P: O que é o AWS Certificate Manager (ACM)?

O AWS Certificate Manager (ACM) é um serviço que permite provisionar, gerenciar e implantar facilmente certificados SSL/TLS (Secure Sockets Layer/Transport Layer Security) para uso com os Serviços da AWS. Os certificados SSL/TLS são usados para proteger a comunicação de rede segura e estabelecer a identidade de sites na internet. O ACM elimina processos manuais demorados, como compra, upload e renovação de certificados SSL/TLS. Com o ACM, você pode solicitar um certificado, implantá-lo em recursos da AWS, como Elastic Load Balancers, distribuições do Amazon CloudFront ou APIs no Amazon API Gateway, e deixar que o AWS Certificate Manager administre as renovações de certificados. Você também pode importar certificados de terceiros para o ACM e associá-los aos Serviços da AWS aceitos. Os certificados SSL/TLS provisionados usando o ACM são gratuitos. Você paga apenas pelos recursos da AWS que criar para executar seu aplicativo.

P: O que é um certificado SSL/TLS?

Os certificados SSL/TLS permitem que os navegadores da web identifiquem e estabeleçam conexões de rede criptografadas para sites usando o protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security). Os certificados são usados em um sistema de criptografia conhecido como Public key infrastructure (PKI – Infraestrutura de chave pública). O sistema PKI permite que uma parte estabeleça a identidade de outra usando certificados, se ambas confiarem em uma terceira parte, conhecida como autoridade de certificação. O tópico Concepts no Guia do usuário do ACM disponibiliza definições e informações básicas adicionais.

P: O que pode ser feito com o AWS Certificate Manager?

Você pode solicitar e provisionar certificados SSL/TLS e usar serviços integrados ao ACM, como o Elastic Load Balancing, o Amazon CloudFront ou o Amazon API Gateway, para implantar certificados em sites ou aplicativos. Depois que você validar a propriedade do domínio selecionado e o certificado for emitido, você poderá selecionar o certificado SSL/TLS na lista suspensa no Console de Gerenciamento da AWS para implantá-lo. Como alternativa, você pode implantar os certificados fornecidos pelo ACM em recursos da AWS usando comandos da Interface da Linha de Comando (ILC) da AWS ou chamadas de API. O ACM gerencia renovações e implantação de certificados para você.

P: Quais são os benefícios do uso do AWS Certificate Manager?

O ACM facilita a ativação do SSL/TLS para um site ou aplicativo na plataforma da AWS. O ACM elimina muitos dos processos manuais previamente associados ao uso e ao gerenciamento de certificados SSL/TLS. O ACM também pode ajudar você a evitar paradas devido a certificados com configuração errada, revogados ou vencidos com o gerenciamento de renovações. Você obtém a proteção do SSL/TLS e gerenciamento fácil de certificado. A ativação do SSL/TLS pode ajudar a melhorar as classificações de pesquisa para seu site e ajudar você a atender a requisitos de conformidade com regulamentações para dados de criptografia em trânsito.

Para validar a propriedade ou o controle do nome de domínio no seu certificado, o ACM usa a validação de DNS ou a validação de e-mail, com base na seleção que você fez ao solicitar um certificado. Com a validação de DNS, basta gravar um registro CNAME na configuração do DNS para estabelecer o controle do seu nome de domínio. Para simplificar ainda mais o processo de validação de DNS, o Console de Gerenciamento do ACM pode configurar registros de DNS para você, caso gerencie seus registros de DNS usando o Amazon Route 53. Isso facilita estabelecer o controle do seu nome de domínio com apenas alguns cliques no mouse. Depois que o registro CNAME for configurado, o ACM poderá renovar automaticamente os certificados validados por DNS antes que eles expirem, contanto que o registro de DNS permaneça vigente e os certificados continuem sendo usados. As renovações são totalmente automáticas e você não precisa fazer nada. O ACM também aceita a validação de e-mail para clientes que não tenham a capacidade de atualizar a configuração do DNS para o próprio domínio.

Quando você usa o ACM, as chaves privadas dos certificados são protegidas e armazenadas em segurança usando criptografia robusta e melhores práticas de gerenciamento de chaves. O ACM permite usar o Console de Gerenciamento da AWS, a AWS CLI ou as APIs do AWS Certificate Manager para centralizar o gerenciamento de todos os certificados SSL/TLS disponibilizados pelo ACM em uma região da AWS. O ACM está integrado a outros Serviços da AWS, assim você pode solicitar um certificado SSL/TLS e provisioná-lo com o load balancer do Elastic Load Balancing ou a distribuição do Amazon CloudFront no Console de Gerenciamento da AWS, por meio de comandos da AWS CLI ou com chamadas da API.

P: Como posso começar a usar o ACM?

Para começar a usar o AWS Certificate Manager, navegue até o Gerenciador de certificados no Console de Gerenciamento da AWS e use o assistente para solicitar um certificado SSL/TLS inserindo o nome no seu site. Você também pode solicitar um certificado usando APIs ou CLI da AWS. Depois que o ACM receber a aprovação do proprietário do domínio e o certificado SSL/TLS for emitido, você poderá usá-lo com outros serviços da AWS integrados ao ACM. Para cada serviço integrado, basta selecionar o certificado SSL/TLS desejado na lista suspensa do Console de Gerenciamento da AWS. Como opção, você pode executar um comando da AWS CLI ou chamar uma API da AWS para associar o certificado ao seu recurso. Depois disso, o serviço integrado implanta o certificado para o recurso selecionado. Para obter mais informações sobre a solicitação e o uso de certificados disponibilizados pelo AWS Certificate Manager, acesse a seção Conceitos básicos no Guia do usuário do AWS Certificate Manager.

P: Por que o ACM valida a propriedade de domínio?

Os certificados são usados para estabelecer a identidade do site e as conexões seguras entre os navegadores, e os aplicativos e o site. Para emitir um certificado confiável publicamente, a Amazon deve validar que o solicitante do certificado controla o nome de domínio na solicitação de certificado.

P: Como o ACM valida a propriedade de domínio antes de emitir um certificado para um domínio?

Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. Consulte DNS validation para obter mais detalhes. Se você não tiver a capacidade de gravar registros na configuração pública do DNS do seu domínio, poderá usar a validação de e-mail em vez da validação de DNS. Com a validação de e-mail, o ACM envia e-mails para o proprietário do domínio registrado, e o proprietário ou um representante autorizado pode aprovar a emissão de cada nome de domínio na solicitação de certificado. Consulte Email validation para obter mais detalhes.

P: Qual método de validação devo usar – DNS ou e-mail?

Recomendamos o uso da validação de DNS se você tiver a capacidade de alterar a configuração do DNS do seu domínio. Os clientes que não puderem receber e-mails de validação do ACM, e aqueles que usarem um registrador de domínios que não publique informações de contato de e-mail do proprietário do domínio no WHOIS, devem usar a validação de DNS. Se você não puder modificar sua configuração de DNS, deverá usar a validação de e-mail.

P: Posso converter a validação de um certificado atual de validação de e-mail para validação de DNS?

Não, mas você pode solicitar um novo certificado gratuito por meio do ACM e selecionar a validação de DNS para ele.

P: Quais tipos de certificados o ACM disponibiliza?

O ACM disponibiliza certificados Domain Validated (DV – Validados para o domínio) para uso em sites e aplicativos que desativaram o SSL/TLS. Para obter mais detalhes sobre os certificados fornecidos pelo ACM, consulte Características dos certificados.

P: Com quais serviços da AWS posso usar os certificados fornecidos pelo ACM?

Você pode usar o ACM com os seguintes serviços da AWS:
• Elastic Load Balancing – consulte a documentação do Elastic Load Balancing
• Amazon CloudFront – consulte a documentação do CloudFront
• Amazon API Gateway – consulte a documentação do API Gateway
• AWS Elastic Beanstalk – Consulte a documentação do AWS Elastic Beanstalk
• AWS CloudFormation – Consulte a documentação do AWS CloudFormation

P: Em que regiões o ACM está disponível?

Acesse as páginas da Infraestrutura global da AWS para consultar a disponibilidade atual por região para os Serviços da AWS. Para usar um certificado do ACM com o Amazon CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (Norte da Virgínia). Os certificados do ACM nessa região que estiverem associados a uma distribuição do CloudFront serão distribuídos para todas as localizações geográficas configuradas para essa distribuição.

P: Posso usar o mesmo certificado em mais de uma região da AWS?

Isso depende se estiver usando o Elastic Load Balancing ou o Amazon CloudFront. Para usar um certificado com o Elastic Load Balancing para o mesmo site (o mesmo nome de domínio totalmente qualificado, FQDN ou conjunto de FQDNs) em uma região diferente, você deverá solicitar um novo certificado para cada região em que pretende usá-lo. Para usar um certificado do ACM com o Amazon CloudFront, você deve solicitar o certificado na região Leste dos EUA (Norte da Virgínia). Os certificados do ACM nessa região que estiverem associados a uma distribuição do CloudFront serão distribuídos para todas as localizações geográficas configuradas para essa distribuição.

P: Posso copiar um certificado entre regiões?

Não neste momento.

P: Posso provisionar um certificado com o ACM se já tenho um certificado de outro provedor para o mesmo nome de domínio?

Sim.

P: Posso usar certificados em instâncias do Amazon EC2 ou em meus próprios servidores?

Não. Neste momento, os certificados fornecidos pelo ACM só podem ser usados com serviços específicos da AWS. Consulte Com quais serviços da AWS posso usar os certificados fornecidos pelo ACM?.

P: Existe um limite para o número de certificados que posso provisionar com o ACM?

Como padrão, é possível provisionar até 100 certificados por conta em cada região. Cada certificado provisionado com o ACM pode ter até dez nomes de domínio totalmente qualificados. Você pode solicitar um aumento de limite acessando o AWS Support Center. Consulte a documentação da AWS para obter mais detalhes.

Voltar ao início

P: Como posso provisionar um certificado do ACM?

Você pode usar o Console de Gerenciamento da AWS, CLI da AWS ou APIs/SDKs do ACM. Para usar o Console de Gerenciamento da AWS, navegue até o Certificate Manager, selecione Request a certificate, digite o nome de domínio do site e siga as instruções na tela para concluir a solicitação. Se os usuários puderem acessar seu site usando outros nomes, você poderá adicionar nomes de domínio à sua solicitação. Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Na validação de DNS, grave um registro na configuração pública do DNS do domínio para estabelecer que você tem a propriedade ou controla o domínio. Depois de usar a validação de DNS após estabelecer o controle do domínio, você poderá obter certificados adicionais, e o ACM renovará certificados atuais de domínio, contanto que o registro permaneça vigente e o certificado continue sendo usado. Não é necessário validar o controle do domínio novamente. Se você escolher a validação de e-mail em vez da validação de DNS, os e-mails serão enviados para o proprietário do domínio que estiver solicitando aprovação para a emissão do certificado. Depois de validar que você tem a propriedade e o controle de cada nome de domínio na solicitação, o certificado será emitido e ficará pronto para ser provisionado com outros Serviços da AWS, como o Elastic Load Balancing ou o Amazon CloudFront. Consulte a documentação do ACM para obter detalhes.

P: Quanto tempo demora para um certificado ser emitido?

O tempo necessário para a emissão de um certificado depois que todos os nomes de domínio em uma solicitação de certificado tiverem sido validados pode levar várias horas ou mais.

P: O que acontece quando eu solicito um certificado?

O ACM tenta validar a propriedade e o controle de cada nome de domínio na solicitação de certificado, de acordo com o método de validação escolhido, DNS ou e-mail, ao fazer a solicitação. O status da solicitação de certificado será Pending validation enquanto o ACM tenta validar a sua propriedade e o seu do domínio. Consulte as seções DNS validation e Email validation abaixo para obter mais informações sobre o processo de validação. Depois que todos os nomes de domínio na solicitação de certificado forem validados, o tempo necessário para a emissão de certificados será de várias horas ou mais. Quando o certificado for emitido, o status da solicitação de certificado será alterado para Issued e você poderá começar a usá-lo com outros Serviços da AWS integrados ao ACM.

P: Por que a minha solicitação de certificado apresenta o status "Pending validation"?

Os certificados que foram solicitados, mas que ainda não foram validados, apresentam o status Pending validation. O domínio na solicitação de certificado deve ser validado antes da emissão do certificado. Para determinar por que a solicitação apresenta esse status, consulte o ACM Troubleshooting Guide.

P: Por que o status do meu certificado aparece como Failed?

O processo para controle da validação do domínio pode falhar por vários motivos. Os motivos incluem, mas sem limitação, o domínio ter sido incluído em uma lista de URLs para recursos da web considerados como contendo malware ou phishing de conteúdo. Para determinar por que a sua solicitação falhou, acesse o Guia de solução de problemas do ACM.

P: Por que o status do meu certificado aparece como Validation timed out?

O tempo para as solicitações de certificados do ACM se esgota se as solicitações não forem validadas em até 72 horas. Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

P: O ACM oferece suporte à verificação de registros de autorização de autoridade de certificação (CAA) do DNS?

Sim. Os registros de Certificate Authority Authorization (CAA – Autorização de autoridade de certificação) do DNS permitem que proprietários de domínio especifiquem quais autoridades de certificação estão autorizadas a emitir certificados para os domínios desses proprietários. Quando você solicita um certificado do ACM, o AWS Certificate Manager procura um registro CAA na configuração de zonas de DNS do domínio. Se nenhum registro CAA for encontrado, a Amazon poderá emitir um certificado para o domínio. A maioria dos clientes está nessa categoria.

Se a configuração de DNS tiver um registro CAA, esse registro deverá especificar uma das seguintes CAs para que a Amazon possa emitir um certificado para o domínio: amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Consulte Configure a CAA Record ou Troubleshooting CAA Problems no Guia do usuário do AWS Certificate Manager para obter mais informações.

P: O ACM aceita outros métodos de validação de domínios?

Não neste momento.

                                                                 Voltar ao início >>

P: O que é validação de DNS?

Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. A validação de DNS torna fácil estabelecer a propriedade de um domínio durante a solicitação de certificados SSL/TLS usando o ACM.

P: Quais são os benefícios da validação de DNS?

A validação de DNS facilita a validação da propriedade ou do controle de um domínio, o que permite que você obtenha um certificado SSL/TLS. Com a validação de DNS, basta gravar um registro CNAME na configuração do DNS para estabelecer o controle do seu nome de domínio. Para simplificar o processo de validação de DNS, o Console de Gerenciamento do ACM pode configurar registros de DNS para você, caso gerencie seus registros de DNS usando o Amazon Route 53. Isso facilita estabelecer o controle do seu nome de domínio com apenas alguns cliques no mouse. Depois de configurar o registro CNAME, o ACM renova automaticamente os certificados que estão sendo usados (associados a outros recursos da AWS), contanto que a validação de DNS permaneça vigente. As renovações são totalmente automáticas e você não precisa fazer nada.

P: Quem deve usar a validação de DNS?

Qualquer usuário que solicitar um certificado por meio do ACM e tiver a capacidade de alterar a configuração do DNS do domínio solicitado deve considerar o uso desse tipo de validação.

P: O ACM ainda aceita a validação de e-mail?

Sim. O ACM continua a aceitar a validação de e-mail para clientes que não possam alterar a configuração do DNS.

P: Quais registros preciso adicionar à minha configuração do DNS para validar um domínio?

Você deve adicionar um registro CNAME ao domínio que deseja validar. Por exemplo, para validar o nome www.exemplo.com, adicione um registro CNAME à zona de exemplo.com. O registro adicionado contém um token aleatório gerado pelo ACM especificamente para o seu domínio e sua conta da AWS. Você pode obter as duas partes do registro CNAME (nome e rótulo) usando o ACM. Para obter mais instruções, consulte o Guia do usuário do ACM.

P: Como posso adicionar registros de DNS ao meu domínio, ou modificá-los?

Para obter mais informações sobre como adicionar ou modificar registros de DNS, entre em contato com o provedor de DNS. A documentação do serviço de DNS do Amazon Route 53 disponibiliza mais informações para os clientes que usam esse serviço.

P: O ACM pode simplificar a validação de DNS para os clientes do serviço de DNS do Amazon Route 53?

Sim. Para os clientes que estiverem usando o serviço de DNS do Amazon Route 53 para gerenciar registros de DNS, é possível usar o Console do ACM para adicionar registros à configuração de DNS ao solicitar um certificado. A hosted zone do serviço de DNS do Route 53 do domínio deve ser configurada na mesma conta da AWS onde está sendo feita a solicitação, e você deve ter permissões suficientes para alterar a configuração do Amazon Route 53. Para obter mais instruções, consulte o Guia do usuário do ACM.

P: A validação de DNS exige o uso de algum provedor específico de DNS?

Não. Você pode usar a validação de DNS com qualquer provedor de DNS, contanto que o provedor permita a adição de um registro CNAME à sua configuração do DNS.

P: Quantos registros de DNS devo ter, caso deseje obter mais de um certificado para o mesmo domínio?

Apenas um. Você pode obter vários certificados para o mesmo nome de domínio na mesma conta da AWS usando apenas um registro CNAME. Por exemplo, se você fizer duas solicitações de certificado por meio da mesma conta da AWS para o mesmo nome de domínio, será necessário apenas um registro CNAME de DNS.

P: Posso validar vários nomes de domínio com o mesmo registro CNAME?

Não. Cada nome de domínio deve ter um único registro CNAME.

P: Posso validar um nome de domínio curinga usando a validação de DNS?

Sim.

P: Como o ACM cria registros CNAME?

Os registros CNAME de DNS têm dois componentes: um nome e um rótulo. O componente nome de um CNAME gerado pelo ACM é criado por meio de um caractere sublinhado (_) seguido por um token, que é uma string única vinculada à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token no início do nome de domínio para criar o componente nome. O ACM cria o rótulo por meio de um caractere sublinhado adicionado ao início de um token diferente que também está vinculado à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token a um nome do domínio DNS usado pela AWS para fazer validações: acm-validations.aws. O exemplo a seguir mostra a formatação de CNAMEs para www.exemplo.com, subdominio.exemplo.com e *.exemplo.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Observe que o ACM remove o rótulo curinga (*) durante a geração dos registros CNAME para nomes curingas. Como resultado, o registro CNAME gerado pelo ACM para um nome curinga (como *.example.com) é o mesmo registro retornado ao nome de domínio sem o rótulo curinga (example.com).

P: Posso validar todos os subdomínios de um domínio usando um registro CNAME?

Não. Cada nome de domínio, inclusive os nomes de host e os nomes de subdomínio, deve ser validado separadamente, cada um com um registro CNAME exclusivo.

P: Por que o ACM usa os registros CNAME para a validação de DNS, em vez de registros TXT?

O uso de um registro CNAME permite que o ACM renove certificados enquanto o registro CNAME existir. O registro CNAME faz o direcionamento para um registro TXT em um domínio da AWS (acm-validations.aws), que o ACM pode atualizar conforme for necessário para validar ou revalidar um nome de domínio, sem que você precise fazer nada.

P: A validação de DNS funciona entre regiões da AWS?

Sim. Você pode criar um registro CNAME de DNS e usá-lo para obter certificados na mesma conta da AWS em qualquer região da AWS em que o ACM for oferecido. Configure o registro CNAME uma vez e você poderá conseguir emitir e renovar certificados usando o ACM para um determinado nome sem a necessidade de criar outro registro.

P: Posso escolher métodos de validação diferentes no mesmo certificado?

Não. Cada certificado pode ter apenas um método de validação.

P: Como posso renovar um certificado validado com a validação de DNS?

O ACM renova automaticamente certificados que estejam sendo usados (associados a outros recursos da AWS), contanto que o registro de validação de DNS permaneça vigente.

P: Posso revogar a permissão para emitir certificados ao meu domínio?

Sim. Basta remover o registro CNAME. O ACM não emitirá nem renovará certificados para o domínio usando a validação de DNS depois que você remover o registro CNAME e a alteração for distribuída por meio do DNS. O tempo de propagação necessário para remover o registro depende do seu provedor de DNS.

P: O que acontece se eu remover o registro CNAME?

O ACM não poderá emitir nem renovar certificados para o domínio usando a validação de DNS se você remover o registro CNAME.

Voltar ao início >>

P: O que é validação de e-mail?

Na validação de e-mail, um e-mail de solicitação de aprovação é enviado para o proprietário do domínio registrado para cada nome de domínio na solicitação de certificado. O proprietário do domínio ou um representante autorizado (aprovador) pode aprovar a solicitação do certificado seguindo as instruções no e-mail. As instruções orientam o aprovador a navegar para o site de aprovação e clicar no link no e-mail, ou colar o link do e-mail em um navegador, para acessar o site de aprovação. O aprovador confirma as informações associadas à solicitação de certificado, como o nome de domínio, o ID de certificado (Nome de região da Amazon [ARN]) e o ID da conta da AWS iniciando a solicitação, e aprova a solicitação se as informações forem precisas.

P: Quando eu solicitar um certificado e escolher a validação de e-mail, para qual endereço de e-mail será enviada a solicitação de aprovação do certificado?

Quando você solicita um certificado usando a validação de e-mail, uma consulta do WHOIS para cada nome de domínio na solicitação de certificado é usada para recuperar informações de contato para o domínio. O e-mail é enviado para o contato administrativo, o contato técnico e para o registrador do domínio que estiverem relacionados ao domínio. Um e-mail também é enviado para cinco endereços de e-mail especiais, que são formados ao adicionar admin@, administrator@, hostmaster@, webmaster@ e postmaster@ antes do nome de domínio que estiver solicitando. Por exemplo, se você solicitar um certificado para www.example.com, um e-mail é enviado para quem registra o domínio, o contato técnico e contato administrativo usando as informações de contato fornecidas por uma consulta WHOIS para o domínio exemplo.com, mais admin@servidor.exemplo.com, administrador@servidor.exemplo.com, hostmaster@servidor.exemplo.com, postmaster@servidor.exemplo.com e webmaster@servidor.exemplo.com.

Os cinco endereços de e-mail especiais são criados de forma diferente para nomes de domínio que começam com "www" ou nomes com curinga que começam com um asterisco (*). O ACM remove o prefixo "www" ou asterisco e envia o e-mail para os endereços administrativos formados pelo acréscimo dos prefixos admin@, administrator@, hostmaster@, postmaster@ e webmaster@ à parte restante do nome do domínio. Por exemplo, se você solicitar um certificado para www.example.com, o e-mail será enviado aos contatos do WHOIS, como descrito anteriormente, e para admin@example.com em vez de admin@www.example.com. Os outros quatro endereços de e-mail especiais restantes são criados de forma similar.

Depois que solicitar um certificado, você poderá exibir a lista de endereços para os quais foram enviados os e-mails de cada domínio usando o console do ACM, CLI da AWS ou APIs.

P: Posso configurar endereços de e-mail para os quais a solicitação de aprovação de certificado foi enviada?

Não, mas você pode configurar o nome de domínio base para o qual você deseja que o e-mail de validação foi enviado. O nome de domínio base deve ser um superdomínio do nome de domínio na solicitação de certificado. Por exemplo, se você deseja solicitar um certificado para servidor.dominio.exemplo.com, mas deseja direcionar o e-mail de aprovação para admin@domínio.exemplo.com, você pode fazer isso usando a CLI ou a API da AWS. Consulte Referência de CLI do ACM e Referência de API do ACM para obter mais detalhes.

P: Posso usar domínios que tenham informações de contato de proxy (como Privacy Guard ou WhoisGuard)?

Sim. No entanto, a entrega do e-mail pode sofrer atraso como resultado do proxy. O e-mail enviado através de um proxy pode acabar indo para sua pasta de lixo eletrônico. Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

P: O ACM pode validar minha identidade usando o contato técnico para minha conta da AWS?

Não. Os procedimentos e políticas para validação da identidade do proprietário do domínio são muito rígidos e determinados pelo CA/Browser Forum, que define padrões de políticas para autoridades de certificação confiáveis publicamente. Para saber mais, consulte a mais recente Amazon Trust Services Certification Practices Statement no Amazon Trust Services Repository.

P: O que devo fazer se não receber o e-mail de aprovação?

Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

Voltar ao início >>

P: Os certificados fornecidos pelo ACM são confiáveis para navegadores, sistemas operacionais e dispositivos móveis?

Os certificados fornecidos pelo ACM são confiáveis para a maioria dos navegadores, sistemas operacionais e dispositivos móveis atuais. Os certificados fornecidos pelo ACM tem uma presença de 99% para navegadores e sistemas operacionais, incluindo Windows XP SP3 e Java 6 e posterior.

P: Como posso confirmar se meu navegador confia nos certificados fornecidos pelo ACM?

Os navegadores que confiam em certificados fornecidos pelo ACM exibem um ícone de cadeado e não emitem alertas de certificados quando conectados a sites que usam os certificados fornecidos pelo ACM com SSL/TLS, usando, por exemplo, HTTPS.

Os certificados fornecidos pelo ACM são verificados pela autoridade de certificação da Amazon (CA). Qualquer navegador, aplicativo ou sistema operacional que inclua os certificados Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 ou Starfield Class 2 Certification Authority confia nos certificados disponibilizados pelo ACM.

P: O ACM pode fornecer certificados com vários nomes de domínio?

Sim. Cada certificado deve incluir, pelo menos, um nome de domínio e você pode adicionar outros nomes ao certificado se quiser. Por exemplo, você pode adicionar o nome "www.exemplo.net" para um certificado para "www.exemplo.com" se os usuários podem acessar seu site por qualquer um dos nomes. Você deve possuir ou controlar todos os nomes incluídos na solicitação de certificado.

P: O que é um nome de domínio curinga?

Um nome de domínio curinga corresponde a qualquer subdomínio de primeiro nível ou nome de host em um domínio. Um subdomínio de primeiro nível em um nome de domínio único que não contenha um ponto. Por exemplo, você pode usar *.exemplo.com para proteger www.exemplo.com, imagens.exemplo.com e qualquer outro nome de host ou subdomínio de primeiro nível que termine com .exemplo.com. Consulte o Guia do usuário do ACM para obter mais detalhes.

P: O ACM pode fornecer certificados com nomes de domínio curinga?

Sim.

P: O ACM fornece certificados de OV (validação organizacional) e de EV (validação estendida)?

Não neste momento.

P: O ACM fornece certificados diferentes do SSL/TLS para sites?

Não neste momento.

P: Posso usar certificados fornecidos pelo ACM para sinalização de códigos ou criptografia de e-mails?

Não.

P: O ACM fornece certificados usados para sinalização e criptografia de e-mail (certificados S/MIME)?

Não neste momento.

P: Quais algoritmos os certificados fornecidos pelo ACM usam?

Os certificados do ACM usam chaves de RSA com um módulo de 2048 bits e SHA-256.

P: O ACM é compatível com certificados ECDSA (curva elíptica)?

Não neste momento.

P: Onde a Amazon descreve suas políticas e práticas para emitir certificados?

Elas são descritas nos documentos Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulte o repositório Amazon Trust Services para obter as versões mais recentes.

P: Como faço para revogar um certificado?

Você pode solicitar que o ACM revogue um certificado acessando o AWS Support Center e criando um caso. 

P: Como posso notificar a ACM se as informações no certificado mudarem?

Você pode notificar a AWS enviando um e-mail para validation-questions[arroba]amazon.com.

Voltar ao início >>

P: Como as chaves privadas dos certificados fornecidos pelo ACM são gerenciadas?

Um par de chaves é criado para cada certificado fornecido pelo ACM. O AWS Certificate Manager foi desenvolvido para proteger e gerenciar chaves privadas usadas com certificados SSL/TLS. As melhores práticas de criptografia forte e gerenciamento de chave são usadas ao proteger e armazenar chaves privadas.

P: O ACM copia certificados entre regiões da AWS?

Não. A chave privada de cada certificado do ACM é armazenada na região na qual você solicitou o certificado. Por exemplo, quando você obtém um novo certificado na região Leste dos EUA (Norte da Virgínia), o ACM armazena a chave privada na região do Norte da Virgínia. Os certificados do ACM são apenas copiados entre regiões se o certificado está associado com uma distribuição do CloudFront. Nesse caso, o CloudFront distribui o certificado do ACM para os locais geográficos configurados para sua distribuição.

P: Posso fazer auditoria do uso de chaves privadas de certificados?

Sim. Usando o AWS CloudTrail, você pode analisar logs que informam quando a chave privada para o certificado foi usada.

Voltar ao início >>

P: Como serei cobrado pelo uso dos certificados do ACM?

Os certificados SSL/TLS provisionados, gerenciados e implantados através do AWS Certificate Manager são gratuitos. Você paga apenas pelos recursos da AWS que criar para executar seu aplicativo, como as distribuições do Elastic Load Balancer ou do Amazon CloudFront.

Voltar ao início >>

P: Posso usar o mesmo certificado com várias distribuições do Elastic Load Balancer e do CloudFront?

Sim.

P: Posso usar certificados para load balancers do Elastic Load Balancing interno sem acesso público de internet?

Sim. Consulte Renovação e implantação gerenciadas para obter detalhes sobre como o ACM cuida das renovações para certificados que não podem ser acessados de internet pública.

P: Um certificado do www.exemplo.com também funciona para exemplo.com?

Não. Se você deseja que seu site seja referenciado por ambos os nomes de domínio (www.exemplo.com e exemplo.com), você deve solicitar um certificado que inclua os dois nomes.

P: Posso importar um certificado de terceiros e usá-lo com os serviços da AWS?

Sim. Se você desejar usar um certificado de terceiros com o Amazon CloudFront, o Elastic Load Balancing ou o Amazon API Gateway, importe-o para o ACM usando o Console de Gerenciamento da AWS, a AWS CLI ou as APIs do AWS Certificate Manager. O ACM não gerencia o processo de renovação para certificados importados. Você pode usar o Console de Gerenciamento da AWS para monitorar as datas de expiração de um certificado importado e importar um novo certificado de terceiros para substituir o que está prestes a vencer.

P: Qual é o período de validade para certificados fornecidos pelo ACM?

Os certificados fornecidos pelo ACM são válidos, no momento, por 13 meses.

P: Como o ACM pode ajudar minha organização a atender requisitos de conformidade?

O uso do ACM ajuda você a cumprir requisitos de regulamentação facilitando conexões seguras, um requisito comum entre vários programas de conformidade, como PCI, FedRAMP e HIPAA. Para obter informações específicas sobre a conformidade, consulte http://aws.amazon.com/compliance.

P: O ACM têm um acordo de nível de serviço (SLA)?

Não neste momento.

P: O ACM permite caracteres do idioma local em nomes de domínio, também conhecidos como IDNs (nomes de domínio internacionalizados)?

O ACM não permite caracteres do idioma local com codificação Unicode; no entanto, o ACM permite caracteres do idioma local com codificação ASCII para os nomes de domínio.

P: Quais formatos de rótulo de nome de domínio o ACM permite?

O ACM permite apenas ASCII com codificação UTF-8, incluindo rótulos contendo “xn–”, normalmente conhecido como Punycode para nomes de domínio. O ACM não aceita entrada em Unicode (rótulos u) para nomes de domínio.

P: O ACM disponibiliza um selo de site seguro ou um logotipo de confiança que eu possa exibir no meu site?

Não. Se você desejar usar um selo de site, poderá obter um por meio de um fornecedor externo. Nós recomendamos escolher um fornecedor que avalie e confirme a segurança do seu site ou das suas atividades empresariais, ou de ambos.

P: A Amazon permite que suas marcas comerciais ou seu logotipo sejam usados como um selo de certificado, selo de site ou logotipo de confiança?

Não. Os selos desse tipo podem ser copiados para sites que não utilizam o serviço de ACM e usados de modo inadequado para estabelecer confiança sob falsos pretextos. Para proteger nossos clientes e a reputação da Amazon, nós não permitimos que o nosso logotipo seja usado dessa maneira.

Voltar ao início >>

P: Quais informações de log estão disponíveis do AWS CloudTrail?

Você pode identificar quais usuários e contas chamaram APIs da AWS para serviços compatíveis com AWS CloudTrail, o endereço IP de origem dessas chamadas e quando as chamadas ocorreram. Por exemplo, você pode identificar qual usuário fez uma chamada de API para associar um certificado disponibilizado pelo ACM com um Elastic Load Balancer, e quando o serviço Elastic Load Balancing decodificou a chave com uma chamada da API KMS.

Voltar ao início >>

P: O que significa renovação e implantação gerenciadas do ACM?

A renovação e a implantação gerenciadas do ACM gerenciam o processo de renovação de certificados SSL/TLS fornecidos pelo ACM e a implantação desses certificados depois que são renovados.

P: Quais são os benefícios do uso da renovação e implantação gerenciadas do ACM?

O ACM gerencia a renovação e a implantação dos certificados SSL/TLS para você. O ACM torna a configuração e a manutenção do SSL/TLS para um serviço de web ou aplicativo seguras mais confiáveis operacionalmente que os processos manuais propensos a erros. A renovação e a implantação gerenciadas podem ajudar você a evitar interrupções causadas por certificados vencidos. A renovação e a implantação gerenciadas do ACM não requerem a instalação ou manutenção de cliente ou agente de software no seu local. Em vez disso, o ACM opera como serviço integrado a outros serviços da AWS. Isso significa que você pode gerenciar e implantar centralmente os certificados na plataforma da AWS usando o Console de Gerenciamento da AWS, CLI da AWS ou APIs.

P: Quais certificados podem ser renovados e implantados automaticamente?

O ACM pode renovar e implantar certificados disponibilizados pelo ACM sem aprovação adicional do proprietário do domínio. Se um certificado não puder ser renovado sem validação adicional, o ACM gerencia o processo de renovação ao validar a propriedade ou o controle do domínio para cada nome de domínio no certificado. Depois que cada nome de domínio no certificado tiver sido validado, o ACM renovará o certificado e o implantará automaticamente com seus recursos da AWS. Se o ACM não puder validar a propriedade do domínio, você (o proprietário da conta da AWS) será notificado.

Se você escolher a validação de DNS na sua solicitação de certificado, o ACM poderá renovar o certificado indefinidamente sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente. Se você selecionar a validação de e-mail ao solicitar um certificado, você poderá melhorar a capacidade de renovação e implantação automáticas de certificados do ACM garantindo que o certificado está sendo usado, que todos os nomes de domínio inclusos no certificado podem ser resolvidos no seu site e que todos os nomes de domínio podem ser acessados pela internet.

P: Quanto o ACM renova os certificados?

O ACM inicia o processo de renovação com 60 dias de antecedência da data de vencimento do certificado. No momento, o período de validade para os certificados fornecidos pelo ACM é de 13 meses. Consulte o ACM User Guide para obter mais informações sobre renovações gerenciadas.

P: Eu serei notificado antes que meu certificado seja renovado e o novo certificado, implantado?

Não. O ACM pode renovar ou criar a nova chave do certificado e substituir o antigo sem aviso prévio.

P: O ACM pode renovar certificados contendo domínios vazios, como "exemplo.com" (também conhecido como apex de zona ou domínios nus)?

Se você escolher a validação de DNS na sua solicitação de certificado, o ACM poderá renovar o certificado sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente.

Se você selecionar a validação de e-mail ao solicitar um certificado com um domínio vazio, verifique se uma consulta de DNS do domínio vazio pode ser resolvida no recurso da AWS associado ao certificado. A resolução do domínio vazio para um recurso da AWS pode ser algo desafiador, a menos que você use o Route 53 ou outro provedor de DNS que seja compatível com registros de recursos de alias (ou o equivalente a eles), para o mapeamento de domínios vazios para recursos da AWS. Para obter mais informações, consulte o Guia do desenvolvedor do Route 53.

P: Meu site derruba conexões existentes quando o ACM implanta um certificado renovado?

Não, as conexões estabelecidas depois que o novo certificado é implantado usam o novo certificado, e as conexões existentes não são afetadas.

Voltar ao início >>