat à ACM et en mesure de modifier la configuration DNS du domaine demandé doit envisager d'utiliser la validation DNS.

Q : Le service ACM prend-il toujours en charge la validation par e-mail ?

Oui. ACM continue de prendre en charge la validation par e-mail pour les clients qui ne sont pas en mesure de modifier leur configuration DNS.

Q : Quels enregistrements dois-je ajouter à ma configuration DNS pour valider un domaine ?

Vous devez ajouter un enregistrement CNAME pour le domaine que vous souhaitez valider. Par exemple, pour valider le nom www.exemple.com, vous ajoutez un enregistrement CNAME à la zone correspondant à exemple.com. L'enregistrement que vous ajoutez contient un jeton unique qu'ACM génère spécifiquement pour votre domaine et pour votre compte AWS. Vous pouvez obtenir les deux parties de l'enregistrement CNAME (le nom et l'étiquette) auprès d'ACM. Pour plus d'instructions, consultez le Guide de l'utilisateur ACM.

Q : Comment ajouter ou modifier des enregistrements DNS pour mon domaine ?

Pour en savoir plus sur l'ajout ou la modification d'enregistrements DNS, consultez votre fournisseur DNS. La documentation du service DNS Amazon Route 53 fournit de plus amples informations pour les clients qui utilisent le service DNS Amazon Route 53.

Q : Le service ACM peut-il simplifier la validation DNS pour les clients du service DNS Amazon Route 53 ?

Oui. Pour les clients qui utilisent le service DNS Amazon Route 53 pour gérer les enregistrements DNS, la console ACM peut permettre d'ajouter des enregistrements à votre configuration DNS pour vous lorsque vous demandez un certificat. La zone hébergée DNS Route 53 de votre domaine doit être configurée sur le même compte AWS que celui depuis lequel vous effectuez la demande, et vous devez disposer des autorisations suffisantes pour modifier votre configuration Amazon Route 53. Pour plus d'instructions, consultez le Guide de l'utilisateur d'ACM.

Q : La validation DNS exige-t-elle de faire appel à un fournisseur DNS particulier ?

Non. Vous pouvez utiliser la validation DNS avec n'importe quel fournisseur DNS tant qu'il vous permet d'ajouter un enregistrement CNAME à votre configuration DNS.

Q : De combien d'enregistrements DNS ai-je besoin pour obtenir plusieurs certificats pour le même domaine ?

Un seul. Vous pouvez obtenir plusieurs certificats pour le même nom de domaine dans le même compte AWS en utilisant un seul enregistrement CNAME. Par exemple, si vous effectuez deux demandes de certificat depuis le même compte AWS pour le même nom de domaine, vous n'avez besoin que d'un seul enregistrement DNS CNAME.

Q : Puis-je valider plusieurs noms de domaine avec le même enregistrement CNAME ?

Non. Chaque nom de domaine doit posséder un enregistrement CNAME unique.

Q : Puis-je valider un nom de domaine contenant des caractères génériques à l'aide de la validation DNS ?

Oui.

Q : Comment le service ACM crée-t-il des enregistrements CNAME ?

Les enregistrements DNS CNAME se composent de deux éléments : un nom et une étiquette. Le nom d'un enregistrement CNAME généré par ACM comprend un caractère de soulignement (_) suivi d'un jeton (une chaîne de caractères unique liée à votre compte AWS et à votre nom de domaine). ACM ajoute le caractère de soulignement et le jeton à votre nom de domaine pour créer le nom. ACM crée l'étiquette à partir d'un caractère de soulignement ajouté à un autre jeton également lié à votre compte AWS et à votre nom de domaine. ACM ajoute le caractère de soulignement et le jeton à un nom de domaine DNS utilisé par AWS pour les validations : acm-validations.aws. Les exemples suivants montrent le format des enregistrements CNAME des domaines www.example.com, subdomain.example.com et *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Notez qu'ACM supprime l'étiquette générique (*) lors de la génération des enregistrements CNAME pour les noms contenant des caractères génériques. Ainsi, l'enregistrement CNAME généré par ACM pour un nom générique (comme *.example.com) est le même enregistrement que celui renvoyé pour le nom de domaine sans l'étiquette générique (example.com).

Q : Puis-je valider tous les sous-domaines à l'aide d'un seul enregistrement CNAME ?

Non. Chaque nom de domaine, y compris les noms d'hôte et les noms de sous-domaine, doit être validé séparément à l'aide d'un enregistrement CNAME unique.

Q : Pourquoi le service ACM utilise-t-il des enregistrements CNAME pour la validation DNS au lieu d'enregistrements TXT ?

L'utilisation d'un enregistrement CNAME permet à ACM de renouveler les certificats tant que l'enregistrement CNAME existe. L'enregistrement CNAME pointe vers un enregistrement TXT inclus dans un domaine AWS (acm-validations.aws) qu'ACM peut mettre à jour si nécessaire pour valider ou revalider un nom de domaine, sans qu'aucune action de votre part ne soit nécessaire.

Q : La validation DNS fonctionne-t-elle dans toutes les régions AWS ?

Oui. Vous pouvez créer un enregistrement DNS CNAME et l'utiliser pour obtenir des certificats sur le même compte AWS dans toutes les régions AWS dans lesquelles ACM est disponible. Configurez l'enregistrement CNAME une seule fois pour obtenir des certificats émis et renouvelés depuis ACM pour ce nom sans créer un autre enregistrement.

Q : Puis-je choisir différentes méthodes de validation dans le même certificat ?

Non. Vous ne pouvez utiliser qu'une seule méthode de validation pour chaque certificat.

Q : Comment renouveler un certificat approuvé par la validation DNS ?

ACM renouvelle automatiquement les certificats en cours d'utilisation (associés à d'autres ressources AWS) tant que l'enregistrement de la validation DNS reste en place.

Q : Puis-je révoquer l'autorisation d'émission de certificats pour mon domaine ?

Oui. Il suffit de supprimer l'enregistrement CNAME. ACM n'émet ou ne renouvelle pas de certificats pour votre domaine à l'aide de la validation DNS une fois que vous avez supprimé l'enregistrement CNAME et que la modification a été diffusée via le DNS. Le délai de propagation de la suppression de l'enregistrement dépend de votre fournisseur DNS.

Q : Que se passe-t-il si je supprime l'enregistrement CNAME ?

ACM ne peut émettre ni renouveler de certificats pour votre domaine à l'aide de la validation DNS si vous supprimez l'enregistrement CNAME.

Q : Qu'est-ce que la validation par e-mail ?

Avec la validation par e-mail, une demande d'approbation est envoyée au propriétaire de domaine enregistré pour chaque nom de domaine inclus dans la demande de certificat. Le propriétaire de domaine ou un représentant autorisé (approbateur) peut approuver la demande de certificat en suivant les instructions contenues dans l'e-mail. Les instructions demandent à l'approbateur d'accéder au site Web d'approbation en cliquant sur le lien contenu dans l'e-mail ou en le copiant dans un navigateur. L'approbateur vérifie les informations associées à la demande de certificat, telles que le nom de domaine, l'ID de certificat (ARN) et l'ID de compte AWS à l'origine de la demande, puis approuve la demande si les informations sont exactes.

Q : Lorsque je demande un certificat et que je choisis la validation par e-mail, à quelles adresses e-mail la demande d'approbation de certificat est-elle envoyée ?

Lorsque vous demandez un certificat à l'aide de la validation par e-mail, une recherche WHOIS est exécutée pour chaque nom de domaine de la demande de certificat afin de récupérer les coordonnées du domaine. Un e-mail est envoyé au titulaire du nom de domaine, au contact administratif et au contact technique indiqués pour le domaine. Un e-mail est également envoyé à cinq adresses électroniques spéciales, créées en ajoutant les préfixes admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domaine demandé. Par exemple, si vous demandez un certificat pour serveur.exemple.com, un e-mail est envoyé au titulaire du nom de domaine, au contact technique et au contact administratif à l'aide des coordonnées renvoyées par une requête WHOIS pour le domaine exemple.com, plus admin@serveur.exemple.com, administrator@serveur.exemple.com, hostmaster@serveur.exemple.com, postmaster@serveur.exemple.com et webmaster@serveur.exemple.com.

Les cinq adresses électroniques spéciales sont conçues différemment pour les noms de domaine commençant par « www » et les noms génériques commençant par un astérisque (*). ACM supprime le « www » ou l'astérisque en en-tête, et un e-mail est envoyé aux adresses administratives formées en ajoutant les préfixes admin@, administrator@, hostmaster@, postmaster@ et webmaster@ au reste du nom de domaine. Ainsi, si vous demandez un certificat pour www.exemple.com, un e-mail est envoyé aux contacts WHOIS, comme décrit précédemment, et à admin@exemple.com au lieu de admin@www.exemple.com. Les quatre adresses électroniques spéciales sont formées de la même manière.

Après avoir demandé un certificat, vous pouvez afficher la liste des adresses e-mail auxquelles un e-mail a été envoyé pour chaque domaine à l'aide de la console ACM, de la CLI AWS ou d'API.

Q : Puis-je configurer les adresses e-mail auxquelles la demande d'approbation de certificat est envoyée ?

Non, mais vous pouvez configurer le nom de domaine de base auquel vous souhaitez que l'e-mail de validation soit envoyé. Le nom de domaine de base doit être un superdomaine du nom de domaine de la demande de certificat. Par exemple, si vous souhaitez demander un certificat pour serveur.domaine.exemple.com, mais que vous souhaitez envoyer l'e-mail d'approbation à admin@domaine.exemple.com, vous pouvez le faire à l'aide de la CLI ou de l'API AWS. Pour plus d'informations, consultez le document de référence sur la CLI ACM et le document de référence sur l'API ACM.

Q : Puis-je utiliser des domaines qui disposent de coordonnées de proxy (par exemple, Privacy Guard ou WhoisGuard) ?

Oui, cependant, l'envoi d'e-mails peut être retardé en raison du proxy. Les e-mails envoyés via un proxy peuvent se retrouver dans le dossier des courriers indésirables. Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Q : Le service ACM peut-il valider mon identité à l'aide du contact technique de mon compte AWS ?

Non. Les procédures et politiques de validation de l'identité du propriétaire de domaine sont très strictes et déterminées par CA/Browser Forum, une organisation qui établit des normes pour des autorités de certification approuvées publiquement. Pour en savoir plus, consultez la dernière déclaration des pratiques de certification d'Amazon Trust Services dans le référentiel Amazon Trust Services.

Q : Que faire si je ne reçois pas l'e-mail d'approbation ?

Consultez le Guide de l'utilisateur d'ACM pour des suggestions de dépannage.

Q : Comment les clés privées des certificats fournis par ACM sont-elles gérées ?

Une paire de clés est créée pour chaque certificat fourni par ACM. ACM est conçu pour protéger et gérer les clés privées utilisées avec les certificats SSL/TLS. Un chiffrement avancé et de bonnes pratiques de gestion des clés sont utilisés lors de la protection et du stockage des clés privées.

Q : Le service ACM copie-t-il les certificats dans plusieurs régions AWS ?

Non. La clé privée de chaque certificat ACM est stockée dans la région dans laquelle vous demandez le certificat. Par exemple, lorsque vous obtenez un nouveau certificat dans la région USA Est (Virginie du Nord), ACM stocke la clé privée dans cette même région. Les certificats ACM sont uniquement copiés dans plusieurs régions si le certificat est associé à une distribution CloudFront. Dans ce cas, CloudFront distribue le certificat ACM vers les emplacements géographiques configurés pour votre distribution.

Q : Qu'est-ce que la fonction gérée du renouvellement et du déploiement d'ACM ?

La fonction gérée du renouvellement et du déploiement d'ACM gère le processus de renouvellement des certificats SSL/TLS fournis par ACM et le déploiement des certificats après leur renouvellement.

Q : Quels sont les avantages de la fonction gérée du renouvellement et du déploiement d'ACM ?

ACM peut gérer le renouvellement et le déploiement des certificats SSL/TLS à votre place. Grâce à ACM, la configuration et le maintien des certificats SSL/TLS d'un service Web sécurisé ou d'une application sont plus solides sur le plan opérationnel que les processus manuels qui peuvent être sources d'erreurs. La fonction de gestion du renouvellement et du déploiement peut vous aider à éviter les temps d'arrêts dus à l'expiration de certificats. En effet, ACM fonctionne comme un service intégré aux autres services AWS. Cela signifie que vous pouvez gérer et déployer de façon centralisée des certificats sur la plate-forme AWS à l'aide de la console de gestion AWS, de la CLI AWS ou d'API. Avec la CA privée, vous pouvez créer des certificats privés et les exporter. ACM renouvelle les certificats exportés, ce qui permet à votre code d'automatisation côté client de les télécharger et de les déployer. 

Q : Quels certificats ACM peuvent être renouvelés et déployés automatiquement ?

Certificats publics

Le service ACM peut renouveler et déployer les certificats ACM publics qu'il fournit sans qu'une autre validation ne soit nécessaire de la part du propriétaire de domaine. Si un certificat ne peut être renouvelé sans une validation supplémentaire, ACM gère le processus de renouvellement en validant la propriété ou le contrôle du domaine pour chaque nom de domaine du certificat. Une fois que chaque nom de domaine du certificat a été validé, ACM renouvelle le certificat et le déploie automatiquement avec vos ressources AWS. Si ACM ne peut pas valider la propriété du domaine, nous en informons le propriétaire du compte AWS.

Si vous avez choisi la validation DNS pour votre demande de certificat, ACM peut renouveler votre certificat indéfiniment, sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place. Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat, vous pouvez améliorer la capacité de renouvellement et de déploiement automatiques des certificats du service ACM en vous assurant que le certificat est en cours d'utilisation, que tous les noms de domaine qu'il contient peuvent être résolus sur votre site et qu'ils sont accessibles via Internet.

Certificats privés

ACM fournit deux options pour gérer les certificats privés émis avec AWS Private CA. ACM fournit différentes capacités de renouvellement et de déploiement en fonction de la façon dont vous gérez vos certificats privés. Vous pouvez choisir la meilleure option de gestion pour chaque certificat privé que vous émettez.

1) ACM peut automatiser entièrement le renouvellement et le déploiement de certificats privés émis avec AWS Private CA et utilisés avec des services intégrés à ACM, comme Elastic Load Balancing et API Gateway. ACM peut renouveler et déployer des certificats privés créés et gérés dans ACM tant que la Private CA qui a émis le certificat conserve un statut actif.

2) Pour pouvoir utiliser les certificats privés que vous exportez depuis ACM avec des ressources sur site, des instances EC2 et des appareils IoT, ACM renouvelle votre certificat automatiquement. Vous êtes responsable de la récupération du nouveau certificat et de la nouvelle clé privée et de les déployer avec votre application.

Q : Quand le service ACM renouvelle-t-il les certificats ?

Le processus de renouvellement commence au plus tôt 60 jours avant la date d'expiration du certificat. La période de validité des certificats ACM est actuellement de 13 mois (395 jours). Consultez le guide de l'utilisateur ACM pour en savoir plus sur le renouvellement géré.

Q : Serai-je informé avant le renouvellement de mon certificat et m'avertira-t-on du déploiement du nouveau certificat ?

Non. ACM peut renouveler ou recomposer le certificat et remplacer l'ancien par un nouveau sans préavis.

Q : Le service ACM peut-il renouveler les certificats publics contenant des domaines nus tels que « exemple.com » (également appelés zone apex ou domaines nus) ?

Si vous avez choisi la validation DNS pour votre demande de certificat public, ACM peut renouveler votre certificat sans aucune action de votre part, tant que le certificat est en cours d'utilisation (associé à d'autres ressources AWS) et que votre enregistrement CNAME reste en place.

Si vous avez sélectionné la validation par e-mail lors de votre demande de certificat public contenant un domaine nu, assurez-vous que la recherche DNS du domaine nu est résolue vers la ressource AWS associée au certificat. La résolution du domaine nu vers une ressource AWS peut être difficile, à moins que vous n'utilisiez Route 53 ou un autre fournisseur DNS prenant en charge les enregistrements de ressources alias (ou leur équivalent) pour le mappage des domaines nus aux ressources AWS. Pour plus d'informations, consultez le guide du développeur Route 53.

Q : Mon site abandonne-t-il les connexions existantes lorsque le service ACM déploie le certificat renouvelé ?

Non, les connexions établies après le déploiement du nouveau certificat utilisent le nouveau certificat et les connexions existantes ne sont pas affectées.

Q : Puis-je utiliser le même certificat avec plusieurs équilibreurs de charge Elastic Load Balancing et plusieurs distributions CloudFront ?

Oui.

Q : Puis-je utiliser les certificats publics pour des équilibreurs de charges Elastic Load Balancing internes sans accès public à Internet ?

Oui, mais vous pouvez également envisager d'utiliser AWS Private CA pour émettre des certificats privés qu'ACM peut renouveler sans validation. Consultez la section Fonction de gestion du renouvellement et du déploiement pour en savoir plus sur la manière dont ACM gère le renouvellement des certificats publics qui ne sont pas accessibles depuis l'Internet et des certificats privés.

Q : Puis-je vérifier l'utilisation des clés privées de certificat ?

Oui. A l'aide d'AWS CloudTrail, vous pouvez consulter des journaux qui vous indiquent quand la clé privée du certificat a été utilisée.

Q : Quelles informations de journalisation sont disponibles dans AWS CloudTrail ?

Vous pouvez identifier les utilisateurs et les comptes qui ont appelé les API AWS pour des services prenant en charge AWS CloudTrail, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Par exemple, vous pouvez savoir quel utilisateur a appelé une API pour associer un certificat fourni par ACM à Elastic Load Balancer, et à quel moment le service Elastic Load Balancing a déchiffré la clé en appelant une API KMS.

Q : Quels sont les frais encourus et comment mon utilisation des certificats ACM va-t-elle m'être facturée ?

Les certificats publics et privés mis en service via AWS Certificate Manager pour être utilisés avec des services intégrés ACM, comme les services Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway sont gratuits. Vous payez pour les ressources AWS que vous créez pour exécuter votre application. AWS Private CA propose une tarification progressive ; consultez la page de tarification de AWS Private CA pour plus de détails et d'exemples.

Q : Où puis-je trouver des informations sur AWS Private CA ?

Veuillez consulter les questions fréquentes sur AWS Private CA, pour toute question relative à l'utilisation d'AWS Private CA.