D: Che cos'è AWS Certificate Manager (ACM)?

AWS Certificate Manager è un servizio che semplifica il provisioning, la gestione e la distribuzione di certificati Secure Sockets Layer/Transport Layer Security (SSL/TLS) pubblici e privati per l'uso con servizi AWS e risorse connesse interne. I certificati SSL/TLS sono utilizzati per rendere sicure le comunicazioni di rete e stabilire l'identità di siti Web su Internet e di risorse su reti private. AWS Certificate Manager rimuove il lungo processo manuale di acquisto, caricamento e rinnovo dei certificati SSL/TLS. Con AWS Certificate Manager, puoi richiedere con la massima rapidità un certificato, distribuirlo su risorse AWS, ad esempio sistemi di bilanciamento del carico di Elastic Load Balancer, distribuzioni Amazon CloudFront o API in Amazon API Gateway, e consentire ad AWS Certificate Manager di gestirne il rinnovo. Il servizio, inoltre, permette di creare certificati privati per le risorse interne e di gestirne il ciclo di vita in modo centralizzato. I certificati SSL/TLS pubblici e privati creati con AWS Certificate Manager e utilizzati esclusivamente con i servizi integrati con ACM, ad esempio Elastic Load Balancing, Amazon CloudFront e Amazon API Gateway, sono gratuiti. I prezzi sono calcolati in base alle risorse AWS che vengono create per eseguire l'applicazione. È prevista una tariffa mensile per il funzionamento di ciascuna CA privata attiva e una tariffa per i certificati privati emessi ogni mese (che non siano utilizzati esclusivamente con servizi integrati con ACM).

D: Che cos'è un certificato SSL/TLS?

I certificati SSL/TLS consentono ai browser Web di identificare e stabilire connessioni di rete criptate per i siti Web che utilizzano il protocollo Sockets Layer/Transport Layer Security (SSL/TLS). I certificati vengono utilizzati all'interno di un sistema crittografico noto come infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). L'infrastruttura a chiave pubblica fornisce a una parte un modo per stabilire l'identità di una seconda parte mediante i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. Per ulteriori informazioni e definizioni precise, consulta la sezione Concepts del documento ACM User Guide

D: Cosa sono i certificati privati?

I certificati privati identificano le risorse interne a un'azienda, ad esempio applicazioni, servizi, dispositivi e utenti. Stabilendo un canale di comunicazione crittografato sicuro, ciascun endpoint usa un certificato e una tecnica di crittografia per provare la propria identità all'altro endpoint. Endpoint di API interni, server Web, utenti VPN, dispositivi IoT e molte altre applicazioni utilizzando certificati privati per stabilire canali di comunicazione crittografati necessari per la sicurezza.

D: Qual è la differenza tra certificati pubblici e privati?

Entrambi i tipi di certificati aiutano i clienti a identificare le risorse in rete e a stabilire comunicazioni sicure tra tali risorse. I certificati pubblici identificano le risorse su connessioni Internet pubbliche, mentre i certificati privati eseguono le stesse operazioni su reti private. Una differenza importante è che le applicazioni e i browser ritengono affidabili i certificati pubblici automaticamente, mentre per ottenere lo stesso risultato con dei certificati privati è necessario configurare esplicitamente le applicazioni. Le autorità di certificazione pubblica, ovvero le entità che emettono certificati pubblici, devono seguire regole molto severe, offrire visibilità sulle proprie operazioni e soddisfare gli standard di sicurezza imposti produttori di browser e sistemi operativi, i quali decidono quali CA i propri prodotti riterranno affidabili. Le autorità di certificazione privata sono gestite da aziende private; i loro amministratori possono creare regole personalizzate per l'emissione di certificati privati, ad esempio decidendo prassi di emissione e informazioni da includere. Consulta ACM Private CA per ulteriori informazioni su certificati privati e autorità di certificazione privata.

D: Quali sono i vantaggi di AWS Certificate Manager (ACM) e ACM Private Certificate Authority (CA)?

ACM semplifica l'implementazione della protezione SSL/TLS in un sito Web o un'applicazione sulla piattaforma AWS. ACM elimina molti dei processi manuali precedentemente associati all'utilizzo di e alla gestione dei certificati SSL/TLS. ACM contribuisce inoltre a evitare i tempi di fermo dovuti a una configurazione errata, alla revoca o alla scadenza di certificati attraverso la gestione dei rinnovi. È così possibile ottenere protezione SSL/TLS e gestire i certificati in modo più semplice. L'utilizzo dei protocolli SSL/TLS su siti Web pubblicati su Internet può contribuire a migliorarne il posizionamento nei motori di ricerca e a soddisfare i requisiti di conformità normativa per la crittografia dei dati in transito.

Utilizzando ACM per gestire i certificati, le relative chiavi private vengono protette e archiviate mediante best practice di gestione delle chiavi e crittografia avanzata. Con ACM, è possibile utilizzare Console di gestione AWS, interfaccia a riga di comando e API AWS Certificate Manager per gestire in modo centralizzato tutti i certificati SSL/TLS di ACM in una regione AWS. ACM è integrato in altri servizi AWS, perciò è possibile richiedere un certificato SSL/TLS ed effettuarne il provisioning con sistemi di bilanciamento del carico Elastic Load Balancing o distribuzioni Amazon CloudFront utilizzando Console di gestione AWS, interfaccia a riga di comando o chiamate API.

ACM Private CA è un servizio di CA privata che facilita la gestione del ciclo di vita dei certificati privati in tutta sicurezza. ACM Private CA fornisce un servizio di CA privata ad elevata disponibilità senza investimenti anticipati o costi di manutenzione. ACM Private CA estende le funzionalità di gestione di certificati di ACM ai certificati privati, consentendone una gestione unificata e centralizzata. Il servizio permette agli sviluppatori una maggiore agilità, fornendo loro API per creare e distribuire in modo programmatico certificati privati. Inoltre, offre grande flessibilità, poiché permette di soddisfare le esigenze di applicazioni che richiedono certificati con durate o nomi di risorse personalizzati. Con ACM Private CA, è possibile creare, gestire e monitorare certificati privati per risorse connesse in modo centralizzato, mediante un servizio sicuro, a consumo e gestito di CA privata. 

D: Quali tipi di certificati è possibile creare e gestire con ACM?

ACM permette di gestire il ciclo di vita di certificati pubblici e privati. Le funzionalità di ACM dipendono da diversi fattori: se il certificato è privato o pubblico, come è stato ottenuto e dove sarà distribuito. Consulta la sezione Certificati ACM pubblici per ulteriori informazioni sui certificati pubblici e la sezione ACM Private CA in basso per ulteriori informazioni su certificati privati e autorità di certificazione privata.

Certificati pubblici: ACM gestisce il rinnovo e la distribuzione dei certificati pubblici utilizzati con servizi integrati con ACM, ad esempio Amazon CloudFront, Elastic Load Balancing e Amazon API Gateway.

Certificati privati: ACM Private CA offre tre modi per creare e gestire certificati privati. 1) È possibile scegliere di delegare la gestione dei certificati privati ad ACM. Impiegando questo metodo, ACM rinnova e distribuisce automaticamente i certificati utilizzati con servizi integrati con ACM, ad esempio Amazon CloudFront, Elastic Load Balancing e Amazon API Gateway. Questi certificati privati possono essere distribuiti con la massima facilità tramite Console di gestione AWS, API e interfaccia a riga di comando. 2) È possibile esportare i certificati privati da ACM e utilizzarli con istanze EC2, container, server locali e dispositivi IoT. ACM Private CA rinnova automaticamente questi certificati e invia una notifica di Amazon CloudWatch quando il rinnovo è stato completato. È possibile scrivere codice lato client per scaricare certificati rinnovati e chiavi private e distribuirli con le applicazioni. 3) ACM Private CA consente anche di creare chiavi private personalizzate, generare una richiesta di firma di certificato o CSR (Certificate Signing Request), emettere certificati privati tramite la CA privata e gestire le chiavi e i certificati manualmente. Anche il rinnovo e la distribuzione di questi certificati privati saranno manuali.

Certificati importati: per utilizzare un certificato di terze parti con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, è necessario importarlo in ACM utilizzando Console di gestione AWS, interfaccia a riga di comando o API ACM. ACM non gestisce il processo di rinnovo per i certificati importati. Sarà pertanto l'utente a dover tenere sotto controllo la data di scadenza di questi certificati e a rinnovarli tempestivamente. Per monitorare la scadenza di certificati importati e importare eventuali sostituti quando la data si avvicina, è possibile utilizzare la Console di gestione AWS.

D: Che cosa occorre per cominciare a utilizzare ACM?

È possibile aprire la Console di gestione AWS, individuare Certificate Manager e avviare la procedura guidata per richiedere un certificato SSL/TLS. Se è già stata creata un'autorità di certificazione privata di ACM, è possibile decidere di creare un certificato pubblico o privato, immettendo quindi il nome del sito. Consulta ACM Private CA e Certificati ACM pubblici per determinare quale tipo di certificato è necessario e per scoprire di più su ACM Private CA. In alternativa, è possibile richiedere un certificato tramite l'interfaccia a riga di comando o l'API AWS. Una volta emesso il certificato, è possibile utilizzarlo con altri servizi AWS che si integrano con ACM. Per ogni servizio integrato, sarà sufficiente selezionare il certificato SSL/TLS richiesto da un elenco a discesa all'interno della Console di gestione AWS. In alternativa, puoi eseguire un comando della CLI di AWS o richiamare un'API per associare il certificato alla risorsa desiderata. Il servizio integrato distribuisce quindi il certificato alla risorsa da te selezionata. Per ulteriori informazioni su come richiedere e utilizzare certificati forniti da AWS Certificate Manager, consulta la sezione Getting Started nel documento AWS Certificate Manager User Guide. I certificati privati possono essere utilizzati non solo con servizi integrati con ACM, ma anche con istanze EC2, container ECS e qualsiasi altra risorsa. Consulta Private Certificate Authority per ulteriori dettagli.

D: Con quali servizi AWS è possibile utilizzare i certificati ACM?

I certificati ACM pubblici e privati possono essere utilizzati con i seguenti servizi AWS:
• Elastic Load Balancing: consulta la documentazione di Elastic Load Balancing.
• Amazon CloudFront: consulta la documentazione di CloudFront.
• Amazon API Gateway: consulta la documentazione di API Gateway.
• AWS Elastic Beanstalk: consulta la documentazione di AWS Elastic Beanstalk.
• AWS CloudFormation: il supporto è al momento limitato ai certificati pubblici provvisti di convalida e-mail. Consulta la documentazione di AWS CloudFormation.  

Inoltre, è possibile utilizzare i certificati privati emessi con ACM Private CA su istanze EC2, container, dispositivi IoT e server locali.

D: In quali Regioni è disponibile ACM?

Visita le pagine Infrastruttura globale AWS per conoscere la disponibilità nella Regione corrente dei servizi AWS. Per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiederlo o importarlo nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per tale distribuzione. 

D: Cos'è ACM Private CA?

I certificati privati sono utilizzati per identificare e proteggere le comunicazioni tra risorse connesse in reti private, ad esempio server, dispositivi mobili e IoT e applicazioni. ACM Private CA è un servizio di CA privata che facilita la gestione del ciclo di vita dei certificati privati in tutta sicurezza. ACM Private CA fornisce un servizio di CA privata ad elevata disponibilità senza investimenti anticipati o costi di manutenzione. ACM Private CA estende le funzionalità di gestione di certificati di ACM ai certificati privati, consentendone una gestione unificata e centralizzata. È possibile creare e distribuire certificati privati per le risorse AWS con la massima semplicità avvalendosi di Console di gestione AWS o API ACM. Per istanze EC2, container, dispositivi IoT e risorse locali, è possibile creare e monitorare certificati locali, utilizzando codice di automazione lato cliente personalizzato per distribuirli. Il servizio, inoltre, offre grande flessibilità, poiché permette di soddisfare le esigenze di applicazioni che richiedono certificati con durate, algoritmi delle chiavi o nomi di risorse personalizzati. Scopri di più su ACM Private CA.  

D: Cosa sono i certificati privati?

I certificati privati identificano le risorse interne a un'azienda, ad esempio applicazioni, servizi, dispositivi e utenti. Stabilendo un canale di comunicazione crittografato sicuro, ciascun endpoint usa un certificato e una tecnica di crittografia per provare la propria identità all'altro endpoint. Endpoint di API interni, server Web, utenti VPN, dispositivi IoT e molte altre applicazioni utilizzando certificati privati per stabilire canali di comunicazione crittografati necessari per la sicurezza.  

D: Cos'è un'autorità di certificazione o CA (Certificate Authority) privata?

Un'autorità di certificazione privata gestisce emissione, convalida e revoca di certificati privati in reti private (ovvero non su Internet). È composta da due elementi: il primo è il certificato della CA, l'elemento di crittografia costitutivo con cui vengono emessi i certificati. Il secondo è un set di servizi di runtime con cui conservare le informazioni di revoca tramite gli elenchi di revoche di certificati o CRL (Certificate Revocation List). Quando le risorse cercano di connettersi tra loro, verificano lo stato dei certificati di ciascuna entità nel CRL. Se i certificati sono validi, viene completato un handshake tra le risorse, che comprova tramite crittografia l'identità delle entità tra loro, creando un canale di comunicazione crittografato (TLS/SSL).

D: Quali sono le differenze tra certificati privati e autorità di certificazione privata e certificati pubblici e autorità di certificazione pubblica?

Autorità private e pubbliche sono composte dagli stessi elementi. Tuttavia, le autorità di certificazione pubblica devono emettere e convalidare certificati per risorse su Internet, mentre quelle di certificazione privata eseguono le stesse operazioni per reti privati. Una differenza importante è che le applicazioni e i browser ritengono affidabili i certificati pubblici automaticamente, mentre per ottenere lo stesso risultato con dei certificati privati è necessario configurare esplicitamente le applicazioni. Le autorità di certificazione pubblica devono seguire regole molto severe, offrire visibilità sulle proprie operazioni e soddisfare gli standard di sicurezza imposti produttori di browser e sistemi operativi, i quali decidono quali CA i propri prodotti riterranno affidabili. Gli amministratori delle autorità di certificazione privata possono creare regole personalizzate per l'emissione di certificati privati, ad esempio decidendo prassi di emissione e informazioni da includere.

D: Perché le aziende usano certificati privati invece di certificati pubblici?

I certificati privati offrono un livello di flessibilità superiore, permettendo di identificare qualsiasi tipo di risorsa in un'azienda senza divulgarne pubblicamente il nome. I certificati privati, infatti, possono utilizzare nomi come Wiki.internal, indirizzo IP 192.168.1.1, sensore-antincendio-123 e utente123. Al contrario, i certificati pubblici sono strettamente obbligati a identificare le risorse con nomi DNS pubblici, ad esempio www.esempio.com. I certificati privati possono includere informazioni non consentite in certificati pubblici. Alcune applicazioni aziendali sfruttano la possibilità di utilizzare le informazioni aggiuntive possibili con i certificati privati e non potrebbero offrire le stesse funzionalità con certificati pubblici.

D: Cosa sono i certificati autofirmati e quali sono i loro svantaggi rispetto alle autorità di certificazione privata?

I certificati autofirmati sono quelli emessi senza autorità di certificazione. A differenza dei certificati emessi dalla radice protetta mantenuta da una CA, i certificati autofirmati sono essi stessi la radice; di conseguenza presentano limitazioni importanti, perché ad esempio possono essere utilizzati per fornire crittografia in transito ma non per verificare le identità; inoltre, non possono essere revocati. Dal punto di vista della sicurezza non sono sostenibili, ma sono spesso utilizzati comunque perché sono semplici da generare, non richiedono esperienza né infrastruttura e sono accettati da molte applicazioni. Non sono disponibili controlli per l'emissione di certificati autofirmati. Le aziende che li usano vanno incontro a rischi maggiori di interruzioni causate dalla scadenza dei dispositivi, perché non è possibile mantenere sotto controllo le date di scadenza. Grazie a ACM Private CA, è possibile risolvere tutti questi problemi.

D: Che cosa occorre per cominciare a utilizzare ACM Private CA?

È possibile aprire la Console di gestione AWS, individuare Certificate Manager e selezionare Private CAs sul lato sinistro della schermata. Seleziona Get started per avviare la creazione di un'autorità di certificazione privata. Per ulteriori informazioni, consulta la sezione Getting Started nel documento ACM Private CA User Guide.

D: Dove è possibile reperire ulteriori informazioni su ACM Private CA?

Consulta la pagina dei dettagli di ACM Private CA e i documenti ACM Private CA User Guide, ACM Private CA API Reference e ACM in AWS CLI Reference per ulteriori informazioni. 

                                                                 Torna all'inizio >>

D: Quali tipi di certificati gestisce ACM?

ACM è in grado di gestire certificati pubblici, privati e importati. Consulta la domanda su come gestire i certificati con ACM per ulteriori informazioni sulle funzionalità di gestione del servizio con ciascun tipo di certificato.

D: ACM può fornire certificati con più nomi di dominio?

Sì. Ciascun certificato deve includere almeno un nome di dominio, inoltre puoi aggiungere nomi aggiuntivi al certificato se necessario. Ad esempio, puoi aggiungere il nome "www.esempio.net" a un certificato per "www.esempio.com" se gli utenti possono raggiungere il tuo sito utilizzando entrambi i nomi. Tutti i nomi inclusi nella richiesta di certificato devono essere di tua proprietà o sotto il tuo controllo.  

D: Cosa si intende per nome di dominio con caratteri jolly?

Un nome di dominio con caratteri jolly corrisponde a qualsiasi dominio secondario di primo livello o nome host in un dominio. Un dominio secondario di primo livello è un'etichetta di nome di dominio singolo che non contiene un punto. Ad esempio, puoi utilizzare il nome *.esempio.com per proteggere www.esempio.com, immagini.esempio.com e qualsiasi altro nome host o dominio secondario di primo livello che termini con .esempio.com. Per ulteriori informazioni, consulta la Guida per l'utente ACM.

D: ACM può fornire certificati con nomi di dominio con caratteri jolly?

Sì.

D: ACM fornisce certificati per altri elementi, oltre a SSL/TLS?

I certificati gestiti in ACM sono destinati all'uso con i protocolli SSL/TLS. Se vengono emessi certificati privati direttamente da una CA privata di ACM e vengono gestiti insieme alle chiavi senza impiegare ACM, è possibile configurare oggetto, periodo di validità, algoritmo della chiave e algoritmo di firma dei certificati privati, utilizzandoli con il protocollo SSL/TLS e altre applicazioni.

D: È possibile utilizzare certificati ACM per la firma di codice o la crittografia della posta?

No.

D: ACM fornisce certificati utilizzati per firmare e crittografare la posta elettronica (certificati S/MIME)?

No, al momento no.

D: Qual è il periodo di validità dei certificati ACM?

I certificati emessi utilizzando ACM sono validi per 13 mesi. Se vengono emessi certificati privati direttamente da un'autorità di certificazione privata di ACM e sia chiavi sia certificati vengono gestiti senza avvalersi di ACM, è possibile scegliere un periodo di validità personalizzato, indicando una data di scadenza specifica o un periodo successivo all'emissione, sia esso nell'ordine di giorni, mesi o anni.

D: Quali algoritmi impiegano i certificati ACM?

I certificati gestiti in ACM usano chiavi RSA a 2048 bit e SHA-256. Se i certificati privati vengono emessi direttamente da un'autorità di certificazione privata di ACM e sia chiavi sia certificati vengono gestiti tramite ACM, è anche possibile emettere certificati con crittografia a curva ellittica (ECDSA). ACM, per il momento, non offre la possibilità di gestire tali certificati.  

D: In che modo è possibile revocare un certificato?

Per richiedere ad ACM la revoca di un certificato pubblico, è necessario accedere al Centro di supporto AWS e aprire un ticket. Per revocare un certificato privato emesso da un'autorità di certificazione privata di ACM, consulta il documento ACM Private CA User Guide. 

D: È possibile copiare un certificato su più regioni AWS?

No, al momento non è possibile copiare certificati gestiti da ACM su più regioni. È possibile copiare certificati privati esportati da ACM e certificati emessi direttamente con un'autorità di certificazione privata di ACM senza utilizzare ACM per la gestione di chiavi e certificati.

D: È possibile utilizzare lo stesso certificato in più regioni AWS?

Dipende se utilizzi Elastic Load Balancing o Amazon CloudFront. Se desideri utilizzare un certificato con Elastic Load Balancing per lo stesso sito (lo stesso nome di dominio completo o FQDN o serie di FQDN) in una Regione differente, dovrai richiedere un nuovo certificato per ogni Regione in cui prevedi di utilizzarlo. Per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiederlo nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione che sono associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per quella distribuzione.

D: È possibile effettuare il provisioning di un certificato con ACM se è già disponibile un certificato da un altro fornitore per lo stesso nome di dominio?

Sì.

D: È possibile utilizzare i certificati su istanze Amazon EC2 o su server locali?

È possibile utilizzare i certificati privati emessi con ACM Private CA su istanze EC2, container, dispositivi IoT e server locali. Al momento, i certificati ACM pubblici possono essere utilizzati solo con determinati servizi AWS. Consulta la domanda Con quali servizi AWS è possibile utilizzare i certificati ACM?.

 

D: ACM consente l'inserimento di caratteri nella lingua locale nei nomi di dominio, detti anche Internationalized Domain Names (IDN)?

ACM non consente l'uso di caratteri nella lingua locale con codifica Unicode, tuttavia, ACM consente l'inserimento di caratteri nella lingua locale con codifica ASCII per i nomi di dominio.

D: Quali formati dell'etichetta con nome di dominio sono consentiti da ACM?

ACM consente solo il formato ASCII con codifica UTF-8, incluse le etichette contenenti "xn–", detto anche Punycode per i nomi di dominio. ACM non accetta l'immissione Unicode (u-labels) per i nomi di dominio. 

                                                                 Torna all'inizio >>

D: Cosa sono i certificati pubblici?

Entrambi i tipi di certificati, pubblici e privati, aiutano i clienti a identificare le risorse in rete e a stabilire comunicazioni sicure tra tali risorse. I certificati pubblici identificano le risorse su Internet.

D: Quali tipi di certificati pubblici fornisce ACM?

ACM fornisce i certificati di tipo Domain Validated (DV) per l'uso con siti Web e applicazioni che terminano la protezione tramite SSL/TLS. Per ulteriori informazioni sui certificati ACM, consulta il documento ACM Certificate Characteristics.

D: I certificati ACM pubblici sono ritenuti affidabili da browser, sistemi operativi e dispositivi mobili?

I certificati ACM pubblici sono ritenuti affidabili dai più moderni browser, sistemi operativi e dispositivi mobili. I certificati forniti da ACM presentano un'ubiquità del 99% tra browser e sistemi operativi, inclusi Windows XP SP3 e Java 6 e versioni successive.

D: In che modo è possibile confermare che il browser ritiene affidabili i certificati ACM pubblici?

I browser che ritengono attendibili i certificati ACM mostrano un'icona a forma di lucchetto e non emettono avvisi sui certificati al momento di connettersi a siti che usano certificati ACM su SSL/TLS, ad esempio con il protocollo HTTPS.

I certificati ACM pubblici sono verificati dall'autorità di certificazione di Amazon. Qualsiasi browser, applicazione o sistema operativo che includa Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 o Starfield Class 2 Certification Authority ritiene affidabile i certificati ACM.

D: ACM fornisce certificati di tipo Organizational Validation o Extended Validation?

No, al momento no.

D: Dove vengono descritte le policy e le pratiche per l'emissione di certificati di Amazon?

Sono descritte nei documenti Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulta il repository Amazon Trust Services per conoscere le versioni più recenti.

D: In che modo è possibile avvisare AWS di eventuali cambiamenti alle informazioni contenute in un certificato pubblico?

Puoi darne comunicazione ad AWS inviando un'e-mail a validation-questions[at]amazon.com.

                                                                 Torna all'inizio >>

D: In che modo è possibile effettuare il provisioning di un certificato pubblico da ACM?

È possibile utilizzare Console di gestione AWS, interfaccia a riga di comando o API e kit SDK ACM. Nella Console di gestione AWS, individua Certificate Manager, seleziona Request a certificate, quindi Request a public certificate e indica il nome di dominio del sito; infine segui le istruzioni per completare l'operazione. Nel caso in cui gli utenti possano raggiungere il tuo sito utilizzando altri nomi, puoi aggiungere ulteriori nomi di dominio alla tua richiesta. Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, scrivi un record nella configurazione pubblica DNS per il tuo dominio per stabilire che detieni il possesso o il controllo del dominio. Dopo aver usato una volta la convalida DNS per stabilire il controllo del tuo dominio, puoi ottenere altri certificati e chiedere che ACM rinnovi quelli esistenti per il dominio a condizione che il record esista e che i certificati siano in uso. Non devi convalidare di nuovo il controllo del dominio. Se scegli la convalida e-mail al posto di quella DNS, al proprietario del dominio vengono inviate e-mail con cui si richiede l'approvazione per l'emissione del certificato. Una volta convalidato il tuo possesso o il tuo controllo di ogni nome di dominio presente nella tua richiesta, il certificato viene emesso ed è pronto per essere fornito con altri servizi AWS, come Elastic Load Balancing o Amazon CloudFront. Consulta la documentazione di ACM per ulteriori dettagli.

D: Perché ACM convalida la proprietà del dominio per i certificati pubblici?

I certificati sono usati per stabilire l'identità del tuo sito e proteggere le connessioni tra i browser e le applicazioni e il tuo sito. Per emettere un certificato considerato pubblicamente attendibile, Amazon deve convalidare il controllo del richiedente sul nome di dominio riportato nella richiesta di certificato.

D: In che modo ACM convalida la proprietà del dominio prima di emettere un certificato pubblico per un dominio?

Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, puoi convalidare la proprietà del dominio aggiungendo un record CNAME nella tua configurazione DNS. Consulta la sezione Convalida DNS per ulteriori dettagli. Se non puoi scrivere record nella configurazione DNS pubblica per il tuo dominio, invece della convalida DNS puoi usare quella e-mail. Con la convalida e-mail, ACM invia e-mail al proprietario del dominio registrato e il proprietario o un rappresentante autorizzato può approvare il rilascio per ogni nome di dominio riportato nella richiesta di certificato. Consulta la sezione Convalida e-mail per ulteriori dettagli.

D: Qual è il metodo di convalida consigliato per un certificato pubblico: DNS o e-mail?

Ti consigliamo di usare la convalida DNS se puoi cambiare la configurazione DNS per il tuo dominio. I clienti che non possono ricevere e-mail di convalida da ACM e quelli che usano un registrar di dominio che non pubblica le informazioni di contatto dell'e-mail del proprietario in WHOIS dovrebbero usare la convalida DNS. Se non puoi modificare la tua configurazione DNS, dovresti usare la convalida e-mail.

D: È possibile convertire un certificato esistente da convalida e-mail a convalida DNS?

No, ma è possibile richiedere un nuovo certificato gratuito ad ACM e scegliere per esso la convalida DNS.

D: Quanto tempo richiede l'emissione di un certificato?

Una volta convalidati tutti i nomi di dominio presenti in una richiesta, l'emissione del relativo certificato può richiedere diverse ore.

D: Cosa succede quando viene inoltrata una richiesta di certificato pubblico?

Al momento della richiesta, ACM proverà a convalidare la proprietà o il controllo di ciascun nome di dominio presente in essa, secondo il metodo di convalida scelto (DNS o e-mail). Durante questi tentativi, lo stato della richiesta sarà Pending validation. Consulta le sezioni Convalida DNS e Convalida e-mail di eseguito per ulteriori informazioni sul processo di convalida. Una volta convalidati tutti i nomi di dominio presenti in una richiesta, l'emissione del relativo certificato può richiedere diverse ore. Quando il certificato viene emesso, lo stato della richiesta diventa Issued e può essere utilizzato con gli altri servizi AWS integrati con ACM.

D: ACM verifica i record DNS Certificate Authority Authorization (CAA) prima di emettere certificati pubblici?

Sì. I record DNS Certificate Authority Authorization (CAA) permettono ai proprietari dei domini di specificare quali autorità di certificazione sono autorizzate ad emettere certificati per tale dominio. Quando viene richiesto un certificato ACM, AWS Certificate Manager cerca un record CAA nella configurazione di zona DNS del dominio. Se non è presente alcun record CAA, Amazon emetterà un certificato per tale dominio. La maggior parte dei clienti ricade in questa categoria.

Se la configurazione DNS contiene un record CAA, per consentire ad Amazon di emettere un certificato deve specificare una delle seguenti autorità di certificazione: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Per ulteriori informazioni, consulta le sezioni Configure a CAA Record o Troubleshooting CAA Problems nel documento AWS Certificate Manager User Guide.

D: ACM supporta altri metodi di convalida di un dominio?

No, al momento no.  

 

                                                                 Torna all'inizio >>

D: Cos'è la convalida DNS?

Con la convalida DNS, puoi convalidare la proprietà di un dominio aggiungendo un record CNAME nella tua configurazione DNS. Con la convalida DNS è per te facile stabilire che sei il proprietario di un dominio quando richiedi certificati SSL/TLS ad ACM.

D: Quali sono i vantaggi della convalida DNS?

Con la convalida DNS è per te facile convalidare la proprietà o il controllo di un dominio per poter così ottenere un certificato SSL/TLS. Con la convalida DNS, scrivi semplicemente un record CNAME nella tua configurazione DNS per stabilire il controllo del nome del tuo dominio. Per semplificare il processo di convalida DNS, la console di gestione ACM può configurare i record DNS al tuo posto, se gestisci i tuoi record DNS con Amazon Route 53. Ciò rende facile stabilire il controllo del nome del tuo dominio con pochi clic del mouse. Una volta configurato il record CNAME, ACM rinnova automaticamente i certificati che sono in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS. I rinnovi sono completamente automatici e non richiedono immissioni da parte dell'utente.

D: Chi dovrebbe usare la convalida DNS?

Chiunque richieda un certificato tramite ACM e possa cambiare la configurazione DNS per il dominio che sta richiedendo dovrebbe prendere in considerazione l'uso della convalida DNS.

D: ACM supporta ancora la convalida e-mail?

Sì. ACM continua a supportare la convalida e-mail per i clienti che non possono cambiare la propria configurazione DNS.

Q: Che record devo aggiungere alla mia configurazione DNS per convalidare un dominio?

Devi aggiungere un record CNAME per il dominio che vuoi convalidare. Ad esempio per convalidare il nome www.esempio.com, aggiungi un record CNAME alla zona per esempio.com. Il record che aggiungi contiene un token casuale che ACM genera espressamente per il tuo dominio e il tuo account AWS. Puoi ottenere le due parti del record CNAME (nome ed etichetta) da ACM. Per ulteriori istruzioni, consulta la Guida per l'utente ACM.

D: Come posso aggiungere o modificare record DNS per il mio dominio?

Per maggiori informazioni su come aggiungere o modificare record DNS, rivolgiti al tuo provider DNS. La documentazione DNS relativa ad Amazon Route 53 offre ulteriori informazioni per i clienti che usano il sistema DNS Amazon Route 53.

D: ACM può semplificare la convalida DNS per i clienti DNS Amazon Route 53?

Sì. Per i clienti che usano DNS Amazon Route 53 per gestire record DNS, la console ACM può aggiungere record alla loro configurazione DNS quando richiedono un certificato. La tua hosted zone con DNS Route 53 per il tuo dominio deve essere configurata nello stesso account AWS da cui stai facendo la richiesta e devi disporre di permessi sufficienti per cambiare la tua configurazione di Amazon Route 53. Per ulteriori istruzioni, consulta la Guida per l'utente ACM.

D: La convalida DNS richiede che usi uno specifico provider DNS?

No. Puoi usare la convalida DNS con qualsiasi provider DNS a condizione che il provider ti permetta di aggiungere un record CNAME alla tua configurazione DNS.

D: Quanti record DNS mi servono se desidero più di un certificato per lo stesso dominio?

Uno. È possibile ottenere più certificati per lo stesso nome di dominio nello stesso account AWS utilizzando un record CNAME. Ad esempio, se presenti 2 richieste di certificato dallo stesso account AWS per lo stesso nome di dominio, ti serve solo 1 record CNAME DNS.

D: Posso convalidare più nomi di dominio con lo stesso record CNAME?

No. Ogni nome di dominio deve avere un record CNAME esclusivo.

D: Posso convalidare un nome di dominio con caratteri jolly usando la convalida DNS?

Sì.

D: Come fa ACM a costruire i record CNAME?

I record CNAME DNS hanno due componenti: un nome e un'etichetta. La componente nome di un CNAME generato da ACM è costituita da un carattere trattino basso (_) seguito da un token, che è una stringa esclusiva legata al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token al nome del tuo dominio per costruire la componente nome. ACM costruisce l'etichetta da un carattere trattino basso anteposto a un diverso token anch'esso legato al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token a un nome di dominio DNS usato da AWS per le convalide: acm-validations.aws. I seguenti esempi mostrano la formattazione di CNAME per www.esempio.com, sottodominio.esempio.com ed *.esempio.com.

_TOKEN1.www.esempio.com               CNAME      _TOKEN2.acm-validations.aws
_TOKEN3.sottodominio.esempio.com     CNAME      _TOKEN4.acm-validations.aws
_TOKEN5.esempio.com                         CNAME      _TOKEN6.acm-validations.aws

Tenere presente che ACM rimuove l'etichetta carattere jolly (*) quando genera record CNAME per nomi con caratteri jolly. Di conseguenza, il record CNAME generato da ACM per un nome con caratteri jolly (come *.esempio.com) è lo stesso record restituito per il nome di dominio senza l'etichetta carattere jolly (esempio.com).

D: Posso convalidare tutti i sottodomini di un domino usando un record CNAME?

No. Ogni nome di dominio, inclusi quelli host e di sottodomini, deve essere convalidato separatamente e avere un record CNAME esclusivo.

D: Perché per la convalida DNS ACM usa i record CNAME invece dei record TXT?

L'uso di un record CNAME consente ad ACM di rinnovare i certificati a condizione che il record CNAME esista. Il record CNAME rimanda a un record TXT in un dominio AWS (acm-validations.aws) che ACM può aggiornare come necessario per convalidare o riconvalidare un nome di dominio, senza che tu debba fare nulla.

D: La convalida DNS funziona su più regioni AWS?

Sì. Puoi creare un record CNAME DNS e usarlo per ottenere certificati nello stesso account AWS in qualsiasi regione AWS in cui venga offerto ACM. Configura il record CNAME una volta e puoi ottenere i certificati rilasciati e rinnovati da ACM per quel nome senza creare un altro record.

D: Posso scegliere diversi metodi di convalida nello stesso certificato?

No. Ogni certificato può avere un solo metodo di convalida.

D: Come faccio a rinnovare un certificato convalidato con la convalida DNS?

ACM rinnova automaticamente i certificati in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS.

D: Posso revocare l'autorizzazione per emettere certificati per il mio dominio?

Sì. Basta rimuovere il record CNAME. ACM non rilascia o rinnova certificati per il tuo dominio utilizzando la convalida DNS dopo che hai rimosso il record CNAME e dopo che la modifica è stata distribuita tramite DNS. Il tempo di propagazione per rimuovere il record dipende dal tuo provider DNS.

D: Cosa succede se rimuovo il record CNAME?

ACM non può rilasciare o rinnovare certificati per il tuo dominio utilizzando la convalida DNS se rimuovi il record CNAME.

Torna all'inizio >>

D: Cos'è la convalida e-mail?

Con la convalida e-mail, al proprietario del dominio registrato viene inviata una richiesta approvata per ogni nome di dominio riportato nella richiesta di certificato. Il proprietario del dominio o un rappresentante autorizzato (approvatore) può approvare la richiesta di certificato seguendo le istruzioni contenute nell'e-mail. Le istruzioni richiedono all'approvatore di navigare nel sito Web approvato e di fare clic sul collegamento nell'e-mail o di incollare il collegamento dall'e-mail in un browser, al fine di navigare nel sito Web da approvare. L'approvatore conferma le informazioni associate alla richiesta di certificato, come il nome di dominio, l'ID certificato (ARN) e l'ID account AWS che inizializza la richiesta, dopodiché la approva qualora le informazioni risultino accurate.

D: Quando chiedo un certificato e scelgo una convalida e-mail, a quali indirizzi e-mail viene inviata la richiesta di approvazione del certificato?

Quando richiedi un certificato utilizzando la convalida e-mail, viene utilizzata una ricerca WHOIS per ciascun nome di dominio nella richiesta di certificato, al fine di recuperare le informazioni di contatto per il dominio. Viene inviata un'e-mail al registrante del dominio, al contatto amministrativo e al contatto tecnico elencato per il dominio. L'e-mail viene inviata anche a cinque indirizzi e-mail speciali, ai quali viene anteposto admin@, administrator@, hostmaster@, webmaster@ e postmaster@ al nome di dominio che si sta richiedendo. Ad esempio, se si richiede un certificato per server.esempio.com, viene inviata un'e-mail al registrante del dominio, al contatto tecnico e al contatto amministrativo utilizzando le informazioni di contatto restituite da una query WHOIS per il dominio esempio.com, oltre a admin@server.esempio.com, administrator@server.esempio.com, hostmaster@server.esempio.com, postmaster@server.esempio.com e webmaster@server.esempio.com.

Questi cinque indirizzi e-mail speciali vengono creati in modo diverso a seconda di come inizia il nome di dominio, con "www" oppure con nomi con metacaratteri che iniziano con l'asterisco (*). ACM rimuove il prefisso "www" o l'asterisco; l'e-mail viene così inviata agli indirizzi di amministrazione formati con i prefissi admin@, administrator@, hostmaster@, postmaster@ e webmaster@ uniti alla parte rimanente del nome di dominio. Ad esempio, se richiedi un certificato per www.esempio.com, l'e-mail viene inviata ai contatti WHOIS secondo quanto descritto in precedenza, più ad admin@esempio.com, non ad admin@www.esempio.com. Anche gli altri quattro indirizzi speciali vengono composti secondo la stessa regola.

Dopo aver richiesto un certificato, puoi visualizzare l'elenco degli indirizzi e-mail a cui è stata inviata l'e-mail per ciascun dominio, utilizzando la console ACM, CLI AWS o le API.

D: Posso configurare l'indirizzo e-mail a cui viene inviata la richiesta di approvazione certificato?

No, ma puoi configurare il nome di dominio base a cui desideri che venga inviata l'e-mail di convalida. Il nome di dominio base deve essere un dominio superiore del nome dominio indicato nella richiesta di certificato. Ad esempio, se richiedi un certificato per server.dominio.esempio.com ma desideri che sia admin@dominio.esempio.com a ricevere l'e-mail di approvazione, puoi farlo utilizzando la CLI o l'API AWS. Consulta Riferimento CLI ACM e Riferimento API ACM per ulteriori dettagli.

D: Posso utilizzare i domini che presentano informazioni di contatto proxy (come Privacy Guard o WhoisGuard)?

Sì, tuttavia la consegna delle e-mail potrebbe essere ritardata a causa del proxy. Un'e-mail inviata attraverso un proxy potrebbe finire nella cartella dello spam. Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

D: Posso convalidare la mia identità mediante ACM utilizzando il contatto tecnico del mio account AWS?

No. Le procedure e le policy per la convalida dell'identità del proprietario del dominio sono molto restrittive e determinate dal Forum CA/Browser, che imposta gli standard delle policy per le autorità di certificazione considerate pubblicamente attendibili. Per ulteriori informazioni, fai riferimento alla più recente Amazon Trust Services Certification Practices Statement contenuta nell'Amazon Trust Services Repository.

D: Cosa devo fare se non ricevo l'e-mail di approvazione?

Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

Torna all'inizio >>

D: In che modo vengono gestite le chiavi private dei certificati forniti da ACM?

Viene creata una coppia di chiavi per ogni certificato fornito da ACM. AWS Certificate Manager è progettato per proteggere e gestire le chiavi private utilizzate con i certificati SSL/TLS. Per la protezione e l'archiviazione delle chiavi private vengono utilizzate le best practice per la crittografia e la gestione delle chiavi avanzate.

D: ACM copia i certificati su più regioni AWS?

No. La chiave privata di ciascun certificato ACM viene archiviata nella Regione in cui si richiede il certificato. Ad esempio, quando si ottiene un nuovo certificato nella Regione degli Stati Uniti orientali (Virginia settentrionale), ACM archivia la chiave privata nella Regione Virginia settentrionale. I certificati ACM vengono copiati solo tra le Regioni se il certificato viene associato a una distribuzione CloudFront. In tale caso, CloudFront distribuisce il certificato ACM alle posizioni geografiche configurate per la tua distribuzione.

D: È possibile eseguire audit degli utilizzi delle chiavi private del certificato?

Sì. Utilizzando AWS CloudTrail puoi rivedere i registri che ti segnaleranno quando è stata usata la chiave privata per il certificato.

Torna all'inizio >>

D: Come viene addebitato e fatturato l'utilizzo di certificati ACM?

I certificati pubblici e privati creati con AWS Certificate Manager per l'uso con i servizi integrati con ACM, ad esempio Elastic Load Balancing, Amazon CloudFront e Amazon API Gateway, sono gratuiti. I prezzi sono calcolati in base alle risorse AWS che vengono create per eseguire l'applicazione. AWS Certificate Manager Private Certificate Authority prevede tariffe a consumo. È prevista una tariffa mensile per il funzionamento di ciascuna CA privata attiva. Inoltre saranno addebitati i costi dei certificati privati reati ed esportati con ACM, ad esempio quelli utilizzati con EC2 o server locali, oppure quelli emessi direttamente da una CA privata creando manualmente chiavi private. Consulta la pagina dei prezzi per ulteriori informazioni ed esempi. 

Torna all'inizio >>

D: È possibile usare lo stesso certificato con più sistemi di bilanciamento del carico Elastic Load Balancing e più distribuzioni CloudFront?

Sì.

D: È possibile usare certificati pubblici per sistemi di bilanciamento del carico Elastic Load Balancing interni senza accesso a Internet?

Sì, ma potrebbe essere più semplice utilizzare ACM Private CA per emettere certificati privati rinnovabili da ACM senza convalida. Consulta la sezione Rinnovo e distribuzione gestiti per ulteriori informazioni su come ACM gestisce i rinnovi per i certificati pubblici non raggiungibili dalla rete Internet.

D: Un certificato per www.esempio.com funzionerà anche per esempio.com?

No. Se desideri ottenere un riferimento al tuo sito mediante entrambi i nomi di dominio (www.esempio.com e esempio.com) devi richiedere un certificato che li includa entrambi.

D: È possibile importare un certificato di terze parti e utilizzarlo con i servizi AWS?

Sì. Se desideri utilizzare un certificato di terze parti con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, devi importarlo in ACM utilizzando la Console di gestione AWS, la CLI AWS o le API ACM. ACM non gestisce il processo di rinnovo per i certificati importati. Per monitorare la scadenza di certificati importati e importare eventuali sostituti quando la data si avvicina, è possibile utilizzare la Console di gestione AWS.

D: In che modo ACM può aiutare un'azienda a soddisfare i requisiti di conformità?

L'utilizzo di ACM contribuisce a soddisfare i requisiti normativi perché semplifica la creazione di connessioni sicure, un requisito comune in molti programmi di conformità, come PCI, FedRAMP e HIPAA. Per informazioni specifiche sulla conformità, consulta la pagina http://aws.amazon.com/compliance.

D: ACM offre un contratto sul livello di servizio (SLA)?

No, al momento no.

D: ACM fornisce un logo o un simbolo da mostrare sul sito Web?

No. Se desideri disporre di un logo da mostrare sul sito, puoi ottenerne da fornitori di terze parti. Ti consigliamo di scegliere un fornitore che offra valutazioni sulla sicurezza del sito o sulle prassi aziendali (o su entrambe).

D: È permesso l'utilizzo di marchio commerciale o logo di Amazon per certificare l'affidabilità o la validità di un sito Web?

No. Loghi e simboli di questo tipo possono essere copiati da altri siti che non utilizzano il servizio ACM e quindi essere impiegati in modo improprio per dare una falsa impressione di affidabilità. Per proteggere i nostri clienti e la reputazione di Amazon, non consentiamo l'utilizzo del nostro logo per questo scopo. 

Torna all'inizio >>

D: Quali informazioni di registrazione sono disponibili mediante AWS CloudTrail?

Puoi identificare quali utenti e account hanno richiamato le API AWS per i servizi che supportano AWS CloudTrail, l'indirizzo IP sorgente da cui sono state effettuate le chiamate e quando sono avvenute. Ad esempio, puoi identificare quale utente ha effettuato una chiamata API per associare un certificato fornito da ACM a un Elastic Load Balancer, così come quando il servizio Elastic Load Balancing ha decrittato la chiave con una chiamata API KMS.

Torna all'inizio >>

D: Cosa si intende per rinnovo e distribuzione gestiti da ACM?

Il rinnovo e la distribuzione gestiti da ACM consentono di gestire il processo di rinnovo dei certificati SSL/TLS di ACM, così come la distribuzione dei certificati dopo il loro rinnovo.

D: Quali sono i vantaggi di rinnovo e distribuzione gestiti da ACM?

ACM gestisce automaticamente rinnovo e distribuzione di certificati SSL/TLS. ACM effettua la configurazione e la manutenzione SSL/TLS per un servizio Web sicuro o un'applicazione più solidi dal punto di vista operativo rispetto a processi manuali potenzialmente soggetti a errori. Il rinnovo e la distribuzione gestiti possono aiutarti a evitare i tempi di fermo dovuti alla scadenza dei certificati. ACM è in grado di integrarsi con altri servizi AWS. Di conseguenza, è possibile gestire e distribuire in modo centralizzato i certificati sulla piattaforma AWS tramite Console di gestione AWS, interfaccia a riga di comando e API. Grazie ad ACM Private CA, è possibile creare ed esportare certificati privati. ACM rinnova i certificati esportati, permettendone il download e la distribuzione al codice di automazione lato client.  

D: Quali certificati è possibile rinnovare e distribuire automaticamente?

Certificati pubblici

ACM può rinnovare e distribuire certificati ACM pubblici senza alcuna ulteriore convalida dal proprietario del dominio. Se non è possibile rinnovare un certificato senza una convalida aggiuntiva, ACM gestisce il processo di rinnovo convalidando la proprietà o il controllo del dominio per ogni nome di dominio presente nel certificato. Una volta convalidato ciascun nome di dominio nel certificato, ACM rinnova il certificato e lo distribuisce automaticamente con le tue risorse AWS. Se ACM non può convalidare la proprietà del dominio, ti informeremo (in quanto proprietario dell'account AWS).

Se scegli la convalida DNS nella tua richiesta di certificato, ACM può rinnovare a tempo indefinito il tuo certificato senza che tu debba far altro, a condizione che il certificato sia in uso (associato con altre risorse AWS) e che esista il tuo record CNAME. Se hai selezionato la convalida e-mail al momento della richiesta di un certificato, per migliorare la capacità di ACM di rinnovare e distribuire automaticamente i certificati ACM, assicurati che il certificato sia in uso e che tutti i nomi di dominio inclusi nel certificato possano essere risolti verso il tuo sito e siano raggiungibili da Internet.

Certificati privati

ACM offre tre opzioni per la gestione di certificati privati emessi con ACM Private CA. Sono disponibili diverse funzionalità di rinnovo e distribuzione, a seconda delle modalità di gestione. Per ciascun certificato privato emesso, è possibile scegliere l'opzione di gestione più appropriata.

1) ACM può automatizzare rinnovo e distribuzione di certificati privati emessi con le autorità di certificazione privata di ACM e utilizzati con i servizi integrati con ACM, ad esempio Elastic Load Balancing e API Gateway. ACM potrà inoltre rinnovare e distribuire i certificati privati creati e gestiti in ACM finché lo stato dell'autorità di certificazione privata che ha emesso il certificato rimane Active.

2) Per i certificati privati esportati da ACM per l'uso con risorse locali, istanze EC2 e dispositivi IoT, ACM Private CA rinnova il certificato automaticamente. L'individuazione del nuovo certificato e della chiave privata, nonché la loro distribuzione con l'applicazione, dovranno essere gestite manualmente.

3) Se i certificati vengono emessi direttamente da ACM Private CA, mentre chiavi e certificati sono gestiti manualmente senza utilizzare ACM, quest'ultimo non rinnoverà il certificato. Anche il rinnovo e la distribuzione di questi certificati privati saranno manuali.

D: Quando avviene il rinnovo dei certificati da parte di ACM?

ACM inizia il processo di rinnovo fino a 60 giorni prima della data di scadenza del certificato. Il periodo di validità per i certificati ACM corrisponde attualmente a 13 mesi. Consulta il documento ACM User Guide per ulteriori informazioni sui rinnovamenti gestiti.

D: Verrò informato in merito al rinnovo del mio certificato e alla distribuzione del nuovo certificato?

No. ACM può rinnovare o emettere una nuova chiave per il certificato e sostituire il precedente senza previo avviso.

D: ACM può rinnovare i certificati contenenti domini semplici, come "esempio.com" (detti anche apex di zona o domini di tipo naked)?

Se scegli la convalida DNS nella richiesta di certificato pubblico, ACM potrà rinnovare il certificato senza alcun intervento manuale, a condizione che il certificato sia in uso (ovvero sia associato con altre risorse AWS) e che esista il record CNAME.

Se hai selezionato la convalida e-mail al momento della richiesta di certificato pubblico con un dominio senza "www", assicurati che la ricerca DNS di tale dominio si risolva con la risorsa AWS associata al certificato. Risolvere questo tipo di dominio per una risorsa AWS può risultare complicato, a meno di utilizzare Route 53 o un altro provider DNS che supporti record di risorse di alias (o il rispettivo equivalente) per la mappatura i domini alle risorse AWS. Per ulteriori informazioni, consulta il documento Route 53 Developer Guide.

D: Il mio sito interrompe le connessioni esistenti quando ACM distribuisce il certificato rinnovato?

No, le connessioni stabilite dopo la distribuzione del nuovo certificato utilizzano quest'ultimo, mentre le connessioni esistenti non sono interessate.

Torna all'inizio >>