Umum

T: Apa itu AWS Certificate Manager (ACM)?

AWS Certificate Manager adalah layanan yang memungkinkan Anda dengan mudah menyediakan, mengelola, dan menerapkan sertifikat Secure Socket Layer/Transport Layer Security (SSL/TLS) untuk digunakan bersama layanan AWS serta sumber daya internal yang tersambung. Sertifikat SSL/TLS digunakan untuk mengamankan komunikasi jaringan dan membuat identitas situs web melalui Internet serta sumber daya pada jaringan pribadi. AWS Certificate Manager mengurangi proses pembelian, pengunggahan, dan perpanjangan sertifikat SSL/TLS manual yang membuang-buang waktu. Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, menerapkannya pada sumber daya AWS seperti Elastic Load Balancer, distribusi Amazon CloudFront, serta API Gateway, dan memungkinkan AWS Certificate Manager mengelola perpanjangan sertifikat. Layanan ini juga memungkinkan Anda membuat sertifikat pribadi untuk sumber daya internal dan mengelola siklus aktif sertifikat tersebut secara terpusat. Sertifikat SSL/TLS publik dan privat yang tersedia melalui AWS Certificate Manager dan digunakan secara khusus dengan layanan terintegrasi ACM seperti Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway tidak dikenakan biaya. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi Anda. Anda membayar biaya bulanan untuk operasional setiap CA privat sampai Anda menghapusnya dan untuk sertifikat privat yang Anda keluarkan dan tidak digunakan secara khusus dengan layanan terintegrasi ACM.

T: Apa itu sertifikat SSL/TLS?

Sertifikat SSL/TLS memungkinkan browser web mengidentifikasi dan menerapkan koneksi jaringan terenkripsi ke situs web menggunakan protokol Secure Sockets Layer/Transport Layer Security (SSL/TLS). Sertifikat digunakan di dalam sistem kriptografik yang dikenal sebagai infrastruktur utama publik (PKI). PKI memberikan cara bagi satu pihak untuk menetapkan identitas pihak lain menggunakan sertifikat jika keduanya memercayai pihak ketiga - yang dikenal sebagai otoritas sertifikat. Topik Konsep dalam Panduan Pengguna ACM memberikan informasi latar belakang dan definisi tambahan.

T: Apa itu sertifikat privat?

Sertifikat privat mengidentifikasi sumber daya di dalam organisasi, seperti aplikasi, layanan, perangkat, dan pengguna. Dalam menetapkan saluran komunikasi yang dienkripsi, setiap titik akhir menggunakan sertifikat dan teknik kriptografik untuk membuktikan identitasnya pada titik akhir lain. Titik akhir API internal, server web, pengguna VPN, perangkat IoT, dan banyak aplikasi lain menggunakan sertifikat privat untuk menetapkan saluran komunikasi terenkripsi yang perlu bagi operasi aman mereka.

T: Apa perbedaan sertifikat publik dan privat?

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet publik, sementara sertifikat privat melakukan hal yang sama untuk jaringan privat. Satu perbedaan utama adalah aplikasi dan browser memercayai sertifikat publik secara otomatis dan default, sementara administrator harus mengonfigurasi aplikasi secara eksplisit untuk memercayai sertifikat privat. CA Publik, entitas yang menerbitkan sertifikat publik, harus mematuhi peraturan yang ketat, memberikan visibilitas operasional, dan memenuhi standar keamanan yang diberlakukan oleh browser dan vendor sistem operasi yang menentukan CA mana yang dipercayai browser dan sistem operasi secara otomatis. CA Privat dikelola oleh organisasi swasta, dan administrator CA privat dapat membuat peraturan mereka sendiri dalam menerbitkan sertifikat privat, termasuk praktik untuk menerbitkan sertifikat dan informasi apa yang dapat disertakan dalam sertifikat. Baca ACM Private Certificate Authority di bawah ini untuk mempelajari selengkapnya tentang sertifikat privat dan CA privat.

T: Apa keuntungan menggunakan AWS Certificate Manager (ACM) dan ACM Private Certificate Authority (CA)?

ACM mempermudah mengaktifkan SSL/TLS untuk situs web atau aplikasi pada platform AWS. ACM mengurangi banyak proses manual yang sebelumnya terkait dengan penggunaan dan pengelolaan sertifikat SSL/TLS. ACM juga dapat membantu Anda menghindari waktu henti karena sertifikat yang salah konfigurasi, dicabut, atau habis masa berlakunya dengan mengelola perpanjangan. Anda mendapatkan perlindungan SSL/TLS dan manajemen sertifikat yang mudah. Mengaktifkan SSL/TLS untuk situs yang dihubungi melalui Internet dapat membantu meningkatkan tingkat pencarian situs Anda dan membantu memenuhi persyaratan kepatuhan peraturan untuk mengenkripsi data dalam transit.

Saat Anda menggunakan ACM untuk mengelola sertifikat, kunci privat sertifikat dilindungi dengan aman dan disimpan menggunakan enkripsi kuat serta praktik terbaik manajemen utama. ACM memungkinkan Anda menggunakan AWS Management Console, AWS CLI, atau API AWS Certificate Manager untuk mengelola semua sertifikat SSL/TLS ACM dalam Wilayah AWS secara terpusat. ACM terintegrasi dengan layanan AWS lainnya, sehingga Anda dapat mengajukan permintaan sertifikat SSL/TLS dan menyediakannya dengan penyeimbang muatan Elastic Load Balancing Anda atau distribusi Amazon CloudFront dari AWS Management Console, melalui perintah AWS CLI atau dengan panggilan API.

ACM Private CA adalah layanan CA pribadi terkelola yang membantu Anda mengelola siklus aktif sertifikat pribadi dengan mudah dan aman. ACM Private CA memberi Anda layanan CA pribadi sangat tersedia tanpa investasi di muka serta biaya operasi pemeliharaan berkelanjutan atas CA pribadi Anda sendiri. ACM Private CA memperluas kemampuan manajemen sertifikat ACM ke sertifikat pribadi, memungkinkan Anda mengelola sertifikat publik dan pribadi secara terpusat. ACM Private CA memungkinkan pengembang menjadi lebih lincah dengan menyediakan API untuk membuat dan menerapkan sertifikat pribadi secara terprogram. Anda juga memiliki fleksibilitas membuat sertifikat pribadi untuk aplikasi yang memerlukan masa aktif sertifikat atau nama sumber daya kustom. Dengan ACM Private CA, Anda dapat membuat, mengelola, dan melacak sertifikat privat untuk sumber daya terkoneksi Anda dalam satu tempat dengan layanan CA privat yang aman, bayar sesuai pemakaian, dan terkelola.

Administrator CA dapat menggunakan ACM Private CA untuk membuat hierarki CA lengkap, termasuk CA akar dan subordinat online, tanpa memerlukan CA eksternal. Hierarki CA memberikan kontrol keamanan dan akses terbatas yang kuat untuk CA akar paling tepercaya pada rantai kepercayaan teratas, sembari mengizinkan akses yang bersifat lebih terbuka dan penerbitan sertifikat massal untuk CA subordinat yang lebih rendah pada rantai tersebut. Pelanggan dapat membuat CA yang aman dan selalu tersedia tanpa membangun dan mengelola infrastruktur CA di lokasi.

 

T: Jenis sertifikat apa yang dapat saya buat dan kelola dengan ACM?

ACM memungkinkan Anda mengelola siklus aktif sertifikat publik dan privat Anda. Kemampuan ACM tergantung dari apakah sertifikat publik atau privat, cara Anda mendapatkan sertifikat, dan di mana Anda menerapkannya. Baca Sertifikat Publik ACM untuk mempelajari selengkapnya tentang sertifikat publik dan lihat bagian ACM Private CA di bawah ini untuk mempelajari selengkapnya tentang sertifikat privat dan CA privat.

Sertifikat publik - ACM mengelola perpanjangan dan penerapan sertifikat publik yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway.

Sertifikat privat – ACM Private CA memberikan tiga cara untuk membuat dan mengelola sertifikat privat. 1) Anda dapat memilih untuk mendelegasikan manajemen sertifikat privat kepada ACM. Saat digunakan dengan cara ini, ACM dapat secara otomatis melakukan perpanjangan dan penerapan sertifikat privat yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway. Anda dapat menerapkan sertifikat privat ini dengan mudah menggunakan AWS Management Console, API, dan command-line interface (CLI). 2) Anda dapat mengekspor sertifikat privat dari ACM dan menggunakannya dengan instans EC2, kontainer, server di lokasi, dan perangkat IoT. ACM Private CA memperpanjang secara otomatis sertifikat tersebut dan mengirimkan pemberitahuan Amazon CloudWatch ketika perpanjangan selesai. Anda dapat menulis kode sisi klien untuk mengunduh sertifikat yang telah diperpanjang serta kunci privat dan menerapkannya dengan aplikasi Anda. 3) ACM Private CA memberikan fleksibilitas untuk menciptakan kunci privat Anda sendiri, membuat permintaan penandatanganan sertifikat (CSR), menerbitkan sertifikat privat dari ACM Private CA Anda, serta mengelola sertifikat dan tombol sendiri. Anda bertanggung jawab untuk perpanjangan dan penerapan sertifikat privat tersebut.

Sertifikat yang diimpor – Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan AWS Management Console, AWS CLI, atau ACM API. ACM tidak mengelola proses perpanjangan untuk sertifikat yang diimpor. Anda bertanggung jawab untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan memperpanjangnya sebelum berakhir masa berlakunya. Anda dapat menggunakan AWS Management Console untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

Sertifikat CA – ACM private CA dapat menerbitkan sertifikat untuk mengidentifikasi kewenangan sertifikat privat.  Sertifikat ini memungkinkan administrator CA untuk membuat hierarki CA privat, yang memberikan kontrol keamanan dan akses terbatas yang kuat untuk CA akar paling tepercaya pada rantai kepercayaan teratas, sembari mengizinkan akses yang bersifat lebih terbuka dan penerbitan sertifikat massal untuk CA subordinat yang lebih rendah pada rantai tersebut.

 

T: Bagaimana cara memulai dengan ACM?

Untuk memulai dengan AWS Certificate Manager, masuk ke Certificate Manager dalam AWS Management Console dan gunakan panduan untuk mengajukan permintaan SSL/TLS. Jika Anda telah membuat ACM Private CA, Anda dapat memilih apakah Anda ingin sertifikat publik atau privat, kemudian memasukkan nama situs Anda. Lihat ACM Private CA dan ACM Public Certificates di bawah ini untuk menentukan sertifikat seperti apa yang Anda perlukan dan untuk mempelajari lebih jauh tentang ACM Private CA. Anda juga dapat mengajukan permintaan sertifikat menggunakan AWS CLI atau API. Setelah sertifikat diterbitkan, Anda dapat menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM. Untuk setiap layanan terintegrasi, Anda cukup memilih sertifikat SSL/TLS yang Anda inginkan dari daftar menurun dalam AWS Management Console. Jika tidak, Anda dapat menjalankan perintah AWS CLI atau memanggil AWS API untuk menghubungkan sertifikat tersebut dengan sumber daya Anda. Layanan terintegrasi kemudian akan menerapkan sertifikat pada sumber daya yang Anda pilih. Untuk informasi selengkapnya tentang mengajukan permintaan dan menggunaan sertifikat yang disediakan oleh AWS Certificate Manager, kunjungi Persiapan dalam Panduan Pengguna AWS Certificate Manager. Selain menggunakan sertifikat privat dengan layanan terintegrasi ACM, Anda juga dapat menggunakan sertifikat privat pada instans EC2, pada kontainer ECS, atau di mana saja. Lihat Sertifikat Privat untuk detail selengkapnya.

T: Dengan layanan AWS mana saya dapat menggunakan sertifikat ACM?

Anda dapat menggunakan sertifikat ACM publik dan privat dengan layanan AWS berikut:
• Elastic Load Balancing – Baca Dokumentasi Elastic Load Balancing
• Amazon CloudFront – Baca Dokumentasi CloudFront
• Amazon API Gateway – Baca Dokumentasi API Gateway
• AWS Elastic Beanstalk – Baca dokumentasi AWS Elastic Beanstalk
• AWS CloudFormation – Dukungan saat ini terbatas pada sertifikat yang menggunakan validasi email. Baca dokumentasi AWS CloudFormation 

Selain itu, Anda dapat menggunakan sertifikat privat yang diterbitkan dengan ACM Private CA dengan instans EC2, kontainer, perangkat IoT, dan pada server Anda sendiri.

T: Di Wilayah mana ACM tersedia?

Silakan kunjungi halaman AWS Global Infrastructure untuk melihat ketersediaan Wilayah saat ini untuk layanan AWS. Untuk menggunakan sertifikat ACM dengan Amazon CloudFront, Anda harus mengajukan permintaan atau mengimpor sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di wilayah ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasi untuk distribusi tersebut.

ACM Private Certificate Authority (CA)

T: Apa itu ACM Private CA?

Sertifikat pribadi digunakan untuk mengidentifikasi dan mengamankan komunikasi antara sumber daya terhubung pada jaringan pribadi seperti server, perangkat seluler serta IoT, dengan aplikasi. ACM Private CA adalah layanan CA pribadi terkelola yang membantu Anda mengelola siklus aktif sertifikat pribadi dengan mudah dan aman. ACM Private CA memberi Anda layanan CA pribadi sangat tersedia tanpa investasi di muka serta biaya operasi pemeliharaan berkelanjutan atas CA pribadi Anda sendiri. ACM Private CA memperluas kemampuan manajemen sertifikat ACM ke sertifikat pribadi, memungkinkan Anda menciptakan dan mengelola sertifikat publik dan pribadi secara terpusat. Anda dapat dengan mudah membuat dan menerapkan sertifikat privat untuk sumber daya AWS Anda menggunakan AWS Management Console atau ACM API. Untuk instans EC2, kontainer, perangkat IoT, dan sumber daya di lokasi, Anda dapat membuat dan melacak sertifikat privat dengan mudah dan menggunakan kode automasi sisi klien Anda sendiri untuk menerapkannya. Anda juga memiliki fleksibilitas membuat sertifikat privat dan mengelolanya sendiri untuk aplikasi yang memerlukan masa aktif sertifikat, algoritme kunci, atau nama sumber daya kustom. Pelajari selengkapnya tentang ACM Private CA

T: Apa itu sertifikat privat?

Sertifikat privat mengidentifikasi sumber daya di dalam organisasi, seperti aplikasi, layanan, perangkat, dan pengguna. Dalam menetapkan saluran komunikasi yang dienkripsi, setiap titik akhir menggunakan sertifikat dan teknik kriptografik untuk membuktikan identitasnya pada titik akhir lain. Titik akhir API internal, server web, pengguna VPN, perangkat IoT, dan banyak aplikasi lain menggunakan sertifikat privat untuk menetapkan saluran komunikasi terenkripsi yang perlu bagi operasi aman mereka. 

T: Apa itu otoritas sertifikat (CA) privat?

CA privat menangani penerbitan, validasi, dan penarikan sertifikat privat di dalam jaringan privat (yaitu jaringan yang bukan internet publik). CA privat terdiri dari dua komponen utama: Yang pertama adalah sertifikat CA, blok penyusun kriptografik yang dapat menerbitkan sertifikat. Yang kedua adalah set layanan durasi untuk mengelola penarikan informasi melalui Daftar Penarikan Sertifikat (CRL). Ketika sumber daya mencoba terhubung satu sama lain, mereka memeriksa status sertifikat CRL yang disediakan setiap entitas. Jika sertifikat tersebut valid, tercapai jabat tangan antara sumber daya yang secara kriptografis membuktikan identitas setiap entitas satu sama lain, dan menciptakan saluran komunikasi terenkripsi (TLS/SSL) di antara mereka.

T: Apa perbedaan sertifikat privat dan CA privat dari sertifikat publik dan CA publik?

Komponen CA privat sama seperti CA publik. Namun, CA publik harus menerbitkan dan memvalidasi sertifikat untuk sumber daya pada Internet publik, sementara CA privat melakukan hal yang sama untuk jaringan privat. Satu perbedaan utama adalah aplikasi dan browser memercayai sertifikat publik secara otomatis dan default, sementara administrator harus mengonfigurasi aplikasi secara eksplisit untuk memercayai sertifikat yang diterbitkan oleh CA privat. CA publik harus mematuhi peraturan yang ketat, memberikan visibilitas operasional, dan memenuhi standar keamanan yang diberlakukan oleh browser dan vendor sistem operasi yang menentukan CA mana yang dipercayai browser dan sistem operasi secara otomatis. Administrator CA privat dapat membuat peraturan mereka sendiri dalam menerbitkan sertifikat privat, termasuk praktik untuk menerbitkan sertifikat dan informasi apa yang dapat disertakan dalam sertifikat.

T: Mengapa organisasi menggunakan sertifikat privat dan bukan sertifikat publik?

Sertifikat privat memberikan fleksibilitas untuk mengidentifikasi hampir semua hal dalam organisasi, tanpa mengungkap nama secara publik. Wiki.internal, alamat IP 192.168.1.1, fire-sensor-123, dan user123 adalah contoh nama yang mungkin digunakan dalam sertifikat privat. Berkebalikan dengan hal tersebut, sertifikat publik terbatas pada mengidentifikasi sumber daya dengan nama DNS publik, seperti www.example.com. Sertifikat privat dapat menyertakan informasi yang dilarang dalam sertifikat publik. Beberapa aplikasi perusahaan telah memanfaatkan kemampuan menambahkan informasi tambahan pada sertifikat privat, dan tidak dapat berfungsi dengan sertifikat publik.

T: Apa itu sertifikat yang ditandatangani sendiri dan mengapa organisasi harus menggunakan sertifikat dari CA privat?

Sertifikat yang ditandai sendiri adalah sertifikat yang diterbitkan tanpa CA. Tidak seperti sertifikat yang diterbitkan dari akar aman yang dikelola oleh CA, sertifikat yang ditandai sendiri bertindak sebagai akar mereka sendiri, dan hasilnya, mereka memiliki batasan signifikan: sertifikat tersebut dapat digunakan untuk menyediakan pada enkripsi berkabel, tetapi tidak untuk memverifikasi identitas, dan tidak dapat ditarik. Sertifikat tersebut tidak dapat diterima dari sudut pandang keamanan, tetapi organisasi tetap menggunakannya karena mudah dibuat, tidak memerlukan keahlian atau infrastruktur, dan banyak aplikasi menerimanya. Tidak perlu ada kontrol untuk menerbitkan sertifikat yang ditandatangani sendiri. Organisasi yang menggunakannya memiliki risiko lebih besar dalam penghentian yang disebabkan oleh masa berlaku sertifikat sudah berakhir karena mereka tidak dapat melacak tanggal masa berlakunya. ACM Private CA menyelesaikan masalah tersebut.

T: Bagaimana cara memulai dengan ACM Private CA?

Untuk memulai dengan ACM Private CA, masuk ke Certificate Manager dalam AWS Management Console dan pilih Private CA pada sisi kiri layar. Pilih Memulai untuk mulai membuat otoritas sertifikat privat. Kunjungi Memulai dalam Panduan Pengguna ACM Private CA untuk mempelajari selengkapnya.

T: Di mana saya dapat mempelajari selengkapnya tentang ACM Private CA?

Lihat halaman Detail ACM Private CA, Panduan Pengguna ACM Private CA, Referensi API ACM Private CA dan ACM dalam Referensi AWS CLI untuk mempelajari selengkapnya.

Hierarki CA Akar

T. Apa itu CA akar?

CA akar adalah blok penyusun kriptografi dan akar kepercayaan tempat sertifikat dapat diterbitkan. CA akar tersusun dari kunci privat untuk menandatangani (menerbitkan) sertifikat dan sertifikat akar yang mengidentifikasi CA akar dan mengikat kunci privat ke nama CA. Sertifikat akar didistribusikan ke penyimpanan kepercayaan pada setiap entitas dalam sebuah lingkungan. Administrator membangun penyimpanan kepercayaan untuk hanya menyertakan CA yang mereka percayai, dan mereka memperbarui atau membangun penyimpanan kepercayaan ke sistem operasi, instans, dan gambar mesin host dari entitas di lingkungan mereka. Ketika sumber daya mencoba terhubung satu sama lain, mereka memeriksa sertifikat yang disediakan setiap entitas. Jika sertifikat tersebut valid dan rantai dapat disusun dari sertifikat ke sertifikat akar yang diinstal di penyimpanan kepercayaan, “jabat tangan” akan tercapai antara sumber daya yang secara kriptografi membuktikan identitas setiap entitas satu sama lain, dan menciptakan saluran komunikasi terenkripsi (TLS/SSL) di antara mereka.

T: Apa itu hierarki CA?

Hierarki CA adalah struktur untuk membuat kewenangan sertifikat. Hierarki CA memberikan kontrol keamanan dan akses terbatas yang kuat untuk CA akar paling tepercaya pada rantai kepercayaan teratas, sembari mengizinkan akses yang bersifat lebih terbuka dan penerbitan sertifikat massal untuk CA subordinat yang lebih rendah pada rantai tersebut.

T: Bagaimana saya bisa menggunakan hierarki CA untuk membangun kepercayaan di sertifikat privat?

Di bawah CA akar pada hierarki CA adalah CA subordinat. CA subordinat dapat langsung menerbitkan sertifikat, bertindak sebagai CA menengah yang menandatangani CA subordinat lain untuk membuat struktur organisasional, bertindak sebagai CA penerbit yang menerbitkan sertifikat entitas akhir, atau bertindak sebagai CA menengah dan penerbit. Setelah akar didistribusikan ke penyimpanan kepercayaan dalam organisasi (lihat “T. Apa itu CA akar?”), sertifikat di mana rantai dapat dibuat menjadi sertifikat akar di penyimpanan kepercayaan juga akan dipercayai. Proses ini disebut validasi jalur sertifikat. Sebuah sertifikat memenuhi deskripsi ini disebut akan “mengikat” ke akar yang dipercaya.

T: Bagaimana CA dalam hierarki yang terkelola?

CA akar dan CA lainnya di dekat bagian teratas hierarki CA biasanya memiliki kebijakan terbatas dalam mengontrol penerbitan sertifikat dan akses administratif. CA ini jarang digunakan serta dikontrol dan diaudit secara ketat, sehingga menghasilkan risiko kerusakan yang lebih rendah. Oleh karena itu, mereka lebih dipercaya. CA akar biasanya memiliki masa pakai lebih lama dibanding CA yang lebih rendah dalam hierarki, sepadan dengan kebijakan isolasi dan kontrol yang mengatur penggunaannya.

T: Di mana tempat yang sesuai untuk ACM Private CA dalam hierarki CA?

ACM Private CA memungkinkan Anda untuk membuat hierarki CA yang lima tingkat lebih dalam, termasuk CA akar, tiga tingkat CA subordinat (menengah), dan satu CA penerbit. Anda juga dapat menyertakan ACM Private CA di hierarki CA Anda dengan CA di lokasi.

T: Apakah saya memerlukan hierarki CA untuk menggunakan ACM Private CA?

Tidak. Anda dapat menerbitkan sertifikat entitas akhir dari CA akar; namun, dalam sebagian besar kasus panggilan praktik terbaik keamanan untuk hierarki CA dengan sedikitnya dua tingkat, termasuk CA akar sebagai akar kepercayaan dan CA subordinat untuk menerbitkan sertifikat entitas akhir. Baca panduan ACM Private CA [Membuat CA] untuk detail selengkapnya.

T: Di mana saya dapat mempelajari selengkapnya tentang ACM Private CA?

Lihat halaman Detail ACM Private CA, Panduan Pengguna ACM Private CA, Referensi API ACM Private CA, dan ACM dalam Referensi AWS CLI untuk mempelajari selengkapnya.

 

Sertifikat ACM

T: Jenis sertifikat seperti apa yang dikelola ACM?

ACM mengelola sertifikat publik, privat, dan impor. Lihat [T: Bagaimana cara mengelola sertifikat dengan ACM?] untuk detail mengenai kemampuan manajemen ACM untuk setiap jenis sertifikat.

T: Apakah ACM dapat menyediakan sertifikat dengan beberapa nama domain?

Ya. Setiap sertifikat harus menyertakan setidaknya satu nama domain, dan Anda dapat menambahkan nama tambahan pada sertifikat jika Anda mau. Sebagai contoh, Anda dapat menambahkan nama “www.example.net” pada sertifikat untuk “www.example.com” jika pengguna dapat menjangkau situs Anda dengan kedua nama itu. Anda harus memiliki atau mengontrol semua nama yang disertakan dalam permintaan sertifikat Anda. 

T: Apa itu nama domain wildcard?

Nama domain wildcard menyesuaikan subdomain atau nama host tingkat pertama apa pun dalam domain. Subdomain tingkat pertama adalah label nama domain tunggal yang tidak berisi titik (dot). Sebagai contoh, Anda dapat menggunakan nama *.example.com untuk melindungi www.example.com, images.example.com, dan nama host atau subdomain tingkat pertama lainnya yang berakhir dengan .example.com. Lihat Panduan Pengguna ACM untuk mengetahui detail lebih lanjut.

T: Apakah ACM dapat menyediakan sertifikat dengan nama domain wildcard?

Ya.

T: Apakah ACM memberikan sertifikat untuk hal lain selain SSL/TLS?

Sertifikat yang dikelola dalam ACM dimaksudkan untuk digunakan dengan SSL/TLS. Jika Anda menerbitkan sertifikat privat langsung dari ACM Private CA serta mengelola kunci dan sertifikat tanpa menggunakan ACM untuk manajemen sertifikat, Anda dapat mengonfigurasi subjek, periode validitas, algoritme kunci, dan algoritme tanda tangan dari sertifikat privat tersebut dan menggunakannya dengan SSL/TLS dan aplikasi lainnya.

T: Apakah saya dapat menggunakan sertifikat ACM untuk penandatanganan kode atau enkripsi email?

Tidak.

T: Apakah ACM memberikan sertifikat yang digunakan untuk mendatangani dan mengenkripsi email (sertifikat S/MIME)?

Tidak pada saat ini.

T: Apakah periode validitas untuk sertifikat ACM?

Sertifikat yang diterbitkan melalui ACM valid selama 13 bulan. Jika Anda menerbitkan sertifikat privat secara langsung dari ACM Private CA dan mengelola kunci serta sertifikat tanpa menggunakan ACM untuk manajemen sertifikat, Anda dapat memilih periode validitas apa pun, termasuk tanggal akhir absolut atau waktu relatif yaitu hari, bulan, atau tahun dari waktu saat ini.

T: Algoritme apa yang digunakan sertifikat ACM?

Sertifikat yang dikelola dalam ACM menggunakan kunci RSA dengan modulus 2048-bit dan SHA-256. Jika Anda menerbitkan sertifikat privat langsung dari ACM Private CA dan mengelola kunci serta sertifikat tanpa ACM untuk manajemen sertifikat, Anda juga dapat menerbitkan dan menggunakan sertifikat eliptik lengkung (ECDSA). ACM saat ini tidak memiliki kemampuan untuk mengelola sertifikat tersebut.

T: Bagaimana cara menarik sertifikat?

Anda dapat mengajukan permintaan ACM untuk menarik sertifikat publik dengan mengunjungi AWS Support Center dan membuat kasus. Untuk menarik sertifikat privat yang diterbitkan oleh ACM Private CA, lihat Panduan Pengguna ACM Private CA. 

T: Apakah saya dapat menyalin sertifikat antara Wilayah AWS?

Anda tidak dapat menyalin sertifikat yang dikelola ACM di antara wilayah pada saat ini. Anda dapat menyalin sertifikat privat yang Anda ekspor dari ACM dan sertifikat yang Anda terbitkan langsung dari ACM Private CA tanpa menggunakan ACM untuk sertifikat dan manajemen kunci privat.

T: Apakah saya dapat menggunakan sertifikat ACM pada lebih dari satu Wilayah AWS?

Hal itu tergantung dari apakah Anda menggunakan Elastic Load Balancing atau Amazon CloudFront. Untuk menggunakan sertifikat dengan Elastic Load Balancing untuk situs yang sama (nama domain yang memenuhi syarat penuh yang sama, atau FQDN, atau set FQDN) pada Wilayah berbeda, Anda harus mengajukan permintaan sertifikat untuk setiap Wilayah yang ingin Anda gunakan. Untuk menggunakan sertifikat ACM dengan Amazon CloudFront, Anda harus mengajukan permintaan sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di wilayah ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasi untuk distribusi tersebut.

T: Dapatkah saya menyediakan sertifikat dengan ACM jika saya telah memiliki sertifikat dari penyedian lain untuk nama domain yang sama?

Ya.

T: Apakah saya dapat menggunakan sertifikat pada instans Amazon EC2 atau pada server saya sendiri?

Anda dapat menggunakan sertifikat privat yang diterbitkan dengan ACM Private CA dengan instans EC2, kontainer, dan pada server Anda sendiri. Pada saat ini, sertifikat ACM publik hanya dapat digunakan dengan layanan AWS khusus. Lihat Dengan layanan AWS mana saya dapat menggunakan sertifikat ACM?

T: Apakah ACM mengizinkan karakter bahasa lokal dalam nama domain, atau yang dikenal sebagai Nama Domain Internasional (IDN)?

ACM tidak mengizinkan karakter bahasa lokal yang dikodekan Unicode; namun, ACM mengizinkan karakter bahasa lokal yang dikodekan ASCII untuk nama domain.

T: Format label nama domain mana yang diizinkan ACM?

ACM hanya mengizinkan ASCII yang dikodekan UTF-8, termasuk label yang mengandung “xn—”, yang biasanya dikenal sebagai Punycode untuk nama domain. ACM tidak menerima input Unicode (label u) untuk nama domain.

Sertifikat Publik ACM

T: Apa itu sertifikat publik?

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet.

T: Jenis sertifikat publik apa yang disediakan ACM?

ACM menyediakan sertifikat publik Validasi Domain (DV) untuk digunakan dengan situs web dan aplikasi yang mengakhiri SSL/TLS. Untuk detail selengkapnya tentang sertifikat ACM, lihat Karakteristik Sertifikat.

T: Apakah sertifikat publik ACM dipercayai oleh browser, sistem operasi, dan perangkat seluler?

Sertifikat publik ACM dipercayai oleh sebagian besar browser, sistem operasi, dan perangkat seluler modern. Sertifikat yang disediakan ACM memiliki 99% ubikuitas browser dan sistem operasi, termasuk Windows XP SP3 dan Java 6 dan yang lebih baru.

T: Bagaimana cara mengonfirmasi bahwa browser saya memercayai sertifikat publik ACM?

Browser yang memercayai sertifikat ACM menampilkan ikon gembok dan tidak menerbitkan peringatan sertifikat ketika terhubung pada situs yang menggunakan sertifikat ACM pada SSL/TLS, contohnya menggunakan HTTPS.

Sertifikat ACM publik diverifkasi oleh otoritas sertifikat (CA) Amazon. Browser, aplikasi, atau OS apa pun yang menyertakan Amazon Root CA1, Starfield Services Root Certificate Authority - G2, atau Starfield Class 2 Certification Authority memercayai sertifikat ACM.

T: Apakah ACM menyediakan sertifikat Validasi Organisasional (OV) atau Validasi Tambahan (EV) publik?

Tidak pada saat ini.

T: Di mana Amazon menjelaskan kebijkan dan praktiknya dalam menerbitkan sertifikat publik?

Semuanya dijelaskan dalam dokumen Amazon Trust Services Certificate Policies dan Amazon Trust Services Certification Practices Statement. Lihat Repositori Amazon Trust Services untuk versi terbaru.

T: Bagaimana cara memberi tahu AWS jika informasi dalam sertifikat publik berubah?

Anda memberitahukan kepada AWS dengan mengirimkan email ke validation-questions[at]amazon.com.

Menyediakan Sertifikat Publik ACM

T: Bagaimana cara menyediakan sertifikat publik dari ACM?

Anda dapat menggunakan AWS Management Console, AWS CLI, atau ACM API/SDK. Untuk menggunakan AWS Management Console, masuk ke Certificate Manager, pilih Ajukan permintaan sertifikat, pilih Ajukan permintaan sertifikat publik, masukkan nama domain untuk situs Anda, dan ikuti instruksi pada layar untuk menyelesaikan permintaan Anda. Anda dapat menambahkan nama domain tambahan pada permintaan Anda jika pengguna dapat menjangkau situs Anda dengan nama lain. Sebelum ACM dapat menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda menulis catatan pada konfigurasi DNS publik untuk domain Anda untuk membuktikan bahwa Anda memiliki atau mengendalikan domain. Setelah Anda menggunakan validasi DNS satu kali untuk menetapkan kendali domain, Anda bisa mendapatkan sertifikat tambahan dan meminta ACM memperpanjang sertifikat yang ada untuk domain selama catatan tetap di tempatnya dan sertifikat tetap digunakan. Anda tidak perlu memvalidasi kendali domain lagi. Jika Anda memilih validasi email dan bukan validasi DNS, email dikirimkan pada pemilik domain meminta persetujuan untuk menerbitkan sertifikat. Setelah memvalidasi bahwa Anda memiliki atau mengendalikan setiap nama domain pada permintaan Anda, sertifikat diterbitkan dan siap untuk disediakan dengan layanan AWS lainnya, seperti Elastic Load Balancing atau Amazon CloudFront. Lihat Dokumentasi ACM untuk detailnya.

T: Mengapa ACM memvalidasi kepemilikan domain untuk sertifikat publik?

Sertifikat digunakan untuk menetapkan identitas situs dan mengamankan koneksi antara browser dan aplikasi serta situs Anda. Untuk menerbitkan sertifikat yang dipercayai secara publik, Amazon harus memvalidasi bahwa yang mengajukan permintaan sertifikat memiliki kendali pada nama domain dalam permintaan sertifkat.

T: Bagaimana cara ACM memvalidasi kepemilikan sebelum menerbitkan sertifikat publik untuk domain?

Sebelum menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Lihat Validasi DNS untuk detail selengkapnya. Jika Anda tidak memiliki kemampuan untuk menulis catatan pada konfigurasi DNS publik untuk domain Anda, Anda dapat menggunakan validasi email dan bukan validasi DNS. Dengan validasi email, ACM mengirimkan email ke pemilik domain terdaftar, dan pemilik atau wakil yang sah dapat menyetujui penerbitan untuk setiap nama domain dalam permintaan sertifikat. Lihat Validasi email untuk detail selengkapnya.

T. Metode validasi apa yang harus saya gunakan untuk sertifikat publik: DNS atau email?

Kami menyarankan Anda menggunakan validasi DNS jika Anda memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain Anda. Pelanggan yang tidak dapat menerima email validasi dari ACM dan menggunakan registrar domain yang tidak menerbitkan informasi kontak email pemilik domain dalam WHOIS harus menggunakan validasi DNS. Jika tidak dapat mengubah konfigurasi DNS, Anda harus menggunakan validasi email.

T. Dapatkah saya mengubah sertifikat publik yang sudah ada dari validasi email menjadi validasi DNS?

Tidak, tetapi Anda dapat mengajukan permintaan sertifikat baru dan gratis dari ACM serta memilih validasi DNS untuk validasi baru.

T: Berapa lama waktu yang diperlukan untuk menerbitkan sertifikat publik?

Waktu untuk menerbitkan sertifikat setelah semua nama domain dalam permintaan sertifikat telah divalidasi mungkin beberapa jam atau lebih lama.

T: Apa yang terjadi jika saya mengajukan permintaan sertifikat publik?

ACM mencoba memvalidasi kepemilikan atau kendali dari setiap nama domain dalam permintaan sertifikat Anda, menurut metode validasi yang Anda pilih, DNS atau email, saat mengajukan permintaan. Status permintaan sertifikat adalah validasi Tertunda sementara ACM mencoba memvalidasi bahwa Anda memiliki atau mengendalikan domain. Lihat bagian Validasi DNS dan Validasi email di bawah ini untuk informasi selengkapnya tentang proses validasi. Setelah semua nama domain dalam permintaan sertifikat divalidasi, waktu untuk menerbitkan sertifikat mungkin beberapa jam atau lebih lama. Ketika sertifikat diterbitkan, status permintaan sertifikat berubah menjadi Diterbitkan dan Anda dapat mulai menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM.

T: Apakah ACM memeriksa catatan DNS Certificate Authority Authorization (CAA) sebelum menerbitkan sertifikat publik?

Ya. Catatan DNS Certificate Authority Authorization (CAA) memungkinkan pemilik domain untuk menentukan otoritas sertifikat mana yang berhak menerbitkan sertifikat untuk domain mereka. Saat Anda mengajukan permintaan Sertifikat ACM, AWS Certificate Manager mencari catatan CAA dalam konfigurasi zona DNS untuk domain Anda. Jika catatan CAA tidak ada, Amazon dapat menerbitkan sertifikat untuk domain Anda. Sebagian besar pelanggan berada dalam kategori ini.

Jika konfigurasi DNS Anda berisi catatan CAA, catatan tersebut harus menentukan salah satu dari CA berikut sebelum Amazon dapat menerbitkan sertifikat untuk domain Anda: amazon.com, amazontrust.com, awstrust.com, atau amazonaws.com. Lihat Konfigurasi Catatan CAA atau Menyelesaikan Masalah CAA dalam Panduan Pengguna AWS Certificate untuk informasi selengkapnya.

T: Apakah ACM mendukung metode lain untuk memvalidasi domain?

Tidak pada saat ini.

Validasi DNS (Sertifikat Publik)

T. Apa itu validasi DNS?

Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Validasi DNS mempermudah Anda membuktikan bahwa Anda memiliki domain ketika mengajukan permintaan sertifikat SSL/TLS dari ACM.

T. Apa keuntungan dari validasi DNS?

Validasi DNS mempermudah memvalidasi bahwa Anda memiliki atau mengontrol domain sehingga Anda bisa mendapatkan sertifikat SSL/TLS. Dengan validasi DNS, Anda cukup menulis catatan CNAME pada konfigurasi DNS untuk menetapkan kendali nama domain Anda. Untuk menyederhanakan proses validasi DNS, konsol manajemen ACM dapat mengonfigurasi catatan DNS untuk Anda jika Anda mengelola catatan DNS dengan Amazon Route 53. Hal ini mempermudah Anda menetapkan kendali nama domain dengan beberapa klik mouse. Setelah catatan CNAME dikonfigurasi, ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya. Perpanjangan dilakukan dengan otomatis dan tanpa sentuhan.

T. Siapa yang seharusnya menggunakan validasi DNS?

Siapa pun yang mengajukan permintaan sertifikat melalui ACM dan memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain yang mereka minta harus mempertimbangkan menggunakan validasi DNS.

T. Apakah ACM masih mendukung validasi email?

Ya. ACM terus mendukung validasi email bagi pelanggan yang tidak dapat mengubah konfigurasi DNS mereka.

T. Catatan apa yang perlu saya tambahkan pada konfigurasi DNS untuk memvalidasi domain?

Anda harus menambahkan catatan CNAME untuk domain yang ingin Anda validasi. Sebagai contoh, untuk memvalidasi nama www.example.com, Anda menambahkan catatan CNAME pada zona untuk example.com. Catatan yang Anda tambahkan berisi token acak yang dibuat ACM secara khusus untuk dimain dan akun AWS Anda. Anda bisa mendapatkan dua bagian dari catatan CNAME (nama dan label) dari ACM. Untuk instruksi lebih lanjut, lihat Panduan Pengguna ACM.

T. Bagaimana cara menambahkan atau memodifikasi catatan DNS untuk domain saya?

Untuk informasi selengkapnya tentang cara menambahkan atau mengubah catatan DNS, periksa dengan penyedia DNS Anda. Dokumentasi Amazon Route 53 DNS memberikan informasi lebih lanjut kepada pelanggan yang menggunakan Amazon Route 53 DNS.

T. Apakah ACM dapat menyederhanakan validasi DNS untuk pelanggan Amazon Route 53 DNS?

Ya. Bagi pelanggan yang menggunakan Amazon Route 53 DNS untuk mengelola catatan DNS, Konsol ACM dapat menambahkan catatan pada konfigurasi DNS Anda ketika Anda mengajukan permintaan sertifikat. Zona di-host Route 53 DNS untuk domain Anda harus dikonfigurasi dalam akun AWS yang sama seperti yang Anda ajukan permintaan, dan Anda harus memiliki izin yang cukup untuk melakukan perubahan pada konfigurasi Amazon Route 53 Anda. Untuk instruksi lebih lanjut, lihat Panduan Pengguna ACM.

T. Apakah Validasi DNS mengharuskan saya menggunakan penyedia DNS khusus?

Tidak. Anda dapat menggunakan validasi DNS dengan penyedia DNS apa saja selama penyedia mengizinkan Anda menambahkan catatan CNAME pada konfigurasi DNS Anda.

T. Berapa banyak catatan DNS yang saya perlukan jika saya ingin lebih dari satu sertifikat untuk domain yang sama?

Satu. Anda bisa memperoleh beberapa sertifikat untuk nama domain yang sama pada akun AWS yang sama menggunakan satu catatan CNAME. Sebagai contoh, jika Anda mengajukan 2 permintaan sertifikat dari akun AWS yang sama untuk nama domain yang sama, Anda hanya perlu 1 catatan CNAME DNS.

T. Apakah saya dapat memvalidasi beberapa nama domain dengan catatan CNAME yang sama?

Tidak. Setiap nama domain harus memiliki sebuah catatan CNAME yang unik.

T. Apakah saya dapat memvalidasi nama domain wildcard menggunakan validasi DNS?

Ya.

T. Bagaimana cara ACM membuat catatan CNAME?

Catatan CNAME DNS memiliki dua komponen: nama dan label. Komponen nama dari CNAME yang dibuat ACM dibentuk dari karakter garis bawah (_) yang diikuti dengan token, yaitu string unik yang terikat pada akun WS dan nama domain Anda. ACM menambahkan garis bawah dan token pada nama domain Anda untuk membentuk komponen nama. ACM membentuk label dari karakter garis bawah yang ditambahkan ke token berbeda yang juga terikat pada akun AWS dan nama domain Anda. ACM menambahkan garis bawah dan token pada nama domain DNS yang digunakan oleh AWS untuk validasi: acm-validations.aws. Contoh berikut menunjukkan pemformatan CNAME untuk www.example.com, subdomain.example.com, dan *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Perhatikan bahwa ACM menghapus label wildcard (*) ketika menghasilkan catatan CNAME untuk nama wildcard. Sebagai hasilnya, catatan CNAME yang dibuat oleh ACM untuk nama wildcard (misalnya *.example.com) adalah catatan yang sama yang dikembalikan pada nama domain tanpa label wildcard (example.com).

T. Dapatkah saya melakukan validasi pada semua subdomain dari sebuah domain yang menggunakan satu catatan CNAME?

Tidak. Setiap nama domain, termasuk nama host dan nama subdomain, harus divalidasi secara terpisah, setiap namanya dengan catatan CNAME yang unik.

T. Mengapa ACM menggunakan catatan CNAME untuk validasi DNS dan bukan catatan TXT?

Menggunakan catatan CNAME memungkinkan ACM memperpanjang sertifikat selama catatan CNAME ada. Catatan CNAME mengarahkan ke catatan TXT dalam domain AWS (acm-validations.aws) yang dapat diperbarui ACM sesuai yang diperlukan untuk melakukan validasi atau validasi ulang nama domain, tanpa tindakan dari Anda.

T. Apakah validasi DNS bekerja di seluruh Wilayah AWS?

Ya. Anda bisa membuat satu catatan CNAME DNS dan menggunakannya untuk memperoleh sertifikat dalam akun AWS yang sama di Wilayah AWS mana pun di mana ACM ditawarkan. Konfigurasi catatan CNAME satu kali dan sertifikat Anda dapat diterbitkan dan diperpanjang dari ACM untuk nama tersebut tanpa membuat catatan lain.

T. Apakah saya dapat memilih metode validasi lain dalam sertifikat yang sama?

Tidak. Setiap sertifikat hanya dapat memiliki satu metode validasi.

T. Bagaimana cara memperpanjang sertifikat yang divalidasi dengan validasi DNS?

ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya.

T. Apakah saya dapat menarik izin untuk menerbitkan sertifikat untuk domain saya?

Ya. Cukup hapus catatan CNAME. ACM tidak menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS setelah Anda menghapus catatan CNAME dan perubahan dilakukan melalui DNS. Waktu propagasi untuk menghapus catatan tergantung dari penyedia DNS Anda.

T. Apa yang terjadi jika saya menghapus catatan CNAME?

ACM tidak dapat menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS jika Anda menghapus catatan CNAME.

Validasi Email (Sertifikat Publik)

T: Apa itu validasi email?

Dengan validasi email, email permintaan persetujuan dikirimkan ke pemilik domain terdaftar untuk setiap nama domain dalam permintaan sertifikat. Pemilik domain atau wakil yang sah (pemberi persetujuan) dapat menyetujui permintaan sertifikat dengan mengikuti instruksi pada email. Instruksi mengarahkan pemberi persetujuan untuk masuk ke situs web persetujuan dan mengklik tautan pada email atau menempel tautan dari email ke browser untuk masuk ke situs web persetujuan. Pemberi persetujuan mengonfirmasi informasi yang terkait dengan permintaan sertifikat, seperti nama domain, ID sertifikat (ARN), dan ID akun AWS yang mengawali permintaan, lalu menyetujui permintaan jika informasinya akurat.

T: Ketika saya mengajukan permintaan sertifikat dan memilih validasi email, ke alamat email manakah persetujuan sertifikat dikirimkan?

Saat Anda mengajukan permintaan sertifikat menggunakan validasi email, pencarian WHOIS untuk setiap nama domain dalam permintaan sertifikat digunakan untuk mengambil informasi kontak untuk domain. Email dikirimkan ke pendaftar domain, kontak administratif, dan kontak teknis yang terdaftar untuk domain. Email juga dikirimkan ke lima alamat email khusus, yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, webmaster@ dan postmaster@ pada nama domain yang Anda minta. Sebagai contoh, jika Anda mengajukan permintaan sertifikat untuk server.example.com, email dikirimkan ke pendaftar domain, kontak teknis, dan kontak administratif menggunakan informasi kontak yang dikembalikan oleh kueri WHOIS untuk example.com domain, plus admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com, dan webmaster@server.example.com.

Kelima alamat email khusus dibentuk berbeda untuk nama domain yang diawali dengan “www” atau nama wildcard yang dimulai dengan tanda bintang (*). ACM menghapus bagian awal “www” atau asterisk dan email dikirimkan kepada alamat administratif yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, postmaster@, dan webmaster@ pada bagian tersisa nama domain. Sebagai contoh, jika Anda mengajukan permintaan untuk www.example.com, email dikirimkan kepada kontak WHOIS, seperti yang telah dijelaskan sebelumnya, plus admin@example.com dan bukan admin@www.example.com. Empat alamat email khusus sisanya dibentuk dengan cara serupa.

Setelah Anda mengajukan permintaan sertifikat, Anda dapat menampilkan daftar alamat email tujuan pengiriman setiap domain menggunakan konsol ACM, AWS CLI, atau API.

T: Apakah saya dapat mengonfigurasi alamat email tujuan pengiriman permintaan persetujuan sertifikat?

Tidak, tetapi Anda dapat mengonfigurasi nama domain dasar tujuan pengiriman email validasi. Nama domain dasar harus berupa superdomain dari nama domain pada permintaan sertifikat. Sebagai contoh, jika Anda ingin mengajukan permintaan sertifikat untuk server.domain.example.com tetapi ingin mengarahkan persetujuan email ke admin@domain.example.com, Anda dapat melakukannya menggunakan AWS CLI atau API. Lihat Referensi ACM CLI dan Referensi ACM API untuk detail selengkapnya.

T: Apakah saya dapat menggunakan domain yang memiliki informasi kontak proxy (seperti Privacy Guard atau WhoisGuard)?

Ya, namun pengiriman email dapat terlambat sebagai hasil dari proxy. Email dikirimkan melalui proxy dapat berakhir pada folder spam Anda. Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

T: Apakah ACM dapat memvalidasi identitas saya menggunakan kontak teknis untuk akun AWS saya?

Tidak. Prosedur dan kebijakan untuk memvalidasi identitas pemilik domain sangat ketat, dan ditentukan oleh CA/Forum Browser yang menetapkan standar kebijakan untuk otoritas sertifikat yang dipercaya secara publik. Untuk mempelajari selengkapnya, silakan baca Pernyataan Praktik Sertifikasi Layanan Kepercayaan Amazon terbaru dalam Repositori Layanan Kepercayaan Amazon.

T: Apa yang harus saya lakukan jika saya tidak menerima email persetujuan?

Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

Perlindungan Kunci Privat

T: Bagaimana cara kunci privat sertifikat yang disediakan ACM dikelola?

Pasangan kunci dibuat untuk setiap sertifikat yang disediakan oleh ACM. AWS Certificate Manager dirancang untuk melindungi dan mengelola kode pribadi yang digunakan bersama sertifikat SSL/TLS. Praktik terbaik enkripsi kuat serta pengelolaan kunci akan digunakan saat melindungi dan menyimpan kode pribadi.

T: Apakah ACM menyalin sertifikat di seluruh Wilayah AWS?

Tidak. Kunci privat untuk setiap sertifikat ACM disimpan dalam Wilayah Anda mengajukan permintaan sertifikat. Sebagai contoh, ketika Anda memperoleh sertifikat baru di wilayah AS Timur (Virginia U.), ACM menyimpan kunci privat di Wilayah Virginia U. Sertifikat ACM hanya disalin di seluruh Wilayah jika sertifikat dikaitkan dengan distribusi CloudFront. Dalam hal tersebut, CloudFront mendistribusikan sertifikat ACM ke lokasi geografis yang dikonfigurasi untuk distribusi Anda.

T: Apakah saya dapat mengaudit penggunaan kunci privat sertifikat?

Ya. Menggunakan AWS CloudTrail membuat Anda dapat meninjau catatan yang memberitahukan kapan kunci privat untuk sertifikat digunakan.

Penagihan

T: Bagaimana saya dikenai biaya dan ditagihkan atas penggunaan sertifikat ACM saya?

Sertifikat publik dan privat yang tersedia melalui AWS Certificate Manager untuk digunakan dengan layanan terintegrasi ACM seperti layanan Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway tidak dikenakan biaya. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi Anda. Otoritas Sertifikat Privat AWS Certificate Manager memiliki harga sesuai penggunaan. Anda membayarkan biaya bulanan untuk operasi setiap ACM Private CA hingga Anda menghapusnya. Anda juga membayar sertifikat privat yang Anda buat dan ekspor dari ACM, misalnya yang digunakan dengan EC2 atau server tidak di lokasi, atau yang Anda terbitkan langsung dari CA Privat dengan membuat kunci privat sendiri. Lihat halaman harga untuk detail dan contoh selengkapnya.

Detail

T: Apakah saya dapat menggunakan sertifikat yang sama dengan beberapa penyeimbang muatan Elastic Load Balancing dan beberapa distribusi CloudFront?

Ya.

T: Apakah saya dapat menggunakan sertifikat publik untuk penyeimbang muatan internal Elastic Load Balancing tanpa akses internet publik?

Ya, tetapi Anda juga dapat mempertimbangkan menggunakan ACM Private CA untuk menerbitkan sertifikat privat yang dapat diperpanjang ACM tanpa validasi. Lihat Perpanjangan dan Penerapan yang Terkelola untuk detail mengenai cara ACM menangani perpanjangan untuk sertifikat publik yang tidak dapat dijangkau dari Internet dan sertifikat privat.

T: Apakah sertifikat untuk www.example.com juga berfungsi untuk example.com?

Tidak. Jika Anda ingin situs Anda direferensikan oleh kedua nama domain (www.example.com dan example.com), Anda harus mengajukan permintaan sertifikat yang menyertakan kedua nama.

T: Apakah saya dapat mengimpor sertifikat pihak ketiga dan menggunakannya dengan layanan AWS?

Ya. Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan AWS Management Console, AWS CLI, atau ACM API. ACM tidak mengelola proses perpanjangan untuk sertifikat yang diimpor. Anda dapat menggunakan AWS Management Console untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

T: Bagaimana cara ACM membantu organisasi saya memenuhi persyaratan kepatuhan?

Menggunakan ACM membantu Anda mematuhi persyaratan peraturan dengan mempermudah untuk memfasilitasi koneksi yang aman, persyaratan yang umum di banyak program kepatuhan seperti PCI, FedRAMP, dan HIPAA. Untuk informasi spesifik mengenai kepatuhan, silakan lihat http://aws.amazon.com/compliance.

T: Apakah ACM memiliki perjanjian tingkat layanan (SLA)?

ACM tidak memiliki SLA. Layanan CA privat terkelola ACM Private Certificate Authority memiliki SLA

T: Apakah ACM memberikan segel situs aman atau logo kepercayaan yang dapat saya tampilkan pada situs web saya?

Tidak. Jika Anda ingin menggunakan segel situs, Anda bisa mendapatkannya dari vendor pihak ketiga. Kami menyarankan memilih vendor yang mengevaluasi dan menegaskan keamanan situs, atau praktik bisnis Anda, atau keduanya.

T: Apakah Amazon mengizinkan merek dagang atau logonya digunakan sebagai lencana sertifikat, segel situs, atau logo kepercayaan?

Tidak. Segel dan lencana jenis ini dapat disalin ke situs yang tidak menggunakan layanan ACM, dan digunakan dengan tidak benar untuk menunjukkan kepercayaan dengan pretensi yang salah. Untuk melindungi pelanggan kami dan reputasi Amazon, kami tidak mengizinkan logo kami digunakan dengan cara ini.

Logging

T: Informasi logging apa yang tersedia dari AWS CloudTrail?

Anda dapat mengidentifikasi pengguna dan akun mana yang menghubungi AWS API untuk layanan yang mendukung AWS CloudTrail, alamat IP sumber yang menghubungi, dan kapan panggilan tersebut terjadi. Sebagai contoh, Anda dapat mengidentifikasi pengguna mana yang melakukan panggilan API untuk mengaitkan sertifikat yang disediakan oleh ACM dengan Elastic Load Balancer dan ketika layanan Elastic Load Balancing mendekripsi kunci dengan panggilan KMS API.

Perpanjangan dan Penerapan Terkelola

T: Apa itu perpanjangan dan penerapan terkelola ACM?

Perpanjangan dan penerapan terkelola ACM mengelola proses perpanjangan sertifikat SSL/TLS ACM dan menerapkan sertifikat setelah diperpanjang.

T: Apa keuntungan menggunakan perpanjangan dan penerapan terkelola ACM?

ACM dapat mengelola perpanjangan dan penerapan sertifikat SSL/TLS untuk Anda. ACM membuat konfigurasi dan pengelolaan SSL/TLS untuk layanan web atau aplikasi aman menjadi lebih terlindung secara operasional daripada proses manual yang rentan terhadap kesalahan. Perpanjangan dan penerapan terkelola dapat membantu Anda menghindari waktu henti karena masa berlaku sertifikat telah berakir. ACM beroperasi sebagai layanan yang terintegrasi dengan layanan AWS lainnya. Ini artinya Anda dapat mengelola dan menerapkan sertifikat secara terpusat pada platform AWS dengan menggunakan konsol manajemen AWS, AWS CLI, atau API. Dengan ACM Private CA, Anda dapat membuat sertifikat publik dan mengekspornya. ACM memperpanjang sertifikat yang diekspor, memungkinkan kode automasi sisi klien Anda mengunduh dan menerapkannya. 

T: Sertifikat ACM mana yang dapat diperpanjang dan diterapkan secara otomatis?

Sertifikat Publik

ACM dapat memperpanjang dan menerapkan sertifikat ACM publik tanpa validasi tambahan dari pemilik domain. Jika sertifikat tidak dapat diperpanjang tanpa validasi tambahan, ACM mengelola proses perpanjangan dengan memvalidasi kepemilikan domain atau mengontrol setiap nama domain pada sertifikat. Setelah setiap nama domian pada sertifikat telah divalidasi, ACM memperpanjang sertifikat dan menerapkannya secara otomatis dengan sumber daya AWS Anda. Jika ACM tidak dapat memvalidasi kepemilikan domain, kami akan memberitahukannya kepada Anda (pemilik akun AWS).

Jika Anda memilih validasi DNS di permintaan sertifikat Anda, ACM dapat memperpanjang sertifikat tak terbatas tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya. Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat, Anda dapat meningkatkan kemampuan ACM untuk memperpanjang dan menerapkan sertifikat ACM secara otomatis, dengan memastikan bahwa sertifikat sedang digunakan, bahwa semua nama domain yang disertakan dalam sertifikat dapat diselesaikan pada situs Anda, dan bahwa semua nama domain dapat dijangkau dari Internet.

Sertifikat Privat

ACM memberikan tiga pilihan untuk mengelola sertifikat privat yang diterbitkan dengan ACM Private CA. ACM memberikan kemampuan perpanjangan dan penerapan yang berbeda dan tergantung dari bagaimana Anda mengelola sertifikat privat Anda. Anda dapat memilih opsi manajemen terbaik untuk setiap sertifikat privat yang Anda terbitkan.

1) ACM dapat melakukan perpanjangan dan penerapan secara otomatis pada sertifikat privat yang diterbitkan ACM Private CA Anda dan digunakan dengan layanan yang terintegrasi ACM, misalnya Elastic Load Balancing dan API Gateway. ACM dapat memperpanjang dan menerapkan sertifikat privat yang dibuat dan dikelola pada ACM selama CA Privat yang menerbitkan sertifikat tetap dalam status Aktif.
2) Untuk sertifikat privat yang Anda ekspor dari ACM untuk digunakan dengan sumber daya di lokasi, instans EC2, dan perangkat IoT, ACM Private CA memperpanjang sertifikat secara otomatis. Anda bertanggung jawab untuk mengambil sertifikat dan kunci privat baru lalu menerapkannya dalam aplikasi Anda.
3) Jika Anda menerbitkan sertifikat langsung dari ACM Private CA dan mengelola kunci serta sertifikat sendiri tanpa ACM untuk manajemen sertifikat, ACM tidak memperpanjang sertifikat Anda. Anda bertanggung jawab untuk perpanjangan dan penerapan sertifikat privat tersebut.

T: Kapan ACM memperpanjang sertifikat?

ACM memulai proses perpanjangan hingga 60 hari sebelum tanggal berakhirnya masa berlaku sertifikat. Periode validitas untuk sertifikat ACM saat ini adalah 13 bulan. Lihat Panduan Pengguna ACM untuk informasi selengkapnya tentang perpanjangan terkelola.

T: Apakah saya akan diberi tahu sebelum sertifikat diperpanjang dan sertifikat baru diterapkan?

Tidak. ACM dapat memperpanjang atau mengunci ulang sertifikat dan mengganti yang lama tanpa pemberitahuan sebelumnya.

T: Apakah ACM dapat memperpanjang sertifikat publik yang berisi domain kosong seperti “example.com” (juga dikenal sebagai zone apex atau domain polos)?

Jika Anda memilih validasi DNS di permintaan sertifikat untuk sertifikat publik Anda, ACM dapat memperpanjang sertifikat tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya.

Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat publik dengan domain kosong, pastikan pencarian DNS untuk domain kosong mengarah pada sumber daya AWS yang terkait dengan sertifikat. Mengarahkan domain kosong ke sumber daya AWS mungkin menantang jika Anda tidak menggunakan Route 53 atau penyedia DNS lain yang mendukung catatan sumber daya alias (atau yang setara) untuk memetakan domain kosong pada sumber daya AWS. Untuk informasi selengkapnya, baca Panduan Pengembang Route 53.

T: Apakah situs saya memutus koneksi yang ada ketika ACM menerapkan sertifikat yang diperpanjang?

Tidak, koneksi yang dibuat setelah sertifikat baru diterapkan menggunakan sertifikat baru, dan koneksi yang sudah ada tidak terpengaruh.

Pelajari selengkapnya tentang harga AWS Certificate Manager

Kunjungi halaman harga
Siap membuat?
Memulai dengan AWS Certificate Manager
Punya pertanyaan lainnya?
Hubungi kami