Perguntas frequentes do AWS Certificate Manager

P: O que é o AWS Certificate Manager?

O AWS Certificate Manager (ACM) é um serviço que permite provisionar, gerenciar e implantar facilmente certificados Secure Sockets Layer (SSL)/Transport Layer Security (TLS) para uso com os serviços da AWS e os recursos internos conectados. Os certificados SSL/TLS são usados para proteger comunicações de rede e estabelecer a identidade de sites na Internet e de recursos em redes privadas. O ACM elimina processos manuais demorados, como compra, upload e renovação de certificados SSL/TLS. Com o AWS Certificate Manager, você pode solicitar rapidamente um certificado, implantá-lo nos recursos da AWS, como Elastic Load Balancers, distribuições do Amazon CloudFront e APIs no Amazon API Gateway, e deixar que o ACM administre as renovações de certificados. O serviço também permite criar certificados privados para recursos internos e centralizar o gerenciamento do ciclo de vida dos certificados. Os certificados SSL/TLS privados e públicos provisionados pelo ACM e usados exclusivamente por serviços integrados ao ACM, como o Elastic Load Balancing, Amazon CloudFront e Amazon API Gateway, são gratuitos. Você paga apenas pelos recursos da AWS que criar para executar a aplicação. Você paga uma taxa mensal pela operação de cada CA privada até que ela seja excluída e pelos certificados privados emitidos que não são usados exclusivamente com serviços integrados ao ACM.

P: O que é um certificado SSL/TLS?

Os certificados SSL/TLS permitem que os navegadores da web identifiquem e estabeleçam conexões de rede criptografadas para sites usando o protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security). Os certificados são usados em um sistema de criptografia conhecido como Public Key Infrastructure (PKI – Infraestrutura de chave pública). O sistema PKI permite que uma parte estabeleça a identidade de outra usando certificados, se ambas confiarem em um terceiro, conhecido como autoridade de certificado. Você pode acessar o tópico Concepts (Conceitos) no Guia do usuário do ACM para obter definições e informações adicionais.

P: O que são certificados privados?

Os certificados privados identificam recursos em uma organização, como aplicativos, serviços, dispositivos e usuários. Ao estabelecer um canal de comunicações criptografado seguro, cada endpoint usa um certificado e várias técnicas de criptografia para comprovar sua identidade para o outro endpoint. Endpoints de API internos, servidores web, usuários de VPN, dispositivos da IoT e vários outros aplicativos usam certificados privados para estabelecer os canais de comunicação criptografados necessários para uma operação segura.

P: Qual é a diferença entre certificados públicos e privados?

Os dois tipos de certificado ajudam os clientes a identificar recursos em redes e proteger a comunicação entre esses recursos. Os certificados públicos identificam recursos na Internet pública e os certificados privados fazem o mesmo em redes privadas. Uma diferença essencial é que, por padrão, aplicativos e navegadores confiam automaticamente em certificados públicos, mas um administrador deve configurar explicitamente os aplicativos para que confiem em certificados privados. As ACs públicas (as entidades que emitem certificados públicos) devem seguir regras rigorosas, oferecer visibilidade operacional e cumprir padrões de segurança impostos pelos fornecedores de navegadores e sistemas operacionais, que decidem em quais ACs os navegadores e sistemas operacionais confiam automaticamente. As ACs privadas são gerenciadas por organizações privadas. Os administradores das ACs privadas podem criar suas próprias regras para emitir certificados privados, incluindo práticas para emissão de certificados e a especificação das informações que podem ser incluídas nos certificados. 

P: Quais são os benefícios do uso do AWS Certificate Manager (ACM)?

O ACM facilita a habilitação do SSL/TLS para um site ou aplicação na AWS. O ACM elimina muitos dos processos manuais previamente associados ao uso e ao gerenciamento de certificados SSL/TLS. O ACM também pode ajudar você a evitar paradas devido a certificados com configuração errada, revogados ou vencidos com o gerenciamento de renovações. Você obtém a proteção do SSL/TLS e gerenciamento fácil de certificado. A habilitação do SSL/TLS para sites voltados à Internet pode ajudar a melhorar as classificações de pesquisa do site e a cumprir requisitos de conformidade normativa de criptografia de dados em trânsito.

Quando você usa o ACM para gerenciar certificados, as chaves privadas dos certificados são protegidas e armazenadas em segurança usando uma criptografia robusta e as melhores práticas de gerenciamento de chaves. O ACM permite usar o Console de Gerenciamento da AWS, a AWS CLI ou as APIs do ACM para centralizar o gerenciamento de todos os certificados SSL/TLS do ACM em uma região da AWS. O ACM está integrado a outros serviços da AWS. Assim, você pode solicitar um certificado SSL/TLS e provisioná-lo com o balanceador de carga do Elastic Load Balancing ou a distribuição do Amazon CloudFront no Console de Gerenciamento da AWS, por meio de comandos da AWS CLI ou com chamadas da API.

P: Que tipos de certificados posso gerenciar com o ACM?

O ACM permite gerenciar o ciclo de vida de certificados públicos e privados. Os recursos do ACM dependem de o certificado ser público ou privado, da forma como você obteve o certificado e do local onde ele foi implantado.

Certificados públicos: você pode solicitar certificados públicos emitidos pela Amazon no ACM. O ACM gerencia a renovação e a implantação de certificados públicos usados com serviços integrados ao ACM, incluindo o Amazon CloudFront, Elastic Load Balancing e Amazon API Gateway.

Certificados privados: você pode optar por delegar o gerenciamento dos certificados privados ao ACM. Quando usado dessa forma, o ACM pode renovar e implantar automaticamente certificados privados usados com serviços integrados ao ACM, incluindo o Amazon CloudFront, Elastic Load Balancing e Amazon API Gateway. Esses certificados privados podem ser implantados facilmente usando o Console de Gerenciamento da AWS, as APIs e a interface de linha de comando (CLI). Você pode exportar certificados privados do ACM e usá-los com instâncias do EC2, contêineres, servidores on-premises e dispositivos da IoT. O AWS Private CA renova automaticamente esses certificados e envia uma notificação do Amazon CloudWatch quando a renovação é concluída. Você pode escrever código do lado do cliente para fazer download de certificados e chaves privadas renovados e implantá-los com a aplicação.

Certificados importados: se você quiser usar um certificado de terceiros com o serviço Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, importe-o para o ACM usando o Console de Gerenciamento da AWS, a AWS CLI ou as APIs do ACM. O ACM não pode renovar certificados importados, mas pode ajudar você a gerenciar o processo de renovação. Você é responsável por monitorar a data de expiração dos certificados importados e por renová-los antes da expiração. Você pode usar as métricas do ACM CloudWatch para monitorar as datas de expiração de certificados importados e importar um novo certificado de terceiros para substituir um certificado que esteja prestes a expirar.

P: Como posso começar a usar o ACM?

Para começar a usar o ACM, navegue até o Certificate Manager no Console de Gerenciamento da AWS e use o assistente para solicitar um certificado SSL/TLS. Se você já criou uma autoridade de certificação privada, opte entre um certificado público ou privado e insira o nome do site. Você também pode solicitar um certificado usando as APIs ou a AWS CLI. Após emitir o certificado, você poderá usá-lo com outros serviços da AWS integrados ao ACM. Para cada serviço integrado, basta selecionar o certificado SSL/TLS desejado na lista suspensa do Console de Gerenciamento da AWS. Como opção, você pode executar um comando da ILC da AWS ou chamar uma API da AWS para associar o certificado ao seu recurso. Depois disso, o serviço integrado implantará o certificado para o recurso selecionado.  Para obter mais informações sobre como solicitar e usar certificados fornecidos pelo ACM, saiba mais no Guia do usuário do ACM. Além de usar certificados privados com serviços integrados ao ACM, você também pode exportar certificados privados e usá-los em instâncias do EC2, contêineres do ECS ou em qualquer outro lugar.

P: Com quais serviços da AWS posso usar os certificados do ACM?

• Você pode usar certificados públicos e privados do ACM com os seguintes serviços da AWS:
• Elastic Load Balancing: consulte a documentação do Elastic Load Balancing
• Amazon CloudFront: consulte a documentação do CloudFront
• Amazon API Gateway: consulte a documentação do API Gateway
• AWS CloudFormation: no momento, o suporte está limitado a certificados públicos e privados emitidos pelo ACM. Consulte a documentação do AWS CloudFormation
• AWS Elastic Beanstalk: consulte a documentação do AWS Elastic Beanstalk
• AWS Nitro Enclaves: consulte a documentação do AWS Nitro Enclaves

P: Em que regiões o ACM está disponível?

Acesse as páginas da Infraestrutura global da AWS para consultar a disponibilidade atual por região para os serviços da AWS. Para usar um certificado do ACM com o Amazon CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (Norte da Virgínia). Os certificados do ACM nessa região que estiverem associados a uma distribuição do CloudFront serão distribuídos para todas as localizações geográficas configuradas para essa distribuição.

P: Quais os tipos de certificado gerenciados pelo ACM?

O ACM gerencia certificados públicos, privados e importados. Saiba mais sobre os recursos do ACM na documentação Emissão e gerenciamento de certificados.

P: O ACM pode fornecer certificados com vários nomes de domínio?

Sim. Cada certificado deve incluir, pelo menos, um nome de domínio e você pode adicionar outros nomes ao certificado se quiser. Por exemplo, você pode adicionar o nome "www.exemplo.net" para um certificado para "www.exemplo.com" se os usuários podem acessar seu site por qualquer um dos nomes. Você deve possuir ou controlar todos os nomes incluídos na solicitação de certificado. 

P: O que é um nome de domínio curinga?

Um nome de domínio curinga corresponde a qualquer subdomínio de primeiro nível ou nome de host em um domínio. Um subdomínio de primeiro nível em um nome de domínio único que não contenha um ponto. Por exemplo, você pode usar *.exemplo.com para proteger www.exemplo.com, imagens.exemplo.com e qualquer outro nome de host ou subdomínio de primeiro nível que termine com .exemplo.com. Saiba mais no Guia do usuário do ACM.

P: O ACM pode fornecer certificados com nomes de domínio curinga?

Sim.

P: O ACM fornece certificados que não sejam SSL/TLS?

Não.

P: Posso usar certificados do ACM para assinatura de código ou criptografia de e-mail?

Não.

P: O ACM fornece certificados usados para assinatura e criptografia de e-mail (certificados S/MIME)?

Não.

P: Qual é o período de validade dos certificados do ACM?

Os certificados emitidos pelo ACM são válidos por 13 meses (395 dias). Se você emitir certificados privados diretamente de uma autoridade de certificação privada e gerenciar as chaves e os certificados sem usar o ACM para o gerenciamento dos certificados, poderá escolher qualquer período de validade, incluindo uma data final absoluta ou um período relativo especificado em dias, meses ou anos a partir do momento atual.

P: Quais algoritmos os certificados emitidos pelo ACM usam?

Por padrão, os certificados emitidos no ACM usam chaves RSA com módulo de 2.048 bits e SHA-256. Além disso, você pode solicitar certificados Elliptic Curve Digital Signature Algorithm (ECDSA) com P-256 ou P-384. Saiba mais sobre algoritmos no Guia do usuário do ACM.

P: Como faço para revogar um certificado?

Você pode solicitar que o ACM revogue um certificado público acessando o AWS Support Center e criando um caso. Para revogar um certificado privado emitido pelo seu AWS Private CA, consulte o Guia do usuário do AWS Private CA. 

P: Posso usar o mesmo certificado do ACM em mais de uma região da AWS?

Não. Os certificados do ACM devem estar na mesma região do recurso em que estão sendo usados. A única exceção é o Amazon CloudFront, um serviço global que requer certificados na região Leste dos EUA (N. da Virgínia). Os certificados do ACM nessa região que estiverem associados a uma distribuição do CloudFront serão distribuídos para todas as localizações geográficas configuradas para essa distribuição.

P: Posso provisionar um certificado com o ACM se já tenho um certificado de outro provedor para o mesmo nome de domínio?

Sim.

P: Posso usar certificados em instâncias do Amazon EC2 ou em meus próprios servidores?

Você pode usar certificados privados emitidos pela AC privada com instâncias do EC2, contêineres e seus próprios servidores. No momento, os certificados públicos do ACM só podem ser usados com serviços específicos da AWS, incluindo o AWS Nitro Enclaves. Consulte Integrações de serviços do ACM.

P: O ACM permite caracteres do idioma local em nomes de domínio, também conhecidos como IDNs (nomes de domínio internacionalizados)?

O ACM não permite caracteres do idioma local com codificação Unicode; no entanto, o ACM permite caracteres do idioma local com codificação ASCII para os nomes de domínio.

P: Quais formatos de rótulo de nome de domínio o ACM permite?

O ACM permite apenas ASCII com codificação UTF-8, incluindo rótulos contendo “xn–”, normalmente conhecido como Punycode para nomes de domínio. O ACM não aceita entrada em Unicode (rótulos u) para nomes de domínio.

P: Posso importar um certificado de terceiros e usá-lo com os serviços da AWS?

Sim. Se você quiser usar um certificado de terceiros com os serviços Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, importe-o para o ACM usando o Console de Gerenciamento da AWS, a ILC da AWS ou as APIs do AWS Certificate Manager. O ACM não gerencia o processo de renovação para certificados importados. Você pode usar o Console de Gerenciamento da AWS para monitorar as datas de expiração de um certificado importado e importar um novo certificado de terceiros para substituir o que está prestes a vencer.

P: O que são certificados públicos?

Os dois tipos de certificado ajudam os clientes a identificar recursos em redes e proteger a comunicação entre esses recursos. Os certificados públicos identificam recursos na Internet.

P: Quais tipos de certificados públicos são disponibilizados pelo ACM?

O ACM disponibiliza certificados públicos Domain Validated (DV – Validados para o domínio) para uso em sites e aplicações que terminam o SSL/TLS. Para obter mais detalhes sobre certificados do ACM, consulte Características dos certificados.

P: Os certificados públicos do ACM são considerados confiáveis por navegadores, sistemas operacionais e dispositivos móveis?

Os certificados públicos do ACM são considerados confiáveis pela maioria dos navegadores, sistemas operacionais e dispositivos móveis modernos. Os certificados fornecidos pelo ACM são compatíveis como 99% dos navegadores e sistemas operacionais, incluindo Windows XP SP3 e Java 6 e posterior.

P: Como posso confirmar que um navegador confia nos certificados públicos do ACM?

Alguns navegadores que confiam em certificados do ACM exibem um ícone de cadeado e não emitem alertas de certificados quando conectados a sites que utilizam os certificados do ACM com SSL/TLS, por exemplo, usando HTTPS.

Os certificados públicos do ACM são verificados pela autoridade de certificação (AC) da Amazon. Qualquer navegador, aplicação ou sistema operacional que inclua o Amazon Root CA 1, o Amazon Root CA 2, o Amazon Root CA 3, o Amazon Root CA 4, a Starfield Services Root Certificate Authority - G2 confia nos certificados do ACM. Para obter mais informações sobre CAs raiz, visite o Repositório Amazon Trust Services.

P: O ACM fornece certificados de Organizational Validation (OV, Validação organizacional) ou Extended Validation (EV, Validação estendida) públicos?

Não.

P: Onde a Amazon descreve suas políticas e práticas para emissão certificados públicos?

Elas são descritas nos documentos Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulte o repositório Amazon Trust Services para obter as versões mais recentes.

P: Um certificado para www.exemplo.com também funciona para exemplo.com?

Não. Se você deseja que seu site seja referenciado por ambos os nomes de domínio (www.exemplo.com e exemplo.com), você deve solicitar um certificado que inclua os dois nomes.

P: Como o ACM pode ajudar a organização a cumprir requisitos de conformidade?

O uso do ACM ajuda você a cumprir requisitos normativos facilitando conexões seguras, um requisito comum entre vários programas de conformidade como PCI, FedRAMP e HIPAA. Para obter informações específicas sobre conformidade, consulte http://aws.amazon.com/compliance.

P: O ACM tem um Acordo de Nível de Serviço (SLA)?

Não, o ACM não tem um SLA. 

P: O ACM disponibiliza um selo de site seguro ou um logotipo de confiança para exibição em um site?

Não. Se você desejar usar um selo de site, poderá obter um por meio de um fornecedor externo. Recomendamos escolher um fornecedor que avalie e confirme a segurança do seu site ou das suas atividades empresariais, ou de ambos.

P: A Amazon permite que suas marcas comerciais ou seu logotipo sejam usados como um selo de certificado, selo de site ou logotipo de confiança?

Não. Os selos desse tipo podem ser copiados para sites que não utilizam o serviço de ACM e usados de modo inadequado para estabelecer confiança sob falsos pretextos. Para proteger nossos clientes e a reputação da Amazon, nós não permitimos que o nosso logotipo seja usado dessa maneira.

 

P: Como posso provisionar um certificado público no ACM?

Você pode usar o Console de Gerenciamento da AWS, a ILC da AWS ou as APIs/SDKs do ACM. Para usar o Console de Gerenciamento da AWS, navegue até o Certificate Manager, selecione Request a certificate, selecione Request a public certificate, insira o nome do domínio do site e siga as instruções na tela para concluir a solicitação. Se os usuários puderem acessar seu site usando outros nomes, você poderá adicionar nomes de domínio à sua solicitação. Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Na validação de DNS, grave um registro na configuração pública do DNS do domínio para estabelecer que você tem a propriedade ou controla o domínio. Depois de usar a validação de DNS após estabelecer o controle do domínio, você poderá obter certificados adicionais, e o ACM renovará certificados atuais de domínio, contanto que o registro permaneça vigente e o certificado continue sendo usado. Não é necessário validar o controle do domínio novamente. Se você escolher a validação de e-mail em vez da validação de DNS, os e-mails serão enviados para o proprietário do domínio que estiver solicitando aprovação para a emissão do certificado. Depois de validar que você tem a propriedade e o controle de cada nome de domínio na solicitação, o certificado será emitido e ficará pronto para ser provisionado com outros Serviços da AWS, como o Elastic Load Balancing ou o Amazon CloudFront. Consulte a documentação do ACM para obter detalhes.

P: Por que o ACM valida a propriedade do domínio de certificados públicos?

Os certificados são usados para estabelecer a identidade do site e as conexões seguras entre os navegadores, e as aplicações e o site. Para emitir um certificado confiável publicamente, a Amazon deve validar que o solicitante do certificado controla o nome de domínio na solicitação de certificado.

P: Como o ACM valida a propriedade do domínio antes de emitir um certificado público para um domínio?

Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. Consulte validação de DNS para obter mais detalhes. Se você não tiver a capacidade de gravar registros na configuração pública do DNS do seu domínio, poderá usar a validação de e-mail em vez da validação de DNS. Com a validação de e-mail, o ACM envia e-mails para o proprietário do domínio registrado, e o proprietário ou um representante autorizado pode aprovar a emissão de cada nome de domínio na solicitação de certificado. Consulte Validação de e-mail para obter mais detalhes.

P: Qual método de validação devo usar para certificados públicos: DNS ou e-mail?

Recomendamos o uso da validação de DNS se você tiver a capacidade de alterar a configuração do DNS do seu domínio. Os clientes que não puderem receber e-mails de validação do ACM, e aqueles que usarem um registrador de domínios que não publique informações de contato de e-mail do proprietário do domínio no WHOIS, devem usar a validação de DNS. Se você não puder modificar sua configuração de DNS, deverá usar a validação de e-mail.

P: Posso converter um certificado público atual da validação de e-mail para a validação de DNS?

Não, mas você pode solicitar um novo certificado gratuito no ACM e selecionar a validação de DNS para ele.

P: Quanto tempo demora para um certificado público ser emitido?

O tempo necessário para a emissão de um certificado depois que todos os nomes de domínio em uma solicitação de certificado tiverem sido validados poderá ser várias horas ou mais.

P: O que acontece quando eu solicito um certificado público?

O ACM tenta validar a propriedade e o controle de cada nome de domínio na solicitação de certificado, de acordo com o método de validação escolhido (DNS ou e-mail) ao fazer a solicitação. O status da solicitação de certificado será “Pending validation” enquanto o ACM tentar validar a sua propriedade e o seu do domínio. Consulte as seções Validação de DNS e Validação de e-mail abaixo para obter mais informações sobre o processo de validação. Depois que todos os nomes de domínio em uma solicitação de certificado tiverem sido validados, o tempo necessário para a emissão de um certificado poderá ser várias horas ou mais. Quando o certificado for emitido, o status da solicitação de certificado será alterado para Issued e você poderá começar a usá-lo com outros serviços da AWS integrados ao ACM.

P: O ACM verifica registros de DNS de Certificate Authority Authorization (CAA – Autorização de autoridade de certificados) antes de emitir certificados públicos?

Sim. Os registros de Certificate Authority Authorization (CAA – Autorização de autoridade de certificação) do DNS permitem que proprietários de domínio especifiquem quais autoridades de certificação estão autorizadas a emitir certificados para os domínios desses proprietários. Quando você solicita um certificado do ACM, o AWS Certificate Manager procura um registro CAA na configuração de zonas de DNS do domínio. Se nenhum registro CAA for encontrado, a Amazon poderá emitir um certificado para o domínio. A maioria dos clientes está nessa categoria.

Se a configuração de DNS tiver um registro CAA, esse registro deverá especificar uma das seguintes ACs para que a Amazon possa emitir um certificado para o domínio: amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Consulte Configure a CAA Record ou Troubleshooting CAA Problems no Guia do usuário do AWS Certificate Manager para obter mais informações.

P: O ACM aceita outros métodos de validação de domínios?

Não neste momento.

P: O que é “validação de DNS”?

Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. A validação de DNS torna fácil estabelecer a propriedade de um domínio durante a solicitação de certificados SSL/TLS públicos usando o ACM.

P: Quais são os benefícios da validação de DNS?

A validação de DNS facilita a validação da propriedade ou do controle de um domínio, o que permite que você obtenha um certificado SSL/TLS. Com a validação de DNS, basta gravar um registro CNAME na configuração do DNS para estabelecer o controle do seu nome de domínio. Para simplificar o processo de validação de DNS, o Console de Gerenciamento do ACM pode configurar registros de DNS para você, caso gerencie seus registros de DNS usando o Amazon Route 53. Isso facilita estabelecer o controle do seu nome de domínio com apenas alguns cliques no mouse. Depois de configurar o registro CNAME, o ACM renova automaticamente os certificados que estão sendo usados (associados a outros recursos da AWS), contanto que a validação de DNS permaneça vigente. As renovações são totalmente automáticas e você não precisa fazer nada.

P: Quem deve usar a validação de DNS?

Qualquer usuário que solicitar um certificado por meio do ACM e tiver a capacidade de alterar a configuração do DNS do domínio solicitado deve considerar o uso desse tipo de validação.

P: O ACM ainda aceita a validação de e-mail?

Sim. O ACM continua a aceitar a validação de e-mail para clientes que não possam alterar a configuração do DNS.

P: P: Quais registros preciso adicionar à minha configuração do DNS para validar um domínio?

Você deve adicionar um registro CNAME ao domínio que deseja validar. Por exemplo, para validar o nome www.exemplo.com, adicione um registro CNAME à zona de exemplo.com. O registro adicionado contém um token exclusivo gerado pelo ACM especificamente para seu domínio e sua conta da AWS. Você pode obter as duas partes do registro CNAME (nome e rótulo) usando o ACM. Para obter mais instruções, consulte o Guia do usuário do ACM.

P: Como posso adicionar registros de DNS ao meu domínio, ou modificá-los?

Para obter mais informações sobre como adicionar ou modificar registros de DNS, entre em contato com o provedor de DNS. A documentação do DNS do Amazon Route 53 fornece informações adicionais para os clientes que usam este serviço.

P: O ACM pode simplificar a validação de DNS para os clientes do serviço de DNS do Amazon Route 53?

Sim. Para os clientes que estiverem usando o DNS do Amazon Route 53 para gerenciar registros de DNS, o console do ACM pode adicionar registros à configuração de DNS quando um certificado for solicitado. A hosted zone do serviço de DNS do Route 53 do domínio deve ser configurada na mesma conta da AWS onde está sendo feita a solicitação, e você deve ter permissões suficientes para alterar a configuração do Amazon Route 53. Para obter mais instruções, consulte o Guia do usuário do ACM.

P: A validação de DNS exige o uso de algum provedor específico de DNS?

Não. Você pode usar a validação de DNS com qualquer provedor de DNS, contanto que o provedor permita a adição de um registro CNAME à sua configuração do DNS.

P: Quantos registros de DNS devo ter caso deseje obter mais de um certificado para o mesmo domínio?

Apenas um. Você pode obter vários certificados para o mesmo nome de domínio na mesma conta da AWS usando apenas um registro CNAME. Por exemplo, se você fizer duas solicitações de certificado por meio da mesma conta da AWS para o mesmo nome de domínio, será necessário apenas um registro CNAME de DNS.

P: Posso validar vários nomes de domínio com o mesmo registro CNAME?

Não. Cada nome de domínio deve ter um único registro CNAME.

P: Posso validar um nome de domínio curinga usando a validação de DNS?

Sim.

P: Como o ACM cria registros CNAME?

Os registros CNAME de DNS têm dois componentes: um nome e um rótulo. O componente nome de um CNAME gerado pelo ACM é criado por meio de um caractere sublinhado (_) seguido por um token, que é uma string única vinculada à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token no início do nome de domínio para criar o componente nome. O ACM cria o rótulo por meio de um caractere sublinhado adicionado ao início de um token diferente que também está vinculado à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token a um nome do domínio DNS usado pela AWS para fazer validações: acm-validations.aws. O exemplo a seguir mostra a formatação de CNAMEs para www.exemplo.com, subdominio.exemplo.com e *.exemplo.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Observe que o ACM remove o rótulo curinga (*) durante a geração dos registros CNAME para nomes curingas. Como resultado, o registro CNAME gerado pelo ACM para um nome curinga (como *.example.com) é o mesmo registro retornado ao nome de domínio sem o rótulo curinga (example.com).

P: Posso validar todos os subdomínios de um domínio usando um registro CNAME?

Não. Cada nome de domínio, inclusive os nomes de host e os nomes de subdomínio, deve ser validado separadamente, cada um com um registro CNAME exclusivo.

P: Por que o ACM usa os registros CNAME para a validação de DNS, em vez de registros TXT?

O uso de um registro CNAME permite que o ACM renove certificados enquanto o registro CNAME existir. O registro CNAME faz o direcionamento para um registro TXT em um domínio da AWS (acm-validations.aws), que o ACM pode atualizar conforme for necessário para validar ou revalidar um nome de domínio, sem que você precise fazer nada.

P: A validação de DNS funciona em todas as regiões da AWS?

Sim. Você pode criar um registro CNAME de DNS e usá-lo para obter certificados na mesma conta da AWS em qualquer região da AWS em que o ACM for oferecido. Configure o registro CNAME uma vez e você poderá conseguir emitir e renovar certificados usando o ACM para um determinado nome sem a necessidade de criar outro registro.

P: Posso escolher métodos de validação diferentes no mesmo certificado?

Não. Cada certificado pode ter apenas um método de validação.

P: Como posso renovar um certificado validado com a validação de DNS?

O ACM renova automaticamente certificados que estejam sendo usados (associados a outros recursos da AWS), contanto que o registro de validação de DNS permaneça vigente.

P: Posso revogar a permissão para emitir certificados para o meu domínio?

Sim. Basta remover o registro CNAME. O ACM não emitirá nem renovará certificados para o domínio usando a validação de DNS depois que você remover o registro CNAME e a alteração for distribuída por meio do DNS. O tempo de propagação necessário para remover o registro depende do seu provedor de DNS.

P: O que acontece se eu remover o registro CNAME?

O ACM não poderá emitir nem renovar certificados para o domínio usando a validação de DNS se você remover o registro CNAME.

P: O que é validação de e-mail?

Na validação de e-mail, um e-mail de solicitação de aprovação é enviado para o proprietário do domínio registrado para cada nome de domínio na solicitação de certificado. O proprietário do domínio ou um representante autorizado (aprovador) pode aprovar a solicitação do certificado seguindo as instruções no e-mail. As instruções orientam o aprovador a navegar para o site de aprovação e clicar no link no e-mail, ou colar o link do e-mail em um navegador, para acessar o site de aprovação. O aprovador confirma as informações associadas à solicitação de certificado, como o nome de domínio, o ID de certificado (Nome de região da Amazon [ARN]) e o ID da conta da AWS iniciando a solicitação, e aprova a solicitação se as informações forem precisas.

P: Quando eu solicitar um certificado e escolher a validação de e-mail, para qual endereço de e-mail será enviada a solicitação de aprovação do certificado?

Quando você solicita um certificado usando a validação de e-mail, uma consulta do WHOIS para cada nome de domínio na solicitação de certificado é usada para recuperar informações de contato para o domínio. O e-mail é enviado para o contato administrativo, o contato técnico e para o registrador do domínio que estiverem relacionados ao domínio. Um e-mail também é enviado para cinco endereços de e-mail especiais, que são formados ao adicionar admin@, administrator@, hostmaster@, webmaster@ e postmaster@ antes do nome de domínio que estiver solicitando. Por exemplo, se você solicitar um certificado para www.example.com, um e-mail é enviado para quem registra o domínio, o contato técnico e contato administrativo usando as informações de contato fornecidas por uma consulta WHOIS para o domínio exemplo.com, mais admin@servidor.exemplo.com, administrador@servidor.exemplo.com, hostmaster@servidor.exemplo.com, postmaster@servidor.exemplo.com e webmaster@servidor.exemplo.com.

Os cinco endereços de e-mail especiais são criados de forma diferente para nomes de domínio que começam com "www" ou nomes com curinga que começam com um asterisco (*). O ACM remove o prefixo "www" ou asterisco e envia o e-mail para os endereços administrativos formados pelo acréscimo dos prefixos admin@, administrator@, hostmaster@, postmaster@ e webmaster@ à parte restante do nome do domínio. Por exemplo, se você solicitar um certificado para www.example.com, o e-mail será enviado aos contatos do WHOIS, como descrito anteriormente, e para admin@example.com em vez de admin@www.example.com. Os outros quatro endereços de e-mail especiais restantes são criados de forma similar.

Depois que solicitar um certificado, você poderá exibir a lista de endereços para os quais foram enviados os e-mails de cada domínio usando o console do ACM, CLI da AWS ou APIs.

P: Posso configurar endereços de e-mail para os quais a solicitação de aprovação de certificado foi enviada?

Não, mas você pode configurar o nome de domínio base para o qual você deseja que o e-mail de validação foi enviado. O nome de domínio base deve ser um superdomínio do nome de domínio na solicitação de certificado. Por exemplo, se você deseja solicitar um certificado para servidor.dominio.exemplo.com, mas deseja direcionar o e-mail de aprovação para admin@domínio.exemplo.com, você pode fazer isso usando a CLI ou a API da AWS. Consulte Referência de CLI do ACM e Referência de API do ACM para obter mais detalhes.

P: Posso usar domínios que tenham informações de contato de proxy (como Privacy Guard ou WhoisGuard)?

Sim. No entanto, a entrega do e-mail pode sofrer atraso como resultado do proxy. O e-mail enviado através de um proxy pode acabar indo para sua pasta de lixo eletrônico. Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

P: O ACM pode validar minha identidade usando o contato técnico para minha conta da AWS?

Não. Os procedimentos e políticas para validação da identidade do proprietário do domínio são muito rígidos e determinados pelo CA/Browser Forum, que define padrões de políticas para autoridades de certificação confiáveis publicamente. Para saber mais, consulte a mais recente Amazon Trust Services Certification Practices Statement no Amazon Trust Services Repository.

P: O que devo fazer se não receber o e-mail de aprovação?

Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

P: Como as chaves privadas dos certificados fornecidos pelo ACM são gerenciadas?

Um par de chaves é criado para cada certificado fornecido pelo ACM. O ACM foi projetado para proteger e gerenciar as chaves privadas usadas com certificados SSL/TLS. As práticas recomendadas de criptografia forte e gerenciamento de chave são usadas ao proteger e armazenar chaves privadas.

P: O ACM copia certificados entre regiões da AWS?

Não. A chave privada de cada certificado do ACM é armazenada na região na qual você solicitou o certificado. Por exemplo, quando você obtém um novo certificado na região Leste dos EUA (Norte da Virgínia), o ACM armazena a chave privada na região do Norte da Virgínia. Os certificados do ACM são apenas copiados entre regiões se o certificado está associado com uma distribuição do CloudFront. Nesse caso, o CloudFront distribui o certificado do ACM para os locais geográficos configurados para sua distribuição.

P: O que significa “renovação e implantação gerenciadas” do ACM?

A renovação e a implantação gerenciadas do ACM administram o processo de renovação de certificados SSL/TLS do ACM e a implantação desses certificados depois que são renovados.

P: Quais são os benefícios do uso da renovação e implantação gerenciadas do ACM?

O ACM pode gerenciar a renovação e a implantação dos certificados SSL/TLS para você. O ACM torna a configuração e a manutenção do SSL/TLS para um serviço de web ou aplicativo seguras mais confiáveis operacionalmente que os processos manuais propensos a erros. A renovação e a implantação gerenciadas podem ajudar você a evitar interrupções causadas por certificados vencidos. O ACM opera como serviço integrado a outros serviços da AWS. Isso significa que você pode gerenciar e implantar centralmente os certificados na plataforma da AWS usando o Console de Gerenciamento da AWS, CLI da AWS ou APIs. Com a AC privada, você pode criar certificados privados e exportá-los. O ACM renova certificados exportados, o que permite que código de automação do lado do cliente baixe esses certificados e os implante. 

P: Quais certificados do ACM podem ser renovados e implantados automaticamente?

Certificados públicos

O ACM pode renovar e implantar certificados públicos do ACM sem aprovação adicional do proprietário do domínio. Se um certificado não puder ser renovado sem validação adicional, o ACM gerencia o processo de renovação ao validar a propriedade ou o controle do domínio para cada nome de domínio no certificado. Depois que cada nome de domínio no certificado tiver sido validado, o ACM renovará o certificado e o implantará automaticamente com seus recursos da AWS. Se o ACM não puder validar a propriedade do domínio, você (o proprietário da conta da AWS) será notificado.

Se você escolher a validação de DNS na sua solicitação de certificado, o ACM poderá renovar o certificado indefinidamente sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente. Se você selecionar a validação de e-mail ao solicitar um certificado, poderá melhorar a capacidade de renovação e implantação automáticas de certificados do ACM garantindo que o certificado está sendo usado, que todos os nomes de domínio incluídos no certificado podem ser resolvidos para o seu site e que todos os nomes de domínio podem ser acessados da Internet.

Certificados privados

O ACM oferece duas opções para gerenciar certificados privados emitidos com o AWS Private CA. Diversos recursos de renovação são fornecidos pelo ACM em função da forma como você gerencia os certificados privados. Você pode escolher a melhor opção de gerenciamento para cada certificado privado emitido.

1) O ACM pode automatizar totalmente a renovação e a implantação de certificados privados emitidos por autoridades de certificação privadas da AWS e usados por serviços integrados ao ACM, como o Elastic Load Balancing e o API Gateway. O ACM pode renovar e implantar certificados privados emitidos por meio do ACM, desde que a autoridade de certificação privada que emitiu o certificado permaneça no estado Ativo.

2) Os certificados privados exportados do ACM para uso com recursos on-premises, instâncias do EC2 e dispositivos da IoT são renovados automaticamente pelo ACM. Você é responsável por recuperar o novo certificado e a chave privada e por implantá-los com a aplicação.

P: Quando o ACM renova os certificados?

O ACM inicia o processo de renovação com 60 dias de antecedência da data de vencimento do certificado. O período de validade atual dos certificados do ACM é de 13 meses (395 dias). Consulte o Guia do usuário do ACM para obter mais informações sobre renovações gerenciadas.

P: Eu serei notificado antes que meu certificado seja renovado e o novo certificado, implantado?

Não. O ACM pode renovar ou criar a nova chave do certificado e substituir o antigo sem aviso prévio.

P: O ACM pode renovar certificados públicos contendo domínios vazios, como “exemplo.com” (também conhecidos como “apex de zona” ou “naked domains”)?

Se você escolher a validação de DNS na solicitação de certificado público, o ACM poderá renovar o certificado sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente.

Se você selecionar a validação de e-mail ao solicitar um certificado público com um domínio vazio, verifique se uma consulta de DNS do domínio vazio é resolvida para o recurso da AWS associado ao certificado. A resolução do domínio bruto para um recurso da AWS pode ser algo desafiador, a menos que você use o Route 53 ou outro provedor de DNS que ofereça suporte a registros de recursos de alias (ou seu equivalente) para mapear domínios vazios para recursos da AWS. Para obter mais informações, consulte o Guia do desenvolvedor do Route 53.

P: Meu site derruba conexões existentes quando o ACM implanta um certificado renovado?

Não, as conexões estabelecidas depois que o novo certificado é implantado usam o novo certificado, e as conexões existentes não são afetadas.

P: Posso usar o mesmo certificado com vários balanceadores de carga do Elastic Load Balancing e várias distribuições do CloudFront?

Sim.

P: Posso usar certificados públicos para balanceadores de carga internos do Elastic Load Balancing sem acesso público à Internet?

Sim. Mas você também pode considerar o uso do AWS Private CA para emitir certificados privados que o ACM pode renovar sem validação. Consulte Renovação e implantação gerenciadas para obter detalhes sobre como o ACM cuida das renovações de certificados privados e de certificados públicos que não podem ser acessados da Internet.

P: Posso auditar o uso de chaves privadas de certificados?

Sim. Usando o AWS CloudTrail, você pode analisar logs que informam quando a chave privada para o certificado foi usada.

P: Quais informações de log estão disponíveis do AWS CloudTrail?

Você pode identificar quais usuários e contas chamaram APIs da AWS para serviços compatíveis com AWS CloudTrail, o endereço IP de origem dessas chamadas e quando as chamadas ocorreram. Por exemplo, você pode identificar qual usuário fez uma chamada de API para associar um certificado disponibilizado pelo ACM com um Elastic Load Balancer, e quando o serviço Elastic Load Balancing decodificou a chave com uma chamada da API KMS.

P: Como serei cobrado e faturado pela utilização dos certificados do ACM?

Os certificados públicos e privados provisionados pelo AWS Certificate Manager para uso com serviços integrados ao ACM, como o Elastic Load Balancing, o Amazon CloudFront e o Amazon API Gateway, são gratuitos. Você paga apenas pelos recursos da AWS que criar para executar a aplicação. O AWS Private CA tem preços conforme o uso. Acesse a página de preços do AWS Private CA para obter mais detalhes e exemplos.

P: Onde posso encontrar informações sobre o AWS Private CA?

Consulte as Perguntas frequentes sobre o AWS Private CA para saber como usar o AWS Private CA.