FAQ AWS Certificate Manager

T: Apa itu AWS Certificate Manager?

AWS Certificate Manager (ACM) adalah layanan yang memudahkan Anda untuk menyediakan, mengelola, serta melakukan deployment sertifikat Secure Socket Layer/Transport Layer Security (SSL/TLS) publik dan privat untuk digunakan bersama layanan AWS serta sumber daya internal yang terhubung. Sertifikat SSL/TLS digunakan untuk mengamankan komunikasi jaringan dan membuat identitas situs web melalui Internet serta sumber daya pada jaringan pribadi. ACM meniadakan proses manual untuk pembelian, pengunggahan, dan perpanjangan sertifikat SSL/TLS yang memakan waktu. Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, menerapkannya pada sumber daya AWS seperti Elastic Load Balancer, distribusi Amazon CloudFront, serta API Gateway, dan memungkinkan ACM mengelola perpanjangan sertifikat. Layanan ini juga memungkinkan Anda membuat sertifikat pribadi untuk sumber daya internal dan mengelola siklus aktif sertifikat tersebut secara terpusat. Sertifikat SSL/TLS publik dan privat yang tersedia melalui ACM dan digunakan secara khusus dengan layanan terintegrasi ACM seperti Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway tidak dikenakan biaya. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi Anda. Anda membayar biaya bulanan untuk operasional setiap CA privat sampai Anda menghapusnya dan untuk sertifikat privat yang Anda keluarkan dan tidak digunakan secara khusus dengan layanan terintegrasi ACM.

T: Apa itu sertifikat SSL/TLS?

Sertifikat SSL/TLS memungkinkan browser web mengidentifikasi dan menerapkan koneksi jaringan terenkripsi ke situs web menggunakan protokol Secure Sockets Layer/Transport Layer Security (SSL/TLS). Sertifikat digunakan di dalam sistem kriptografik yang dikenal sebagai infrastruktur utama publik (PKI). PKI memberikan cara bagi satu pihak untuk menetapkan identitas pihak lain menggunakan sertifikat jika keduanya memercayai pihak ketiga - yang dikenal sebagai otoritas sertifikat. Anda dapat mengunjungi topik Konsep dalam Panduan Pengguna ACM untuk informasi dan definisi tambahan.

T: Apa itu sertifikat privat?

Sertifikat privat mengidentifikasi sumber daya di dalam organisasi, seperti aplikasi, layanan, perangkat, dan pengguna. Dalam menetapkan saluran komunikasi yang dienkripsi, setiap titik akhir menggunakan sertifikat dan teknik kriptografik untuk membuktikan identitasnya pada titik akhir lain. Titik akhir API internal, server web, pengguna VPN, perangkat IoT, dan banyak aplikasi lain menggunakan sertifikat privat untuk menetapkan saluran komunikasi terenkripsi yang perlu bagi operasi aman mereka.

T: Apa perbedaan sertifikat publik dan privat?

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet publik, sementara sertifikat privat melakukan hal yang sama untuk jaringan privat. Satu perbedaan utama adalah aplikasi dan browser memercayai sertifikat publik secara otomatis dan default, sementara administrator harus mengonfigurasi aplikasi secara eksplisit untuk memercayai sertifikat privat. CA Publik, entitas yang menerbitkan sertifikat publik, harus mematuhi peraturan yang ketat, memberikan visibilitas operasional, dan memenuhi standar keamanan yang diberlakukan oleh browser dan vendor sistem operasi yang menentukan CA mana yang dipercayai browser dan sistem operasi secara otomatis. CA Privat dikelola oleh organisasi swasta, dan administrator CA privat dapat membuat peraturan mereka sendiri dalam menerbitkan sertifikat privat, termasuk praktik untuk menerbitkan sertifikat dan informasi apa yang dapat disertakan dalam sertifikat. 

T: Apa saja manfaat menggunakan AWS Certificate Manager (ACM)?

ACM mempermudah mengaktifkan SSL/TLS untuk situs web atau aplikasi pada platform AWS. ACM mengurangi banyak proses manual yang sebelumnya terkait dengan penggunaan dan pengelolaan sertifikat SSL/TLS. ACM juga dapat membantu Anda menghindari waktu henti karena sertifikat yang salah konfigurasi, dicabut, atau habis masa berlakunya dengan mengelola perpanjangan. Anda mendapatkan perlindungan SSL/TLS dan manajemen sertifikat yang mudah. Mengaktifkan SSL/TLS untuk situs yang dihubungi melalui Internet dapat membantu meningkatkan tingkat pencarian situs Anda dan membantu memenuhi persyaratan kepatuhan peraturan untuk mengenkripsi data dalam transit.

Saat Anda menggunakan ACM untuk mengelola sertifikat, kunci privat sertifikat dilindungi dengan aman dan disimpan menggunakan enkripsi kuat serta praktik terbaik manajemen utama. ACM memungkinkan Anda menggunakan Konsol Manajemen AWS, AWS CLI, atau API ACM untuk mengelola semua sertifikat SSL/TLS ACM dalam Wilayah AWS secara terpusat. ACM terintegrasi dengan layanan AWS lainnya, sehingga Anda dapat mengajukan permintaan sertifikat SSL/TLS dan menyediakannya dengan penyeimbang beban Elastic Load Balancing Anda atau distribusi Amazon CloudFront dari Konsol Manajemen AWS, melalui perintah AWS CLI atau dengan panggilan API.

T: Tipe sertifikat apa yang dapat saya kelola dengan ACM?

ACM memungkinkan Anda mengelola siklus aktif sertifikat publik dan privat Anda. Kemampuan ACM bergantung pada apakah sertifikat publik atau privat, cara Anda mendapatkan sertifikat, dan di mana Anda melakukan deployment sertifikat.

Sertifikat publik - Anda dapat mengajukan permintaan sertifikat publik yang diterbitkan Amazon di ACM. ACM mengelola perpanjangan dan deployment sertifikat publik yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway.

Sertifikat privat - Anda dapat memilih untuk mendelegasikan manajemen sertifikat privat kepada ACM. Saat digunakan dengan cara ini, ACM dapat secara otomatis melakukan perpanjangan dan penerapan sertifikat privat yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway. Anda dapat menerapkan sertifikat privat ini dengan mudah menggunakan Konsol Manajemen AWS, API, dan command-line interface (CLI). Anda dapat mengekspor sertifikat privat dari ACM dan menggunakannya dengan instans EC2, kontainer, server on-premise, dan perangkat IoT. AWS Private CA memperpanjang secara otomatis sertifikat tersebut dan mengirimkan pemberitahuan Amazon CloudWatch ketika perpanjangan selesai. Anda dapat menulis kode sisi klien untuk mengunduh sertifikat yang telah diperpanjang serta kunci privat dan menerapkannya dengan aplikasi Anda.

Sertifikat yang diimpor – Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan Konsol Manajemen AWS, AWS CLI, atau ACM API. ACM tidak dapat memperpanjang sertifikat yang diimpor, tetapi dapat membantu Anda mengelola proses perpanjangan. Anda bertanggung jawab untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan memperpanjangnya sebelum berakhir masa berlakunya. Anda dapat menggunakan metrik ACM CloudWatch untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

T: Bagaimana cara memulai dengan ACM?

Untuk mulai menggunakan ACM, masuk ke Certificate Manager dalam Konsol Manajemen AWS dan gunakan panduan untuk mengajukan permintaan SSL/TLS. Jika Anda telah membuat Private CA, Anda dapat memilih apakah Anda ingin sertifikat publik atau privat, kemudian memasukkan nama situs Anda. Anda juga dapat mengajukan permintaan sertifikat menggunakan AWS CLI atau API. Setelah sertifikat diterbitkan, Anda dapat menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM. Untuk setiap layanan terintegrasi, Anda cukup memilih sertifikat SSL/TLS yang Anda inginkan dari daftar menurun dalam AWS Management Console. Jika tidak, Anda dapat menjalankan perintah AWS CLI atau memanggil AWS API untuk menghubungkan sertifikat tersebut dengan sumber daya Anda. Layanan terintegrasi kemudian akan menerapkan sertifikat pada sumber daya yang Anda pilih.  Untuk informasi selengkapnya tentang meminta dan menggunakan sertifikat yang disediakan oleh ACM, pelajari selengkapnya di Panduan Pengguna ACM. Selain menggunakan sertifikat privat dengan layanan terintegrasi ACM, Anda juga dapat mengekspor sertifikat privat untuk digunakan pada instans EC2, pada kontainer ECS, atau di mana saja.

T: Dengan layanan AWS mana saya dapat menggunakan sertifikat ACM?

• Anda dapat menggunakan sertifikat ACM publik dan privat dengan layanan AWS berikut:
• Elastic Load Balancing – Lihat Dokumentasi Elastic Load Balancing
• Amazon CloudFront – Lihat Dokumentasi CloudFront
• Amazon API Gateway – Lihat Dokumentasi API Gateway
• AWS CloudFormation – Dukungan saat ini terbatas pada sertifikat publik dan privat yang diterbitkan oleh ACM. Lihat Dokumentasi AWS CloudFormation 
• AWS Elastic Beanstalk – Lihat Dokumentasi AWS Elastic Beanstalk
• AWS Nitro Enclaves – Lihat dokumentasi AWS Nitro Enclaves

T: Di Wilayah mana ACM tersedia?

Silakan kunjungi halaman AWS Global Infrastructure untuk melihat ketersediaan Wilayah saat ini untuk layanan AWS. Untuk menggunakan sertifikat ACM dengan Amazon CloudFront, Anda harus mengajukan permintaan atau mengimpor sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di wilayah ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasi untuk distribusi tersebut.

T: Jenis sertifikat seperti apa yang dikelola ACM?

ACM mengelola sertifikat publik, privat, dan impor. Pelajari selengkapnya tentang kemampuan ACM dalam dokumentasi Menerbitkan dan Mengelola Sertifikat.

T: Apakah ACM dapat menyediakan sertifikat dengan beberapa nama domain?

Ya. Setiap sertifikat harus menyertakan setidaknya satu nama domain, dan Anda dapat menambahkan nama tambahan pada sertifikat jika Anda mau. Sebagai contoh, Anda dapat menambahkan nama “www.example.net” pada sertifikat untuk “www.example.com” jika pengguna dapat menjangkau situs Anda dengan kedua nama itu. Anda harus memiliki atau mengontrol semua nama yang disertakan dalam permintaan sertifikat Anda. 

T: Apa itu nama domain wildcard?

Nama domain wildcard menyesuaikan subdomain atau nama host tingkat pertama apa pun dalam domain. Subdomain tingkat pertama adalah label nama domain tunggal yang tidak berisi titik (dot). Sebagai contoh, Anda dapat menggunakan nama *.example.com untuk melindungi www.example.com, images.example.com, dan nama host atau subdomain tingkat pertama lainnya yang berakhir dengan .example.com. Pelajari lebih lanjut di Panduan Pengguna ACM.

T: Apakah ACM dapat menyediakan sertifikat dengan nama domain wildcard?

Ya.

T: Apakah ACM menyediakan sertifikat di luar SSL/TLS?

Tidak.

T: Apakah saya dapat menggunakan sertifikat ACM untuk penandatanganan kode atau enkripsi email?

Tidak.

T: Apakah ACM memberikan sertifikat yang digunakan untuk menandatangani dan mengenkripsi email (sertifikat S/MIME)?

Tidak.

T: Berapa lama masa berlaku sertifikat ACM?

Sertifikat yang diterbitkan melalui ACM berlaku selama 13 bulan (395 hari). Jika Anda menerbitkan sertifikat privat secara langsung dari CA privat dan mengelola kunci serta sertifikat tanpa menggunakan ACM untuk manajemen sertifikat, Anda dapat memilih masa berlaku selama apa pun, termasuk tanggal akhir absolut atau waktu relatif yaitu hari, bulan, atau tahun terhitung sejak waktu saat ini.

T: Algoritme apa yang digunakan sertifikat yang diterbitkan ACM?

Secara default, sertifikat yang diterbitkan dalam ACM menggunakan kunci RSA dengan modulus 2048 bit dan SHA-256. Selain itu, Anda dapat mengajukan permintaan sertifikat Algoritma Tanda Tangan Digital Kurva Eliptik (ECDSA) dengan P-256 atau P-384. Pelajari selengkapnya tentang algoritma dalam Panduan Pengguna ACM.

T: Bagaimana cara menarik sertifikat?

Anda dapat mengajukan permintaan kepada ACM untuk menarik sertifikat publik dengan mengunjungi Pusat Dukungan AWS dan membuat kasus. Untuk menarik sertifikat privat yang diterbitkan oleh AWS Private CA Anda, lihat Panduan Pengguna AWS Private CA. 

T: Apakah saya dapat menggunakan sertifikat ACM di lebih dari satu Wilayah AWS?

Tidak. Sertifikat ACM harus digunakan di Wilayah yang sama seperti sumber daya ketika digunakan. Satu-satunya pengecualian adalah Amazon CloudFront, layanan global yang membutuhkan sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di wilayah ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasi untuk distribusi tersebut.

T: Dapatkah saya menyediakan sertifikat dengan ACM jika saya telah memiliki sertifikat dari penyedian lain untuk nama domain yang sama?

Ya.

T: Apakah saya dapat menggunakan sertifikat di instans Amazon EC2 atau di server saya sendiri?

Anda dapat menggunakan sertifikat privat yang diterbitkan bersama Private CA dengan instans EC2, kontainer, dan di server Anda sendiri. Saat ini, sertifikat ACM publik hanya dapat digunakan dengan layanan AWS khusus, termasuk AWS Nitro Enclaves. Lihat integrasi layanan ACM.

T: Apakah ACM mengizinkan karakter bahasa lokal dalam nama domain, atau yang dikenal sebagai Nama Domain Internasional (IDN)?

ACM tidak mengizinkan karakter bahasa lokal yang dikodekan Unicode; namun, ACM mengizinkan karakter bahasa lokal yang dikodekan ASCII untuk nama domain.

T: Format label nama domain mana yang diizinkan ACM?

ACM hanya mengizinkan ASCII yang dikodekan UTF-8, termasuk label yang mengandung “xn—”, yang biasanya dikenal sebagai Punycode untuk nama domain. ACM tidak menerima input Unicode (label u) untuk nama domain.

T: Apakah saya dapat mengimpor sertifikat pihak ketiga dan menggunakannya dengan layanan AWS?

Ya. Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan AWS Management Console, AWS CLI, atau ACM API. ACM tidak mengelola proses perpanjangan untuk sertifikat yang diimpor. Anda dapat menggunakan Konsol Manajemen AWS untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

T: Apa itu sertifikat publik?

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet.

T: Jenis sertifikat publik apa yang disediakan ACM?

ACM menyediakan sertifikat publik Validasi Domain (DV) untuk digunakan dengan situs web dan aplikasi yang mengakhiri SSL/TLS. Untuk detail selengkapnya mengenai sertifikat ACM, lihat Karakteristik Sertifikat.

T: Apakah sertifikat publik ACM dipercayai oleh browser, sistem operasi, dan perangkat seluler?

Sertifikat publik ACM dipercayai oleh sebagian besar browser, sistem operasi, dan perangkat seluler modern. Sertifikat yang disediakan ACM memiliki 99% ubikuitas browser dan sistem operasi, termasuk Windows XP SP3 dan Java 6 dan yang lebih baru.

T: Bagaimana cara untuk memastikan bahwa peramban saya memercayai sertifikat publik ACM?

Beberapa peramban yang memercayai sertifikat ACM akan menampilkan ikon gembok dan tidak mengeluarkan peringatan sertifikat ketika terhubung pada situs yang menggunakan sertifikat ACM alih-alih SSL/TLS. Misalnya, menggunakan HTTPS.

Sertifikat ACM Publik diverifikasi oleh otoritas sertifikat (CA) Amazon. Peramban, aplikasi, atau OS apa pun yang menyertakan Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2 memercayai sertifikat ACM. Untuk informasi selengkapnya tentang CA root, kunjungi Amazon Trust Services Repository.

T: Apakah ACM menyediakan sertifikat Validasi Organisasional (OV) atau Validasi Tambahan (EV) publik?

Tidak.

T: Di mana Amazon menjelaskan kebijakan dan praktiknya dalam menerbitkan sertifikat publik?

Semuanya dijelaskan dalam dokumen Amazon Trust Services Certificate Policies dan Amazon Trust Services Certification Practices Statement. Lihat Repositori Amazon Trust Services untuk versi terbaru.

T: Apakah sertifikat untuk www.example.com juga berfungsi untuk example.com?

Tidak. Jika Anda ingin situs Anda direferensikan oleh kedua nama domain (www.example.com dan example.com), Anda harus mengajukan permintaan sertifikat yang menyertakan kedua nama domain tersebut.

T: Bagaimana cara ACM membantu organisasi saya memenuhi persyaratan kepatuhan?

Menggunakan ACM membantu Anda mematuhi persyaratan peraturan dengan mempermudah untuk memfasilitasi koneksi yang aman, persyaratan yang umum di banyak program kepatuhan seperti PCI, FedRAMP, dan HIPAA. Untuk informasi spesifik mengenai kepatuhan, silakan lihat http://aws.amazon.com/compliance.

T: Apakah ACM memiliki perjanjian tingkat layanan (SLA)?

Tidak, ACM tidak memiliki SLA. 

T: Apakah ACM memberikan segel situs aman atau logo kepercayaan yang dapat saya tampilkan di situs web saya?

Tidak. Jika Anda ingin menggunakan segel situs, Anda bisa mendapatkannya dari vendor pihak ketiga. Kami menyarankan memilih vendor yang mengevaluasi dan menegaskan keamanan situs, atau praktik bisnis Anda, atau keduanya.

T: Apakah Amazon mengizinkan merek dagang atau logonya digunakan sebagai lencana sertifikat, segel situs, atau logo kepercayaan?

Tidak. Segel dan lencana jenis ini dapat disalin ke situs yang tidak menggunakan layanan ACM, dan digunakan dengan tidak benar untuk menunjukkan kepercayaan dengan pretensi yang salah. Untuk melindungi pelanggan kami dan reputasi Amazon, kami tidak mengizinkan logo kami digunakan dengan cara ini.

 

T: Bagaimana cara menyediakan sertifikat publik dari ACM?

Anda dapat menggunakan AWS Management Console, AWS CLI, atau ACM API/SDK. Untuk menggunakan AWS Management Console, masuk ke Certificate Manager, pilih Ajukan permintaan sertifikat, pilih Ajukan permintaan sertifikat publik, masukkan nama domain untuk situs Anda, dan ikuti instruksi pada layar untuk menyelesaikan permintaan Anda. Anda dapat menambahkan nama domain tambahan pada permintaan Anda jika pengguna dapat menjangkau situs Anda dengan nama lain. Sebelum ACM dapat menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda menulis catatan pada konfigurasi DNS publik untuk domain Anda untuk membuktikan bahwa Anda memiliki atau mengendalikan domain. Setelah Anda menggunakan validasi DNS satu kali untuk menetapkan kendali domain, Anda bisa mendapatkan sertifikat tambahan dan meminta ACM memperpanjang sertifikat yang ada untuk domain selama catatan tetap di tempatnya dan sertifikat tetap digunakan. Anda tidak perlu memvalidasi kendali domain lagi. Jika Anda memilih validasi email dan bukan validasi DNS, email dikirimkan pada pemilik domain meminta persetujuan untuk menerbitkan sertifikat. Setelah memvalidasi bahwa Anda memiliki atau mengendalikan setiap nama domain pada permintaan Anda, sertifikat diterbitkan dan siap untuk disediakan dengan layanan AWS lainnya, seperti Elastic Load Balancing atau Amazon CloudFront. Lihat Dokumentasi ACM untuk detailnya.

T: Mengapa ACM memvalidasi kepemilikan domain untuk sertifikat publik?

Sertifikat digunakan untuk menetapkan identitas situs dan mengamankan koneksi antara peramban dan aplikasi serta situs Anda. Untuk menerbitkan sertifikat yang dipercayai secara publik, Amazon harus memvalidasi bahwa yang mengajukan permintaan sertifikat memiliki kendali pada nama domain dalam permintaan sertifkat.

T: Bagaimana cara ACM memvalidasi kepemilikan domain sebelum menerbitkan sertifikat publik untuk domain?

Sebelum menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Lihat Validasi DNS untuk detail selengkapnya. Jika Anda tidak memiliki kemampuan untuk menulis catatan pada konfigurasi DNS publik untuk domain Anda, Anda dapat menggunakan validasi email dan bukan validasi DNS. Dengan validasi email, ACM mengirimkan email ke pemilik domain terdaftar, dan pemilik atau wakil yang sah dapat menyetujui penerbitan untuk setiap nama domain dalam permintaan sertifikat. Lihat Validasi email untuk detail selengkapnya.

T. Metode validasi apa yang harus saya gunakan untuk sertifikat publik: DNS atau email?

Kami menyarankan Anda menggunakan validasi DNS jika Anda memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain Anda. Pelanggan yang tidak dapat menerima email validasi dari ACM dan menggunakan registrar domain yang tidak menerbitkan informasi kontak email pemilik domain dalam WHOIS harus menggunakan validasi DNS. Jika tidak dapat mengubah konfigurasi DNS, Anda harus menggunakan validasi email.

T. Dapatkah saya mengubah sertifikat publik yang sudah ada dari validasi email menjadi validasi DNS?

Tidak, tetapi Anda dapat mengajukan permintaan sertifikat baru dan gratis dari ACM serta memilih validasi DNS untuk validasi baru.

T: Berapa lama waktu yang diperlukan untuk menerbitkan sertifikat publik?

Waktu untuk menerbitkan sertifikat setelah semua nama domain dalam permintaan sertifikat telah divalidasi mungkin beberapa jam atau lebih lama.

T: Apa yang terjadi jika saya mengajukan permintaan sertifikat publik?

ACM mencoba memvalidasi kepemilikan atau kendali dari setiap nama domain dalam permintaan sertifikat Anda, menurut metode validasi yang Anda pilih, DNS atau email, saat mengajukan permintaan. Status permintaan sertifikat adalah validasi Tertunda sementara ACM mencoba memvalidasi bahwa Anda memiliki atau mengendalikan domain. Lihat bagian Validasi DNS dan Validasi email di bawah ini untuk informasi selengkapnya tentang proses validasi. Setelah semua nama domain dalam permintaan sertifikat divalidasi, waktu untuk menerbitkan sertifikat mungkin beberapa jam atau lebih lama. Ketika sertifikat diterbitkan, status permintaan sertifikat berubah menjadi Diterbitkan dan Anda dapat mulai menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM.

T: Apakah ACM memeriksa catatan DNS Certificate Authority Authorization (CAA) sebelum menerbitkan sertifikat publik?

Ya. Catatan DNS Certificate Authority Authorization (CAA) memungkinkan pemilik domain untuk menentukan otoritas sertifikat mana yang berhak menerbitkan sertifikat untuk domain mereka. Saat Anda mengajukan permintaan Sertifikat ACM, AWS Certificate Manager mencari catatan CAA dalam konfigurasi zona DNS untuk domain Anda. Jika catatan CAA tidak ada, Amazon dapat menerbitkan sertifikat untuk domain Anda. Sebagian besar pelanggan berada dalam kategori ini.

Jika konfigurasi DNS Anda berisi catatan CAA, catatan tersebut harus menentukan salah satu dari CA berikut sebelum Amazon dapat menerbitkan sertifikat untuk domain Anda: amazon.com, amazontrust.com, awstrust.com, atau amazonaws.com. Lihat Konfigurasi Catatan CAA atau Penyelesaian Masalah CAA dalam Panduan Pengguna AWS Certificate Manager untuk informasi selengkapnya.

T: Apakah ACM mendukung metode lain untuk memvalidasi domain?

Tidak untuk saat ini.

T. Apa itu validasi DNS?

Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Validasi DNS memudahkan Anda untuk membuktikan bahwa Anda memiliki domain saat mengajukan sertifikat SSL/TLS publik dari ACM.

T. Apa keuntungan dari validasi DNS?

Validasi DNS mempermudah memvalidasi bahwa Anda memiliki atau mengontrol domain sehingga Anda bisa mendapatkan sertifikat SSL/TLS. Dengan validasi DNS, Anda cukup menulis catatan CNAME pada konfigurasi DNS untuk menetapkan kendali nama domain Anda. Untuk menyederhanakan proses validasi DNS, konsol manajemen ACM dapat mengonfigurasi catatan DNS untuk Anda jika Anda mengelola catatan DNS dengan Amazon Route 53. Hal ini mempermudah Anda menetapkan kendali nama domain dengan beberapa klik mouse. Setelah catatan CNAME dikonfigurasi, ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya. Perpanjangan dilakukan dengan otomatis dan tanpa sentuhan.

T. Siapa yang seharusnya menggunakan validasi DNS?

Siapa pun yang mengajukan permintaan sertifikat melalui ACM dan memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain yang mereka minta harus mempertimbangkan menggunakan validasi DNS.

T. Apakah ACM masih mendukung validasi email?

Ya. ACM terus mendukung validasi email bagi pelanggan yang tidak dapat mengubah konfigurasi DNS mereka.

T. Catatan apa yang perlu saya tambahkan pada konfigurasi DNS untuk memvalidasi domain?

Anda harus menambahkan catatan CNAME untuk domain yang ingin Anda validasi. Misalnya, untuk memvalidasi nama www.example.com, Anda perlu menambahkan catatan CNAME pada zona untuk example.com. Catatan yang Anda tambahkan berisi token unik yang dibuat oleh ACM secara khusus untuk domain dan akun AWS Anda. Anda dapat memperoleh dua bagian catatan CNAME (nama dan label) dari ACM. Untuk instruksi lebih lanjut, lihat Panduan Pengguna ACM.

T. Bagaimana cara menambahkan atau memodifikasi catatan DNS untuk domain saya?

Untuk informasi selengkapnya tentang cara menambahkan atau mengubah catatan DNS, periksa dengan penyedia DNS Anda. Dokumentasi Amazon Route 53 DNS memberikan informasi lebih lanjut bagi pelanggan yang menggunakan Amazon Route 53 DNS.

T. Apakah ACM dapat menyederhanakan validasi DNS untuk pelanggan Amazon Route 53 DNS?

Ya. Bagi pelanggan yang menggunakan Amazon Route 53 DNS untuk mengelola catatan DNS, konsol ACM dapat menambahkan catatan pada konfigurasi DNS saat Anda mengajukan permintaan sertifikat. Zona di-host Route 53 DNS untuk domain Anda harus dikonfigurasi dalam akun AWS yang sama seperti yang Anda ajukan permintaan, dan Anda harus memiliki izin yang cukup untuk melakukan perubahan pada konfigurasi Amazon Route 53 Anda. Untuk instruksi lebih lanjut, lihat Panduan Pengguna ACM.

T. Apakah Validasi DNS mengharuskan saya menggunakan penyedia DNS khusus?

Tidak. Anda dapat menggunakan validasi DNS dengan penyedia DNS apa saja selama penyedia mengizinkan Anda menambahkan catatan CNAME pada konfigurasi DNS Anda.

T. Berapa banyak catatan DNS yang saya perlukan jika saya ingin lebih dari satu sertifikat untuk domain yang sama?

Satu. Anda bisa memperoleh beberapa sertifikat untuk nama domain yang sama pada akun AWS yang sama menggunakan satu catatan CNAME. Sebagai contoh, jika Anda mengajukan 2 permintaan sertifikat dari akun AWS yang sama untuk nama domain yang sama, Anda hanya perlu 1 catatan CNAME DNS.

T. Apakah saya dapat memvalidasi beberapa nama domain dengan catatan CNAME yang sama?

Tidak. Setiap nama domain harus memiliki sebuah catatan CNAME yang unik.

T. Apakah saya dapat memvalidasi nama domain wildcard menggunakan validasi DNS?

Ya.

T. Bagaimana cara ACM membuat catatan CNAME?

Catatan CNAME DNS memiliki dua komponen: nama dan label. Komponen nama dari CNAME yang dibuat ACM dibentuk dari karakter garis bawah (_) yang diikuti dengan token, yaitu string unik yang terikat pada akun AWS dan nama domain Anda. ACM menambahkan garis bawah dan token sebelum nama domain Anda untuk membentuk komponen nama. ACM membentuk label dari karakter garis bawah yang ditambahkan sebelum token berbeda yang juga terikat pada akun AWS dan nama domain Anda. ACM menambahkan garis bawah dan token pada nama domain DNS yang digunakan oleh AWS untuk validasi: acm-validations.aws. Contoh berikut menunjukkan pemformatan CNAME untuk www.example.com, subdomain.example.com, dan *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Perhatikan bahwa ACM menghapus label wildcard (*) ketika menghasilkan catatan CNAME untuk nama wildcard. Sebagai hasilnya, catatan CNAME yang dibuat oleh ACM untuk nama wildcard (misalnya *.example.com) adalah catatan yang sama yang dikembalikan pada nama domain tanpa label wildcard (example.com).

T. Dapatkah saya melakukan validasi pada semua subdomain dari sebuah domain yang menggunakan satu catatan CNAME?

Tidak. Setiap nama domain, termasuk nama host dan nama subdomain, harus divalidasi secara terpisah, setiap namanya dengan catatan CNAME yang unik.

T. Mengapa ACM menggunakan catatan CNAME untuk validasi DNS dan bukan catatan TXT?

Menggunakan catatan CNAME memungkinkan ACM memperpanjang sertifikat selama catatan CNAME ada. Catatan CNAME mengarahkan ke catatan TXT dalam domain AWS (acm-validations.aws) yang dapat diperbarui ACM sesuai yang diperlukan untuk melakukan validasi atau validasi ulang nama domain, tanpa tindakan dari Anda.

T. Apakah validasi DNS bekerja di seluruh Wilayah AWS?

Ya. Anda bisa membuat satu catatan CNAME DNS dan menggunakannya untuk memperoleh sertifikat dalam akun AWS yang sama di Wilayah AWS mana pun di mana ACM ditawarkan. Konfigurasi catatan CNAME satu kali dan sertifikat Anda dapat diterbitkan dan diperpanjang dari ACM untuk nama tersebut tanpa membuat catatan lain.

T. Apakah saya dapat memilih metode validasi lain dalam sertifikat yang sama?

Tidak. Setiap sertifikat hanya dapat memiliki satu metode validasi.

T. Bagaimana cara memperpanjang sertifikat yang divalidasi dengan validasi DNS?

ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya.

T. Apakah saya dapat menarik izin untuk menerbitkan sertifikat untuk domain saya?

Ya. Cukup hapus catatan CNAME. ACM tidak menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS setelah Anda menghapus catatan CNAME dan perubahan dilakukan melalui DNS. Waktu propagasi untuk menghapus catatan tergantung dari penyedia DNS Anda.

T. Apa yang terjadi jika saya menghapus catatan CNAME?

ACM tidak dapat menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS jika Anda menghapus catatan CNAME.

T: Apa itu validasi email?

Dengan validasi email, email permintaan persetujuan dikirimkan ke pemilik domain terdaftar untuk setiap nama domain dalam permintaan sertifikat. Pemilik domain atau wakil yang sah (pemberi persetujuan) dapat menyetujui permintaan sertifikat dengan mengikuti instruksi pada email. Instruksi mengarahkan pemberi persetujuan untuk masuk ke situs web persetujuan dan mengklik tautan pada email atau menempel tautan dari email ke browser untuk masuk ke situs web persetujuan. Pemberi persetujuan mengonfirmasi informasi yang terkait dengan permintaan sertifikat, seperti nama domain, ID sertifikat (ARN), dan ID akun AWS yang mengawali permintaan, lalu menyetujui permintaan jika informasinya akurat.

T: Ketika saya mengajukan permintaan sertifikat dan memilih validasi email, ke alamat email manakah persetujuan sertifikat dikirimkan?

Saat Anda mengajukan permintaan sertifikat menggunakan validasi email, pencarian WHOIS untuk setiap nama domain dalam permintaan sertifikat digunakan untuk mengambil informasi kontak untuk domain. Email dikirimkan ke pendaftar domain, kontak administratif, dan kontak teknis yang terdaftar untuk domain. Email juga dikirimkan ke lima alamat email khusus, yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, webmaster@ dan postmaster@ pada nama domain yang Anda minta. Sebagai contoh, jika Anda mengajukan permintaan sertifikat untuk server.example.com, email dikirimkan ke pendaftar domain, kontak teknis, dan kontak administratif menggunakan informasi kontak yang dikembalikan oleh kueri WHOIS untuk example.com domain, plus admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com, dan webmaster@server.example.com.

Kelima alamat email khusus dibentuk berbeda untuk nama domain yang diawali dengan “www” atau nama wildcard yang dimulai dengan tanda bintang (*). ACM menghapus bagian awal “www” atau asterisk dan email dikirimkan kepada alamat administratif yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, postmaster@, dan webmaster@ pada bagian tersisa nama domain. Sebagai contoh, jika Anda mengajukan permintaan untuk www.example.com, email dikirimkan kepada kontak WHOIS, seperti yang telah dijelaskan sebelumnya, plus admin@example.com dan bukan admin@www.example.com. Empat alamat email khusus sisanya dibentuk dengan cara serupa.

Setelah Anda mengajukan permintaan sertifikat, Anda dapat menampilkan daftar alamat email tujuan pengiriman setiap domain menggunakan konsol ACM, AWS CLI, atau API.

T: Apakah saya dapat mengonfigurasi alamat email tujuan pengiriman permintaan persetujuan sertifikat?

Tidak, tetapi Anda dapat mengonfigurasi nama domain dasar tujuan pengiriman email validasi. Nama domain dasar harus berupa superdomain dari nama domain pada permintaan sertifikat. Sebagai contoh, jika Anda ingin mengajukan permintaan sertifikat untuk server.domain.example.com tetapi ingin mengarahkan persetujuan email ke admin@domain.example.com, Anda dapat melakukannya menggunakan AWS CLI atau API. Lihat Referensi ACM CLI dan Referensi ACM API untuk detail selengkapnya.

T: Apakah saya dapat menggunakan domain yang memiliki informasi kontak proxy (seperti Privacy Guard atau WhoisGuard)?

Ya, namun pengiriman email dapat terlambat sebagai hasil dari proxy. Email dikirimkan melalui proxy dapat berakhir pada folder spam Anda. Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

T: Apakah ACM dapat memvalidasi identitas saya menggunakan kontak teknis untuk akun AWS saya?

Tidak. Prosedur dan kebijakan untuk memvalidasi identitas pemilik domain sangat ketat, dan ditentukan oleh CA/Forum Browser yang menetapkan standar kebijakan untuk otoritas sertifikat yang dipercaya secara publik. Untuk mempelajari selengkapnya, silakan baca Pernyataan Praktik Sertifikasi Layanan Kepercayaan Amazon terbaru dalam Repositori Layanan Kepercayaan Amazon.

T: Apa yang harus saya lakukan jika saya tidak menerima email persetujuan?

Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

T: Bagaimana cara kunci privat sertifikat yang disediakan ACM dikelola?

Pasangan kunci dibuat untuk setiap sertifikat yang disediakan oleh ACM. ACM dirancang untuk melindungi dan mengelola kode pribadi yang digunakan bersama sertifikat SSL/TLS. Praktik terbaik enkripsi dan manajemen kunci yang kuat akan digunakan saat melindungi dan menyimpan kode pribadi.

T: Apakah ACM menyalin sertifikat di seluruh Wilayah AWS?

Tidak. Kunci privat untuk setiap sertifikat ACM disimpan dalam Wilayah saat Anda mengajukan permintaan sertifikat. Sebagai contoh, ketika Anda memperoleh sertifikat baru di wilayah AS Timur (Virginia U.), ACM menyimpan kunci privat di Wilayah Virginia U. Sertifikat ACM hanya disalin di seluruh Wilayah jika sertifikat dikaitkan dengan distribusi CloudFront. Dalam hal tersebut, CloudFront mendistribusikan sertifikat ACM ke lokasi geografis yang dikonfigurasi untuk distribusi Anda.

T: Apa itu perpanjangan dan penerapan terkelola ACM?

Perpanjangan dan penerapan terkelola ACM mengelola proses perpanjangan sertifikat SSL/TLS ACM dan menerapkan sertifikat setelah diperpanjang.

T: Apa keuntungan menggunakan perpanjangan dan penerapan terkelola ACM?

ACM dapat mengelola perpanjangan dan penerapan sertifikat SSL/TLS untuk Anda. ACM membuat konfigurasi dan pengelolaan SSL/TLS untuk layanan web atau aplikasi aman menjadi lebih terlindung secara operasional daripada proses manual yang rentan terhadap kesalahan. Perpanjangan dan penerapan terkelola dapat membantu Anda menghindari waktu henti karena masa berlaku sertifikat telah berakir. ACM beroperasi sebagai layanan yang terintegrasi dengan layanan AWS lainnya. Ini artinya Anda dapat mengelola dan menerapkan sertifikat secara terpusat pada platform AWS dengan menggunakan konsol manajemen AWS, AWS CLI, atau API. Dengan Private CA, Anda dapat membuat sertifikat publik dan mengekspornya. ACM memperpanjang sertifikat yang diekspor, memungkinkan kode automasi sisi klien Anda mengunduh dan melakukan deployment sertifikat. 

T: Sertifikat ACM mana yang dapat diperpanjang dan diterapkan secara otomatis?

Sertifikat Publik

ACM dapat memperpanjang dan menerapkan sertifikat ACM publik tanpa validasi tambahan dari pemilik domain. Jika sertifikat tidak dapat diperpanjang tanpa validasi tambahan, ACM mengelola proses perpanjangan dengan memvalidasi kepemilikan domain atau mengontrol setiap nama domain pada sertifikat. Setelah setiap nama domian pada sertifikat telah divalidasi, ACM memperpanjang sertifikat dan menerapkannya secara otomatis dengan sumber daya AWS Anda. Jika ACM tidak dapat memvalidasi kepemilikan domain, kami akan memberitahukannya kepada Anda (pemilik akun AWS).

Jika Anda memilih validasi DNS di permintaan sertifikat Anda, ACM dapat memperpanjang sertifikat tak terbatas tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya. Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat, Anda dapat meningkatkan kemampuan ACM untuk memperpanjang dan menerapkan sertifikat ACM secara otomatis, dengan memastikan bahwa sertifikat sedang digunakan, bahwa semua nama domain yang disertakan dalam sertifikat dapat diselesaikan pada situs Anda, dan bahwa semua nama domain dapat dijangkau dari Internet.

Sertifikat Privat

ACM memberikan dua opsi untuk mengelola sertifikat privat yang diterbitkan dengan AWS Private CA. ACM memberikan kemampuan perpanjangan berbeda-beda, bergantung pada bagaimana Anda mengelola sertifikat privat Anda. Anda dapat memilih opsi manajemen terbaik untuk setiap sertifikat privat yang Anda terbitkan.

1) ACM dapat melakukan secara otomatis perpanjangan deployment sertifikat privat yang diterbitkan AWS Private CA dan digunakan bersama layanan yang terintegrasi ACM, misalnya Elastic Load Balancing dan API Gateway. ACM dapat memperpanjang dan melakukan deployment sertifikat privat yang diterbitkan melalui ACM selama private CA yang menerbitkan sertifikat tetap dalam status Aktif.

2) Untuk sertifikat privat yang Anda ekspor dari ACM untuk digunakan dengan sumber daya on-premise, instans EC2, dan perangkat IoT, ACM memperpanjang sertifikat secara otomatis. Anda bertanggung jawab untuk mengambil sertifikat dan kunci privat baru lalu melakukan deployment dalam aplikasi Anda.

T: Kapan ACM memperpanjang sertifikat?

ACM memulai proses perpanjangan hingga 60 hari sebelum tanggal kedaluwarsa sertifikat. Masa berlaku untuk sertifikat ACM saat ini adalah 13 bulan (395 hari). Lihat Panduan Pengguna ACM untuk informasi selengkapnya tentang perpanjangan terkelola.

T: Apakah saya akan diberi tahu sebelum sertifikat diperpanjang dan sertifikat baru diterapkan?

Tidak. ACM dapat memperpanjang atau mengunci ulang sertifikat dan mengganti yang lama tanpa pemberitahuan sebelumnya.

T: Apakah ACM dapat memperpanjang sertifikat publik yang berisi domain kosong seperti “example.com” (juga dikenal sebagai zone apex atau domain polos)?

Jika Anda memilih validasi DNS di permintaan sertifikat untuk sertifikat publik Anda, ACM dapat memperpanjang sertifikat tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya.

Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat publik dengan domain kosong, pastikan pencarian DNS untuk domain kosong mengarah pada sumber daya AWS yang terkait dengan sertifikat. Mengarahkan domain kosong ke sumber daya AWS mungkin menantang jika Anda tidak menggunakan Route 53 atau penyedia DNS lain yang mendukung catatan sumber daya alias (atau yang setara) untuk memetakan domain kosong pada sumber daya AWS. Untuk informasi selengkapnya, baca Panduan Pengembang Route 53.

T: Apakah situs saya memutus koneksi yang ada ketika ACM menerapkan sertifikat yang diperpanjang?

Tidak, koneksi yang dibuat setelah sertifikat baru akan dilakukan deployment menggunakan sertifikat baru, dan koneksi yang sudah ada tidak terpengaruh.

T: Apakah saya dapat menggunakan sertifikat yang sama dengan beberapa penyeimbang beban Elastic Load Balancing dan beberapa distribusi CloudFront?

Ya.

T: Apakah saya dapat menggunakan sertifikat publik untuk penyeimbang beban internal Elastic Load Balancing tanpa akses internet publik?

Ya, tetapi Anda juga dapat mempertimbangkan menggunakan AWS Private CA untuk menerbitkan sertifikat privat yang dapat diperpanjang ACM tanpa validasi. Lihat Perpanjangan dan Deployment Terkelola untuk detail mengenai cara ACM menangani perpanjangan untuk sertifikat publik yang tidak dapat dijangkau dari Internet dan sertifikat privat.

T: Apakah saya dapat mengaudit penggunaan kunci privat sertifikat?

Ya. Dengan menggunakan AWS CloudTrail, Anda dapat meninjau log yang dapat memberi tahu Anda saat kunci privat untuk sertifikat digunakan.

T: Informasi pencatatan apa yang tersedia dari AWS CloudTrail?

Anda dapat mengidentifikasi pengguna dan akun mana yang menghubungi AWS API untuk layanan yang mendukung AWS CloudTrail, alamat IP sumber yang menghubungi, dan kapan panggilan tersebut terjadi. Misalnya, Anda dapat mengidentifikasi pengguna yang melakukan panggilan API untuk mengaitkan sertifikat yang disediakan oleh ACM dengan Penyeimbang Beban Elastis dan saat layanan Elastic Load Balancing mendekripsi kunci dengan panggilan KMS API.

T: Bagaimana saya dikenai biaya dan ditagihkan atas penggunaan sertifikat ACM saya?

Sertifikat publik dan privat yang tersedia melalui AWS Certificate Manager untuk digunakan bersama layanan terintegrasi ACM, seperti layanan Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway tidak dikenai biaya. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi Anda. AWS Private CA memiliki harga bayar sesuai penggunaan; kunjungi halaman Harga AWS Private CA untuk detail dan contoh selengkapnya.

T: Di mana saya bisa mendapatkan informasi tentang AWS Private CA?

Lihat FAQ AWS Private CA untuk pertanyaan seputar menggunakan AWS Private CA.