D: Che cos'è AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) è un servizio che semplifica il provisioning, la gestione e la distribuzione di certificati Secure Sockets Layer/Transport Layer Security (SSL/TLS) per l'uso con i servizi AWS. I certificati SSL/TLS vengono utilizzati per proteggere le comunicazioni di rete e stabilire l'identità dei siti Web via Internet. ACM rimuove il lungo processo manuale di acquisto, caricamento e rinnovo dei certificati SSL/TLS. Con ACM, puoi richiedere un certificato, distribuirlo su risorse AWS, ad esempio sistemi di bilanciamento del carico di Elastic Load Balancer, distribuzioni Amazon CloudFront o API in Amazon API Gateway, e consentire ad AWS Certificate Manager di gestirne il rinnovo. Puoi anche importare in ACM certificati di terze parti e associarli ai servizi AWS supportati. I certificati SSL/TLS forniti mediante ACM sono gratuiti. Paghi solo le risorse AWS create per eseguire la tua applicazione.

D: Che cos'è un certificato SSL/TLS?

I certificati SSL/TLS consentono ai browser Web di identificare e stabilire connessioni di rete criptate per i siti Web che utilizzano il protocollo Sockets Layer/Transport Layer Security (SSL/TLS). I certificati vengono utilizzati all'interno di un sistema crittografico noto come infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). La PKI fornisce a una parte un modo per stabilire l'identità di un'altra parte usando i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. L'argomento Concetti della Guida per l'utente ACM fornisce informazioni di background e definizioni aggiuntive.

D: Come posso sfruttare AWS Certificate Manager?

Puoi richiedere ed effettuare il provisioning di certificati SSL/TLS e utilizzare i servizi integrati con ACM – come ad esempio Elastic Load Balancing, Amazon CloudFront o Amazon API Gateway – per distribuire certificati nel tuo sito Web o nella tua applicazione. Una volta convalidata la proprietà del dominio richiesto ed emesso il certificato, potrai selezionare il certificato SSL/TLS da un elenco a discesa nella Console di gestione AWS e distribuirlo. In alternativa, puoi distribuire i certificati forniti da ACM sulle risorse AWS utilizzando l'interfaccia a riga di comando (CLI) oppure chiamate API. ACM gestisce i rinnovi dei certificati e la loro distribuzione all'utente.

D: Quali sono i vantaggi associati all'uso di AWS Certificate Manager?

ACM semplifica l'implementazione della protezione SSL/TLS in un sito Web o un'applicazione sulla piattaforma AWS. ACM elimina molti dei processi manuali precedentemente associati all'utilizzo di e alla gestione dei certificati SSL/TLS. ACM contribuisce inoltre a evitare i tempi di fermo dovuti a una configurazione errata, alla revoca o alla scadenza di certificati attraverso la gestione dei rinnovi. Ottieni così la protezione SSL/TLS e una semplice gestione dei certificati L'attivazione della protezione SSL/TLS può contribuire a migliorare il posizionamento nei motori di ricerca di un sito e a rispettare i requisiti di conformità normativa per la cifratura dei dati in transito.

Per convalidare il tuo possesso o il tuo controllo sul nome di dominio nel tuo certificato, ACM utilizza la convalida DNS o la convalida e-mail in base alla tua selezione quando richiedi un certificato. Con la convalida DNS, scrivi semplicemente un record CNAME nella tua configurazione DNS per stabilire il controllo del nome del tuo dominio. Per semplificare ulteriormente il processo di convalida DNS, la console di gestione ACM può configurare i record DNS al tuo posto, se gestisci i tuoi record DNS con Amazon Route 53. Ciò rende facile stabilire il controllo del nome del tuo dominio con pochi clic del mouse. Una volta configurato il record CNAME, ACM può rinnovare automaticamente i certificati convalidati da DNS prima che scadano, a condizione che il record DNS esista e che i certificati siano in uso. I rinnovi sono completamente automatici e non richiedono immissioni da parte dell'utente. ACM supporta anche la convalida e-mail per i clienti che non hanno la possibilità di aggiornare la configurazione DNS per il proprio dominio.

Utilizzando ACM, le chiavi private dei certificati vengono protette e archiviate in sicurezza mediante le best practice di gestione delle chiavi e crittografia avanzata. ACM consente di usare la Console di gestione AWS, CLI AWS o le API AWS Certificate Manager per gestire centralmente tutti i certificati SSL/TLS forniti da ACM in una Regione AWS. ACM è integrato in altri servizi AWS, pertanto puoi richiedere un certificato SSL/TLS ed effettuarne il provisioning con il tuo sistema di bilanciamento del carico Elastic Load Balancing o distribuzione Amazon CloudFront dalla Console di gestione AWS, attraverso i comandi AWS CLI o mediante chiamate API.

D: Che cosa occorre per cominciare a utilizzare ACM?

Per cominciare a utilizzare Console di gestione AWS, naviga in Certificate Manager nella Console di gestione AWS e usa la procedura guidata per richiedere un certificato SSL/TLS, immettendo il nome del tuo sito. Puoi anche richiedere un certificato usando la CLI o l'API AWS. Una volta che ACM riceve l'approvazione dal proprietario del dominio ed emesso il certificato SSL/TLS, potrai usarlo con altri servizi AWS che si integrano con ACM. Per ogni servizio integrato, sarà sufficiente selezionare il certificato SSL/TLS richiesto da un elenco a discesa all'interno della Console di gestione AWS. In alternativa, puoi eseguire un comando della CLI di AWS o richiamare un'API per associare il certificato alla risorsa desiderata. Il servizio integrato distribuisce quindi il certificato alla risorsa da te selezionata. Per ulteriori informazioni sulla richiesta e l'utilizzo dei certificati forniti da AWS Certificate Manager, consulta la sezione Nozioni di base nella Guida per l'utente di AWS Certificate Manager.

Q: Perché ACM convalida la proprietà del dominio?

I certificati sono usati per stabilire l'identità del tuo sito e proteggere le connessioni tra i browser e le applicazioni e il tuo sito. Per emettere un certificato considerato pubblicamente attendibile, Amazon deve convalidare il controllo del richiedente sul nome di dominio riportato nella richiesta di certificato.

D: Come fa ACM a convalidare la proprietà del dominio prima di emettere un certificato per un dominio?

Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, puoi convalidare la proprietà del dominio aggiungendo un record CNAME nella tua configurazione DNS. Consulta la Convalida DNS per ulteriori dettagli. Se non puoi scrivere record nella configurazione DNS pubblica per il tuo dominio, invece della convalida DNS puoi usare quella e-mail. Con la convalida e-mail, ACM invia e-mail al proprietario del dominio registrato e il proprietario o un rappresentante autorizzato può approvare il rilascio per ogni nome di dominio riportato nella richiesta di certificato. Consulta la Convalida e-mail per ulteriori dettagli.

D: Che metodo di convalida dovrei usare: DNS o e-mail?

Ti consigliamo di usare la convalida DNS se puoi cambiare la configurazione DNS per il tuo dominio. I clienti che non possono ricevere e-mail di convalida da ACM e quelli che usano un registrar di dominio che non pubblica le informazioni di contatto dell'e-mail del proprietario in WHOIS dovrebbero usare la convalida DNS. Se non puoi modificare la tua configurazione DNS, dovresti usare la convalida e-mail.

D: Posso convertire un certificato esistente dalla convalida e-mail in quella DNS?

No, ma puoi richiedere un nuovo certificato gratuito ad ACM e scegliere per esso la convalida DNS.

D: Che tipo di certificati fornisce ACM?

ACM fornisce i certificati Domain Validated (DV) per l'uso con i siti Web e le applicazioni che terminano la protezione SSL/TLS. Per ulteriori dettagli sui certificati forniti da ACM, consulta Caratteristiche dei certificati.

D: Con quali servizi AWS posso utilizzare i certificati forniti da ACM?

Puoi utilizzare ACM con i seguenti servizi AWS:
• Elastic Load Balancing – Fai riferimento alla documentazione di Elastic Load Balancing
• Amazon CloudFront – Fai riferimento alla documentazione di CloudFront
• Amazon API Gateway – Fai riferimento alla documentazione di API Gateway
• AWS Elastic Beanstalk – Fai riferimento alla documentazione di AWS Elastic Beanstalk
• AWS CloudFormation – Fai riferimento alla documentazione di AWS CloudFormation

D: In quali Regioni è disponibile ACM?

Visita le pagine Infrastruttura globale AWS per conoscere la disponibilità nella Regione corrente dei servizi AWS. Per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiederlo o importarlo nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione che sono associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per quella distribuzione.

D: Posso utilizzare lo stesso certificato in più di una Regione AWS?

Dipende se utilizzi Elastic Load Balancing o Amazon CloudFront. Se desideri utilizzare un certificato con Elastic Load Balancing per lo stesso sito (lo stesso nome di dominio completo o FQDN o serie di FQDN) in una Regione differente, dovrai richiedere un nuovo certificato per ogni Regione in cui prevedi di utilizzarlo. Per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiederlo nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione che sono associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per quella distribuzione.

D: È possibile copiare un certificato tra regioni?

No, al momento non è possibile.

D: Posso effettuare il provisioning di un certificato con ACM se ho già un certificato da un altro fornitore per lo stesso nome di dominio?

Sì.

D: Posso utilizzare i certificati sulle istanze EC2 Amazon o sui miei server?

No. Al momento, i certificati forniti da ACM possono essere utilizzati solo con i servizi specifici AWS. Consulta Con quali servizi AWS possono utilizzare i certificati forniti da ACM?

D: C'è un limite al numero di certificati per i quali posso effettuare il provisioning con ACM?

Di default, puoi effettuare il provisioning di fino a 100 certificati per account in ciascuna regione. Ciascun certificato il cui provisioning viene effettuato con ACM può avere fino a dieci nomi di dominio completamente qualificati. Puoi richiedere un aumento del limite visitando l'AWS Support Center. Consulta la documentazione di AWS per ulteriori dettagli.

Torna all'inizio

D: Come posso effettuare il provisioning di un certificato da ACM?

Puoi usare la Console di gestione AWS, la CLI AWS o le API/SDK ACM. Al fine di utilizzare la Console di gestione AWS, vai a Certificate Manager, scegli Richiedi un certificato, immetti il nome di dominio per il tuo sito e segui le istruzioni presenti a schermo per completare la tua richiesta. Nel caso in cui gli utenti possano raggiungere il tuo sito utilizzando altri nomi, puoi aggiungere ulteriori nomi di dominio alla tua richiesta. Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, scrivi un record nella configurazione pubblica DNS per il tuo dominio per stabilire che detieni il possesso o il controllo del dominio. Dopo aver usato una volta la convalida DNS per stabilire il controllo del tuo dominio, puoi ottenere altri certificati e chiedere che ACM rinnovi quelli esistenti per il dominio a condizione che il record esista e che i certificati siano in uso. Non devi convalidare di nuovo il controllo del dominio. Se scegli la convalida e-mail al posto di quella DNS, al proprietario del dominio vengono inviate e-mail con cui si richiede l'approvazione per l'emissione del certificato. Una volta convalidato il tuo possesso o il tuo controllo di ogni nome di dominio presente nella tua richiesta, il certificato viene emesso ed è pronto per essere fornito con altri servizi AWS, come Elastic Load Balancing o Amazon CloudFront. Consulta la documentazione di ACM per ulteriori dettagli.

D: Quanto tempo è necessario per l'emissione di un certificato?

L'emissione di un certificato dopo che tutti i nomi di dominio presenti in una richiesta di certificato sono stati convalidati può richiedere diverse ore o più.

D: Cosa succede quando richiedo un certificato?

ACM tenta di convalidare la proprietà o il controllo di ciascun nome di dominio presente nella tua richiesta di certificato, in base al metodo di convalida scelto, DNS o e-mail, al momento della richiesta. Lo stato della richiesta di certificato sarà In attesa di convalida mentre ACM tenta di convalidare il tuo possesso o il tuo controllo del dominio. Consulta le sezioni Convalida DNS e Convalida e-mail che seguono per ulteriori informazioni sul processo di convalida. L'emissione dei certificati dopo che tutti i nomi di dominio presenti nella richiesta di certificato sono stati convalidati può richiedere diverse ore o più. Una volta emesso il certificato, lo stato della richiesta cambia in Emesso e puoi iniziare a usarlo con altri servizi AWS che sono integrati con ACM.

D: Perché lo stato della mia richiesta di certificato è "In attesa di convalida"?

I certificati richiesti ma non ancora convalidati presentano lo stato In attesa di convalida. Per poter emettere un certificato, è necessario che prima venga approvato il dominio indicato nella richiesta di certificato. Per capire il perché di questo stato della tua richiesta, visita la Guida alla risoluzione dei problemi di ACM.

D: Perché lo stato della mia richiesta di certificato appare come Non riuscito?

Il processo per la convalida del controllo del dominio può non riuscire per svariati motivi. Tali motivi includono, senza limitazioni, l'inclusione del dominio in un elenco di URL per risorse Web ritenute contenenti malware o phishing. Per stabilire il motivo dell'esito negativo della richiesta, visita la guida alla risoluzione dei problemi di ACM

D: Perché lo stato della mia richiesta di certificato appare come Tempo scaduto per la convalida?

Le richieste di certificati ACM scadono qualora non vengano convalidate entro 72 ore. Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

D: ACM supporta la verifica dei record DNS Certificate Authority Authorization (CAA)?

Sì. I record DNS Certificate Authority Authorization (CAA) permettono ai proprietari dei domini di specificare quali autorità di certificazione sono autorizzate ad emettere certificati per tale dominio. Quando viene richiesto un certificato ACM, AWS Certificate Manager cerca un record CAA nella configurazione di zona DNS del dominio. Se non è presente alcun record CAA, Amazon emetterà un certificato per tale dominio. La maggior parte dei clienti ricade in questa categoria.

Se la configurazione DNS contiene un record CAA, per consentire ad Amazon di emettere un certificato deve specificare una delle seguenti autorità di certificazione: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Per ulteriori informazioni, consulta le sezioni Configure a CAA Record o Troubleshooting CAA Problems nel documento AWS Certificate Manager User Guide.

D: ACM supporta altri metodi di convalida di un dominio?

No, al momento no.

                                                                 Torna all'inizio >>

D: Cos'è la convalida DNS?

Con la convalida DNS, puoi convalidare la proprietà di un dominio aggiungendo un record CNAME nella tua configurazione DNS. Con la convalida DNS è per te facile stabilire che sei il proprietario di un dominio quando richiedi certificati SSL/TLS ad ACM.

D: Quali sono i vantaggi della convalida DNS?

Con la convalida DNS è per te facile convalidare la proprietà o il controllo di un dominio per poter così ottenere un certificato SSL/TLS. Con la convalida DNS, scrivi semplicemente un record CNAME nella tua configurazione DNS per stabilire il controllo del nome del tuo dominio. Per semplificare il processo di convalida DNS, la console di gestione ACM può configurare i record DNS al tuo posto, se gestisci i tuoi record DNS con Amazon Route 53. Ciò rende facile stabilire il controllo del nome del tuo dominio con pochi clic del mouse. Una volta configurato il record CNAME, ACM rinnova automaticamente i certificati che sono in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS. I rinnovi sono completamente automatici e non richiedono immissioni da parte dell'utente.

D: Chi dovrebbe usare la convalida DNS?

Chiunque richieda un certificato tramite ACM e possa cambiare la configurazione DNS per il dominio che sta richiedendo dovrebbe prendere in considerazione l'uso della convalida DNS.

D: ACM supporta ancora la convalida e-mail?

Sì. ACM continua a supportare la convalida e-mail per i clienti che non possono cambiare la propria configurazione DNS.

Q: Che record devo aggiungere alla mia configurazione DNS per convalidare un dominio?

Devi aggiungere un record CNAME per il dominio che vuoi convalidare. Ad esempio per convalidare il nome www.esempio.com, aggiungi un record CNAME alla zona per esempio.com. Il record che aggiungi contiene un token casuale che ACM genera espressamente per il tuo dominio e il tuo account AWS. Puoi ottenere le due parti del record CNAME (nome ed etichetta) da ACM. Per ulteriori istruzioni, consulta la Guida per l'utente ACM.

D: Come posso aggiungere o modificare record DNS per il mio dominio?

Per maggiori informazioni su come aggiungere o modificare record DNS, rivolgiti al tuo provider DNS. La documentazione DNS relativa ad Amazon Route 53 offre ulteriori informazioni per i clienti che usano il sistema DNS Amazon Route 53.

D: ACM può semplificare la convalida DNS per i clienti DNS Amazon Route 53?

Sì. Per i clienti che usano DNS Amazon Route 53 per gestire record DNS, la console ACM può aggiungere record alla loro configurazione DNS quando richiedono un certificato. La tua hosted zone con DNS Route 53 per il tuo dominio deve essere configurata nello stesso account AWS da cui stai facendo la richiesta e devi disporre di permessi sufficienti per cambiare la tua configurazione di Amazon Route 53. Per ulteriori istruzioni, consulta la Guida per l'utente ACM.

D: La convalida DNS richiede che usi uno specifico provider DNS?

No. Puoi usare la convalida DNS con qualsiasi provider DNS a condizione che il provider ti permetta di aggiungere un record CNAME alla tua configurazione DNS.

D: Quanti record DNS mi servono se desidero più di un certificato per lo stesso dominio?

Uno. È possibile ottenere più certificati per lo stesso nome di dominio nello stesso account AWS utilizzando un record CNAME. Ad esempio, se presenti 2 richieste di certificato dallo stesso account AWS per lo stesso nome di dominio, ti serve solo 1 record CNAME DNS.

D: Posso convalidare più nomi di dominio con lo stesso record CNAME?

No. Ogni nome di dominio deve avere un record CNAME esclusivo.

D: Posso convalidare un nome di dominio con caratteri jolly usando la convalida DNS?

Sì.

D: Come fa ACM a costruire i record CNAME?

I record CNAME DNS hanno due componenti: un nome e un'etichetta. La componente nome di un CNAME generato da ACM è costituita da un carattere trattino basso (_) seguito da un token, che è una stringa esclusiva legata al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token al nome del tuo dominio per costruire la componente nome. ACM costruisce l'etichetta da un carattere trattino basso anteposto a un diverso token anch'esso legato al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token a un nome di dominio DNS usato da AWS per le convalide: acm-validations.aws. I seguenti esempi mostrano la formattazione di CNAME per www.esempio.com, sottodominio.esempio.com ed *.esempio.com.

_TOKEN1.www.esempio.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.sottodominio.esempio.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.esempio.com                      CNAME     _TOKEN6.acm-validations.aws

Tenere presente che ACM rimuove l'etichetta carattere jolly (*) quando genera record CNAME per nomi con caratteri jolly. Di conseguenza, il record CNAME generato da ACM per un nome con caratteri jolly (come *.esempio.com) è lo stesso record restituito per il nome di dominio senza l'etichetta carattere jolly (esempio.com).

D: Posso convalidare tutti i sottodomini di un domino usando un record CNAME?

No. Ogni nome di dominio, inclusi quelli host e di sottodomini, deve essere convalidato separatamente e avere un record CNAME esclusivo.

D: Perché per la convalida DNS ACM usa i record CNAME invece dei record TXT?

L'uso di un record CNAME consente ad ACM di rinnovare i certificati a condizione che il record CNAME esista. Il record CNAME rimanda a un record TXT in un dominio AWS (acm-validations.aws) che ACM può aggiornare come necessario per convalidare o riconvalidare un nome di dominio, senza che tu debba fare nulla.

D: La convalida DNS funziona su più regioni AWS?

Sì. Puoi creare un record CNAME DNS e usarlo per ottenere certificati nello stesso account AWS in qualsiasi regione AWS in cui venga offerto ACM. Configura il record CNAME una volta e puoi ottenere i certificati rilasciati e rinnovati da ACM per quel nome senza creare un altro record.

D: Posso scegliere diversi metodi di convalida nello stesso certificato?

No. Ogni certificato può avere un solo metodo di convalida.

D: Come faccio a rinnovare un certificato convalidato con la convalida DNS?

ACM rinnova automaticamente i certificati in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS.

D: Posso revocare l'autorizzazione per emettere certificati per il mio dominio?

Sì. Basta rimuovere il record CNAME. ACM non rilascia o rinnova certificati per il tuo dominio utilizzando la convalida DNS dopo che hai rimosso il record CNAME e dopo che la modifica è stata distribuita tramite DNS. Il tempo di propagazione per rimuovere il record dipende dal tuo provider DNS.

D: Cosa succede se rimuovo il record CNAME?

ACM non può rilasciare o rinnovare certificati per il tuo dominio utilizzando la convalida DNS se rimuovi il record CNAME.

Torna all'inizio >>

D: Cos'è la convalida e-mail?

Con la convalida e-mail, al proprietario del dominio registrato viene inviata una richiesta approvata per ogni nome di dominio riportato nella richiesta di certificato. Il proprietario del dominio o un rappresentante autorizzato (approvatore) può approvare la richiesta di certificato seguendo le istruzioni contenute nell'e-mail. Le istruzioni richiedono all'approvatore di navigare nel sito Web approvato e di fare clic sul collegamento nell'e-mail o di incollare il collegamento dall'e-mail in un browser, al fine di navigare nel sito Web da approvare. L'approvatore conferma le informazioni associate alla richiesta di certificato, come il nome di dominio, l'ID certificato (ARN) e l'ID account AWS che inizializza la richiesta, dopodiché la approva qualora le informazioni risultino accurate.

D: Quando chiedo un certificato e scelgo una convalida e-mail, a quali indirizzi e-mail viene inviata la richiesta di approvazione del certificato?

Quando richiedi un certificato utilizzando la convalida e-mail, viene utilizzata una ricerca WHOIS per ciascun nome di dominio nella richiesta di certificato, al fine di recuperare le informazioni di contatto per il dominio. Viene inviata un'e-mail al registrante del dominio, al contatto amministrativo e al contatto tecnico elencato per il dominio. L'e-mail viene inviata anche a cinque indirizzi e-mail speciali, ai quali viene anteposto admin@, administrator@, hostmaster@, webmaster@ e postmaster@ al nome di dominio che si sta richiedendo. Ad esempio, se si richiede un certificato per server.esempio.com, viene inviata un'e-mail al registrante del dominio, al contatto tecnico e al contatto amministrativo utilizzando le informazioni di contatto restituite da una query WHOIS per il dominio esempio.com, oltre a admin@server.esempio.com, administrator@server.esempio.com, hostmaster@server.esempio.com, postmaster@server.esempio.com e webmaster@server.esempio.com.

Questi cinque indirizzi e-mail speciali vengono creati in modo diverso a seconda di come inizia il nome di dominio, con "www" oppure con nomi con metacaratteri che iniziano con l'asterisco (*). ACM rimuove il prefisso "www" o l'asterisco; l'e-mail viene così inviata agli indirizzi di amministrazione formati con i prefissi admin@, administrator@, hostmaster@, postmaster@ e webmaster@ uniti alla parte rimanente del nome di dominio. Ad esempio, se richiedi un certificato per www.esempio.com, l'e-mail viene inviata ai contatti WHOIS secondo quanto descritto in precedenza, più ad admin@esempio.com, non ad admin@www.esempio.com. Anche gli altri quattro indirizzi speciali vengono composti secondo la stessa regola.

Dopo aver richiesto un certificato, puoi visualizzare l'elenco degli indirizzi e-mail a cui è stata inviata l'e-mail per ciascun dominio, utilizzando la console ACM, CLI AWS o le API.

D: Posso configurare l'indirizzo e-mail a cui viene inviata la richiesta di approvazione certificato?

No, ma puoi configurare il nome di dominio base a cui desideri che venga inviata l'e-mail di convalida. Il nome di dominio base deve essere un dominio superiore del nome dominio indicato nella richiesta di certificato. Ad esempio, se richiedi un certificato per server.dominio.esempio.com ma desideri che sia admin@dominio.esempio.com a ricevere l'e-mail di approvazione, puoi farlo utilizzando la CLI o l'API AWS. Consulta Riferimento CLI ACM e Riferimento API ACM per ulteriori dettagli.

D: Posso utilizzare i domini che presentano informazioni di contatto proxy (come Privacy Guard o WhoisGuard)?

Sì, tuttavia la consegna delle e-mail potrebbe essere ritardata a causa del proxy. Un'e-mail inviata attraverso un proxy potrebbe finire nella cartella dello spam. Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

D: Posso convalidare la mia identità mediante ACM utilizzando il contatto tecnico del mio account AWS?

No. Le procedure e le policy per la convalida dell'identità del proprietario del dominio sono molto restrittive e determinate dal Forum CA/Browser, che imposta gli standard delle policy per le autorità di certificazione considerate pubblicamente attendibili. Per ulteriori informazioni, fai riferimento alla più recente Amazon Trust Services Certification Practices Statement contenuta nell'Amazon Trust Services Repository.

D: Cosa devo fare se non ricevo l'e-mail di approvazione?

Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

Torna all'inizio >>

D: I certificati forniti da ACM sono ritenuti attendibili dai browser, dai sistemi operativi e dai dispositivi mobili?

I certificati forniti da ACM sono ritenuti attendibili da gran parte dei browser, dei sistemi operativi e dei dispositivi mobili moderni. I certificati forniti da ACM presentano un'ubiquità del 99% tra browser e sistemi operativi, inclusi Windows XP SP3 e Java 6 e versioni successive.

D: Come posso confermare che il mio browser ritiene attendibili i certificati forniti da ACM?

I browser che ritengono attendibili i certificati forniti da ACM mostrano un'icona a forma di lucchetto e non emettono avvisi sui certificati al momento di connettersi a siti che utilizzano certificati forniti da ACM su SSL/TLS, ad esempio in caso di utilizzo di HTTPS.

I certificati forniti da ACM vengono verificati dall'autorità di certificazione (CA) di Amazon. Qualsiasi browser, applicazione o sistema operativo che includa Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 o Starfield Class 2 Certification Authority ritiene affidabile i certificati forniti da ACM.

D: ACM può fornire certificati con più nomi di dominio?

Sì. Ciascun certificato deve includere almeno un nome di dominio, inoltre puoi aggiungere nomi aggiuntivi al certificato se necessario. Ad esempio, puoi aggiungere il nome "www.esempio.net" a un certificato per "www.esempio.com" se gli utenti possono raggiungere il tuo sito utilizzando entrambi i nomi. Devi possedere o controllare tutti i nomi inclusi nella tua richiesta di certificato.

D: Cosa si intende per nome di dominio con caratteri jolly?

Un nome di dominio con caratteri jolly corrisponde a qualsiasi dominio secondario di primo livello o nome host in un dominio. Un dominio secondario di primo livello è un'etichetta di nome di dominio singolo che non contiene un punto. Ad esempio, puoi utilizzare il nome *.esempio.com per proteggere www.esempio.com, immagini.esempio.com e qualsiasi altro nome host o dominio secondario di primo livello che termini con .esempio.com. Per ulteriori informazioni, consulta la Guida per l'utente ACM.

D: ACM può fornire certificati con nomi di dominio con caratteri jolly?

Sì.

D: ACM fornisce certificati di tipo Organizational Validation (OV) o Extended Validation (EV)?

No, al momento no.

D: ACM fornisce certificati per qualsiasi altro elemento diverso dalla protezione SSL/TLS per i siti Web?

No, al momento no.

D: Posso utilizzare i certificati forniti da ACM per la firma di codici o per la cifratura di e-mail?

No.

D: ACM fornisce certificati utilizzati per firmare e cifrare le e-mail (certificati S/MIME)?

No, al momento no.

D: Quali algoritmi sono utilizzati dai certificati forniti da ACM?

I certificati ACM utilizzano chiavi RSA con un modulo a 2048 bit e SHA-256.

D: ACM supporta i certificati a curva ellittica (ECDSA)?

No, al momento no.

D: In quale documento Amazon descrive le proprie policy e pratiche per l'emissione di certificati?

Sono descritte nei documenti Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulta il repository Amazon Trust Services per conoscere le versioni più recenti.

D: Come posso revocare un certificato?

Puoi richiedere ad ACM di revocare un certificato visitando l'AWS Support Center e aprendo una pratica. 

D: Come posso notificare a AWS eventuali cambiamenti alle informazioni contenute in un certificato?

Puoi darne comunicazione ad AWS inviando un'e-mail a validation-questions[at]amazon.com.

Torna all'inizio >>

D: quali sono le chiavi private dei certificati gestiti forniti da ACM?

Viene creata una coppia di chiavi per ogni certificato fornito da ACM. AWS Certificate Manager è progettato per proteggere e gestire le chiavi private utilizzate con i certificati SSL/TLS. Per la protezione e l'archiviazione delle chiavi private vengono utilizzate le best practice per la crittografia e la gestione delle chiavi avanzate.

D: ACM copia i certificati tra le Regioni AWS?

No. La chiave privata di ciascun certificato ACM viene archiviata nella Regione in cui si richiede il certificato. Ad esempio, quando si ottiene un nuovo certificato nella Regione degli Stati Uniti orientali (Virginia settentrionale), ACM archivia la chiave privata nella Regione Virginia settentrionale. I certificati ACM vengono copiati solo tra le Regioni se il certificato viene associato a una distribuzione CloudFront. In tale caso, CloudFront distribuisce il certificato ACM alle posizioni geografiche configurate per la tua distribuzione.

D: Posso rivedere l'uso delle chiavi private del certificato?

Sì. Utilizzando AWS CloudTrail puoi rivedere i registri che ti segnaleranno quando è stata usata la chiave privata per il certificato.

Torna all'inizio >>

D: Come viene addebitato e fatturato il mio utilizzo dei certificati ACM?

I certificati SSL/TLS forniti, gestiti e distribuiti mediante AWS Certificate Manager sono gratuiti. Paghi solo le risorse AWS create per eseguire la tua applicazione, come i sistemi i bilanciamento del carico Elastic Load Balancing o le distribuzioni Amazon CloudFront.

Torna all'inizio >>

D: Posso usare lo stesso certificato con più sistemi di bilanciamento del carico Elastic Load Balancing e più distribuzioni CloudFront?

Sì.

D: Possono usare i certificati per i sistemi interni di bilanciamento del carico Elastic Load Balancing senza un accesso pubblico a Internet?

Sì. Consulta Rinnovo e distribuzione gestiti per i dettagli sul modo in cui ACM gestisce i rinnovi per i certificati non raggiungibili dalla rete Internet pubblica.

D: Un certificato per www.esempio.com funzionerà anche per esempio.com?

No. Se desideri ottenere un riferimento al tuo sito mediante entrambi i nomi di dominio (www.esempio.com e esempio.com) devi richiedere un certificato che li includa entrambi.

D: Posso importare un certificato di terzi e utilizzarlo con i servizi AWS?

Sì. Se desideri utilizzare un certificato di terze parti con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, devi importarlo in ACM utilizzando la Console di gestione AWS, la CLI AWS o le API ACM. ACM non gestisce il processo di rinnovo per i certificati importati. Per monitorare la scadenza di certificati importati e importare eventuali sostituti quando la data si avvicina puoi utilizzare la Console di gestione AWS.

D: Qual è il periodo di validità per i certificati forniti da ACM?

I certificati forniti da ACM sono attualmente validi per 13 mesi.

D: In che modo ACM può aiutare la mia organizzazione a rispettare i miei requisiti di conformità?

L'utilizzo di ACM contribuisce a rispettare i requisiti normativi, semplificando lo stabilimento di connessioni sicure, un requisito comune in molti programmi di conformità, come PCI, FedRAMP e HIPAA. Per informazioni specifiche sulla conformità, consulta http://aws.amazon.com/compliance.

D: ACM dispone di un contratto sul livello di servizio (SLA)?

No, al momento no.

D: ACM consente l'inserimento di caratteri nella lingua locale nei nomi di dominio, detti anche Internationalized Domain Names (IDN)?

ACM non consente l'uso di caratteri nella lingua locale con codifica Unicode, tuttavia, ACM consente l'inserimento di caratteri nella lingua locale con codifica ASCII per i nomi di dominio.

D: Quali formati dell'etichetta con nome di dominio sono consentiti da ACM?

ACM consente solo il formato ASCII con codifica UTF-8, incluse le etichette contenenti "xn–", detto anche Punycode per i nomi di dominio. ACM non accetta l'immissione Unicode (u-labels) per i nomi di dominio.

D: ACM fornisce un logo o un simbolo da mostrare sul sito Web?

No. Se desideri disporre di un logo da mostrare sul sito, puoi ottenerne da fornitori di terze parti. Ti consigliamo di scegliere un fornitore che offra valutazioni sulla sicurezza del sito o sulle prassi aziendali (o su entrambe).

D: È permesso l'utilizzo di marchio commerciale o logo di Amazon per certificare l'affidabilità o la validità di un sito Web?

No. Loghi e simboli di questo tipo possono essere copiati da altri siti che non utilizzano il servizio ACM e quindi essere impiegati in modo improprio per dare una falsa impressione di affidabilità. Per proteggere i nostri clienti e la reputazione di Amazon, non consentiamo l'utilizzo del nostro logo per questo scopo.

Torna all'inizio >>

D: Quali informazioni di registrazione sono disponibili mediante AWS CloudTrail?

Puoi identificare quali utenti e account hanno richiamato le API AWS per i servizi che supportano AWS CloudTrail, l'indirizzo IP sorgente da cui sono state effettuate le chiamate e quando sono avvenute. Ad esempio, puoi identificare quale utente ha effettuato una chiamata API per associare un certificato fornito da ACM a un Elastic Load Balancer, così come quando il servizio Elastic Load Balancing ha decrittato la chiave con una chiamata API KMS.

Torna all'inizio >>

D: Cosa si intende per rinnovo e distribuzione gestiti da ACM?

Il rinnovo e la distribuzione gestiti da ACM consentono di gestire il processo di rinnovo dei certificati SL/TLS forniti da ACM, così come la distribuzione dei certificati dopo il loro rinnovo.

D: Quali sono i vantaggi associati all'uso del rinnovo e della distribuzione gestiti da ACM?

ACM gestisce il rinnovo e la distribuzione di certificati SSL/TLS al posto tuo. ACM effettua la configurazione e la manutenzione SSL/TLS per un servizio Web sicuro o un'applicazione più solidi dal punto di vista operativo rispetto a processi manuali potenzialmente soggetti a errori. Il rinnovo e la distribuzione gestiti possono aiutarti a evitare i tempi di fermo dovuti alla scadenza dei certificati. Il rinnovo e la distribuzione gestiti da ACM non richiedono di installare o manutenere un client o un agente software presso il tuo sito. ACM opera come servizio che si integra con altri servizi AWS. Ciò significa che puoi gestire e distribuire centralmente i certificati sulla piattaforma AWS utilizzando la Console di gestione AWS, la CLI o le API AWS.

D: Quali certificati possono essere rinnovati e distribuiti automaticamente?

ACM può rinnovare e distribuire certificati forniti da ACM senza alcuna ulteriore convalida dal proprietario del dominio. Se non è possibile rinnovare un certificato senza una convalida aggiuntiva, ACM gestisce il processo di rinnovo convalidando la proprietà o il controllo del dominio per ogni nome di dominio presente nel certificato. Una volta convalidato ciascun nome di dominio nel certificato, ACM rinnova il certificato e lo distribuisce automaticamente con le tue risorse AWS. Se ACM non può convalidare la proprietà del dominio, ti informeremo (in quanto proprietario dell'account AWS).

Se scegli la convalida DNS nella tua richiesta di certificato, ACM può rinnovare a tempo indefinito il tuo certificato senza che tu debba far altro, a condizione che il certificato sia in uso (associato con altre risorse AWS) e che esista il tuo record CNAME. Se hai selezionato la convalida e-mail al momento della richiesta di un certificato, per migliorare la capacità di ACM di rinnovare e distribuire automaticamente i certificati forniti da ACM, assicurati che il certificato sia in uso e che tutti i nomi di dominio inclusi nel certificato possano essere risolti verso il tuo sito e siano raggiungibili da Internet.

D: Quando avviene il rinnovo dei certificati da parte di ACM?

ACM inizia il processo di rinnovo fino a 60 giorni prima della data di scadenza del certificato. Il periodo di validità per i certificati forniti da ACM è attualmente di 13 mesi. Consulta il documento ACM User Guide per ulteriori informazioni sui rinnovamenti gestiti.

D: Verrò informato in merito al rinnovo del mio certificato e alla distribuzione del nuovo certificato?

No. ACM può rinnovare o emettere una nuova chiave per il certificato e sostituire il precedente senza previo avviso.

D: ACM può rinnovare i certificati contenenti unicamente domini, come "esempio.com" (detti anche Apex di zona)?

Se scegli la convalida DNS nella tua richiesta di certificato, ACM può rinnovare il tuo certificato senza che tu debba far altro, a condizione che il certificato sia in uso (associato con altre risorse AWS) e che esista il tuo record CNAME.

Se hai selezionato la convalida e-mail al momento di richiedere un certificato con un dominio senza www iniziale, assicurati che la ricerca DNS del dominio senza www si risolva con la risorsa AWS associata al certificato. Risolvere tale tipo di dominio per una risorsa AWS può risultare complicato, a meno di utilizzare Route 53 o un altro fornitore di DNS che supporti i record di risorsa alias (o il rispettivo equivalente) per la mappatura di questi domini alle risorse AWS. Per ulteriori informazioni, fai riferimento alla Route 53 Developer Guide.

D: Il mio sito interrompe le connessioni esistenti quando ACM distribuisce il certificato rinnovato?

No, le connessioni stabilite dopo la distribuzione del nuovo certificato utilizzano quest'ultimo, mentre le connessioni esistenti non sono interessate.

Torna all'inizio >>