Вопрос: Что такое AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) – это сервис, позволяющий легко предоставлять и развертывать сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для использования с сервисами AWS, а также управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете. Сервис ACM избавляет от необходимости тратить время на покупку, загрузку и обновление сертификатов SSL/TLS вручную. С помощью ACM можно запросить сертификат и выполнить его развертывание на ресурсах AWS, таких как балансировщики нагрузки сервиса Elastic Load Balancing, базы раздачи Amazon CloudFront или API в сервисе Amazon API Gateway. После этого AWS Certificate Manager может самостоятельно выполнять обновление сертификатов. Кроме того, можно импортировать в ACM сторонние сертификаты и связывать их с поддерживаемыми сервисами AWS. Сертификаты SSL/TLS, предоставляемые с помощью ACM, являются бесплатными. Вы оплачиваете только ресурсы AWS, которые используете для запуска своего приложения.

Вопрос: Что такое сертификат SSL/TLS?

Сертификаты SSL/TLS позволяют браузерам проверять подлинность веб-сайтов и устанавливать с ними зашифрованные сетевые соединения с использованием протокола Secure Sockets Layer/Transport Layer Security (SSL/TLS) Сертификаты используются в рамках криптографической системы, известной как инфраструктура открытого ключа (PKI). PKI дает одной стороне возможность устанавливать подлинность другой стороны с помощью сертификатов при условии, что обе стороны доверяют третьей стороне, известной как центр сертификации. Дополнительная справочная информация и определения приведены в разделе Основные понятия Руководства пользователя ACM.

Вопрос: Какие задачи можно выполнять с помощью AWS Certificate Manager?

Можно запрашивать и получать сертификаты SSL/TLS, а также использовать сервисы, интегрированные с ACM, такие как Elastic Load Balancing, Amazon CloudFront или Amazon API Gateway, для развертывания сертификатов веб-сайта или приложения. После проверки принадлежности запрашиваемого домена и выпуска сертификата нужно просто выбрать соответствующий сертификат из раскрывающегося списка в Консоли управления AWS. Кроме того, можно развертывать предоставленные ACM сертификаты в ресурсах AWS, используя команды интерфейса командной строки (CLI) или вызовы API AWS. ACM берет на себя управление обновлением и развертыванием сертификатов.

Вопрос: Какие преимущества дает использование сервиса AWS Certificate Manager?

ACM облегчает использование протоколов SSL/TLS для веб-сайтов и приложений, работающих на платформе AWS. ACM устраняет необходимость в ряде ручных операций, связанных с использованием протоколов и управлением сертификатами SSL/TLS. ACM управляет обновлением сертификатов, что позволяет избежать простоев из-за неправильно настроенных, отозванных или просроченных сертификатов. Сервис обеспечивает защиту сетевых соединений с помощью протоколов SSL/TLS и простоту управления сертификатами. Использование протоколов SSL/TLS поможет улучшить ранжирование вашего сайта в поисковых системах и обеспечить соответствие нормативным требованиям в отношении шифрования данных при передаче.

Для подтверждения того, что вы владеете или управляете доменным именем, указанным в запрошенном сертификате, ACM использует либо проверку с помощью записи DNS, либо проверку с помощью электронной почты (в зависимости от выбранного при запросе сертификата варианта). При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для дальнейшего упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM может автоматически обновлять сертификаты, проверенные с помощью записи DNS, до истечения их срока действия, если соответствующая запись DNS присутствует, а сертификаты используются. Обновление выполняется автоматически и не требует вмешательства пользователя. ACM также поддерживает проверку с помощью электронной почты для клиентов, у которых нет возможности обновлять конфигурацию DNS для своего домена.

При хранении и защите закрытых ключей сертификата сервис ACM использует криптостойкие алгоритмы шифрования и рекомендации по управлению ключами. ACM позволяет централизованно управлять всеми сертификатами SSL/TLS, предоставляемыми AWS Certificate Manager в соответствующем регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса AWS Certificate Manager. ACM интегрирован с другими сервисами AWS, что позволяет запросить сертификат SSL/TLS и выполнить его развертывание в балансировщике нагрузки Elastic Load Balancing или базе раздачи Amazon CloudFront с помощью Консоли управления AWS, команд в интерфейсе командной строки AWS или вызовов API.

Вопрос: Как начать работать с ACM?

Чтобы начать работу с сервисом AWS Certificate Manager, перейдите к сервису Certificate Manager в Консоли управления AWS и с помощью соответствующего мастера запросите сертификат SSL/TLS, указав название своего сайта. Можно также запросить сертификат, используя интерфейс командной строки или API AWS. После того как ACM получит подтверждение от владельца домена и выпустит сертификат SSL/TLS, этот сертификат можно будет использовать с другими сервисами AWS, интегрированными с ACM. Для каждого интегрированного сервиса требуется просто выбрать соответствующий сертификат SSL/TLS из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью команды интерфейса командной строки или вызова API AWS. После этого интегрированный сервис развертывает сертификат в выбранном вами ресурсе. Подробности о том, как запросить и использовать сертификаты, предоставляемые AWS Certificate Manager, см. в разделе Начало работы «Руководства пользователя по AWS Certificate Manager».

Вопрос: Почему ACM проверяет право владения доменом?

Сертификаты используются для установления подлинности веб-сайта и безопасного соединения между браузерами и приложениями или сайтом. Для выдачи публичного доверенного сертификата Amazon должен убедиться в том, что сторона, запросившая сертификат, управляет доменным именем, указанным в запросе.

Вопрос: Каким образом ACM проверяет право владения доменом перед выдачей сертификата для домена?

Перед выдачей сертификата ACM проверяет, действительно ли вы владеете или управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив запись CNAME в конфигурацию DNS. Подробнее см. в разделе Проверка с помощью записи DNS. Если у вас нет возможности добавлять записи в публичную конфигурацию DNS указанного домена, вы можете использовать вместо проверки с помощью записи DNS проверку с помощью электронной почты. При проверке с помощью электронной почты ACM отправляет электронные письма зарегистрированному владельцу домена, а владелец или его уполномоченный представитель может подтвердить выпуск сертификата для каждого доменного имени, указанного в запросе на сертификат. Подробнее см. в разделе Проверка с помощью электронной почты.

Вопрос: Какой метод проверки следует использовать: с помощью записи DNS или с помощью электронной почты?

Если у вас есть возможность изменить конфигурацию DNS для указанного домена, рекомендуется использовать проверку с помощью записи DNS. Для клиентов, которые не могут получить проверочные письма от ACM по электронной почте или у которых регистратор домена не публикует контактную информацию с адресом электронной почты владельца домена в WHOIS, проверка с помощью записи DNS является обязательной. Если вы не можете изменить свою конфигурацию DNS, следует использовать проверку с помощью электронной почты.

Вопрос: Можно ли для существующего сертификата изменить способ проверки с электронной почты на запись DNS?

Нет. Однако можно запросить в ACM новый бесплатный сертификат и выбрать для нового сертификата проверку с помощью записи DNS.

Вопрос: Сертификаты какого типа предоставляет ACM?

ACM предоставляет сертификаты валидации домена (DV-сертификаты) для использования с веб-сайтами и приложениями, выполняющими терминацию SSL/TLS. Подробнее о сертификатах, предоставляемых ACM, см. в разделе Характеристики сертификатов.

Вопрос: С какими сервисами AWS можно использовать сертификаты, предоставляемые ACM?

Сертификаты, предоставляемые ACM, можно использовать со следующими сервисами AWS.
• Elastic Load Balancing – см. документацию Elastic Load Balancing
• Amazon CloudFront – см. документацию CloudFront
• Amazon API Gateway – см. документацию API Gateway
• AWS Elastic Beanstalk – см. документацию AWS Elastic Beanstalk
• AWS CloudFormation – см. документацию AWS CloudFormation

Вопрос: В каких регионах доступен сервис ACM?

Актуальные сведения о доступности сервисов AWS по регионам см. на страницах глобальной инфраструктуры AWS. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить или импортировать сертификат в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Можно ли использовать один и тот же сертификат в нескольких регионах AWS?

Это зависит от того, используете ли вы сервис Elastic Load Balancing или Amazon CloudFront. Чтобы использовать сертификат с сервисом Elastic Load Balancing для того же сайта (того же полностью определенного доменного имени, то есть FQDN или набора FQDN) в другом регионе, потребуется запросить новый сертификат для каждого региона, где планируется использование. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Можно ли копировать сертификат в другие регионы?

В настоящий момент нет.

Вопрос: Можно ли получить сертификат в сервисе ACM, если у меня уже есть сертификат для того же доменного имени от другого провайдера?

Да.

Вопрос: Можно ли использовать сертификаты на инстансах Amazon EC2 или на моих собственных серверах?

Нет. В настоящее время сертификаты, предоставляемые ACM, могут использоваться только с конкретными сервисами AWS. См. ответ на вопрос «С какими сервисами AWS можно использовать сертификаты, предоставляемые ACM?»

Вопрос: Есть ли ограничение на количество сертификатов, которые можно предоставить с помощью ACM?

По умолчанию вы можете предоставить до 100 сертификатов на аккаунт в каждом регионе. Каждый сертификат, полученный с помощью ACM, может включать до 10 полностью определенных доменных имен. Вы можете отправить запрос на изменение ограничений в сторону увеличения, обратившись в Центр AWS Support. Дополнительные сведения см. в документации AWS.

К началу

Вопрос: Как предоставить сертификат посредством сервиса ACM?

Вы можете использовать Консоль управления AWS, интерфейсы командной строки AWS, а также API или SDK ACM. При использовании Консоли управления AWS перейдите к разделу Certificate Manager, выберите пункт Request a certificate, введите доменное имя сайта и завершите формирование запроса, следуя инструкциям на экране. Если для доступа к сайту пользователи могут использовать другие доменные имена, можно включить в запрос эти дополнительные имена. Прежде чем ACM сможет выдать сертификат, он проверит, действительно ли вы владеете / управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS требуется добавить запись в публичную конфигурацию DNS для своего домена, чтобы подтвердить, что вы владеете доменом или управляете им. После однократной проверки управления доменом с помощью записи DNS можно получить дополнительные сертификаты, и ACM может обновлять существующие сертификаты для домена, пока запись будет присутствовать, а сертификат – использоваться. Повторная проверка управления доменом не потребуется. Если выбрать проверку с помощью электронной почты вместо проверки с помощью записи DNS, владельцу домена будут отправлены электронные письма с запросом подтверждения на выдачу сертификата. После подтверждения права владения или возможности управления для каждого доменного имени, указанного в запросе, сертификат будет выдан и готов к использованию с другими сервисами AWS, например Elastic Load Balancing или Amazon CloudFront. Подробности см. в документации ACM.

Вопрос: Сколько времени занимает выпуск сертификата?

Для выдачи сертификата после проверки всех доменных имен, указанных в запросе на сертификат, может потребоваться несколько часов.

Вопрос: Что происходит при запросе сертификата?

ACM пытается проверить право владения или возможность управления для каждого доменного имени, указанного в запросе на сертификат, в соответствии с выбранным во время запроса методом проверки (с помощью записи DNS или с помощью электронной почты). Пока ACM проверяет, действительно ли вы владеете или управляете доменом, запрос сертификата будет иметь статус Pending validation. Дополнительные сведения о процессе проверки см. ниже в разделах Проверка с помощью записи DNS и Проверка с помощью электронной почты. После проверки всех доменных имен, указанных в запросе на сертификат, для выдачи сертификата может потребоваться несколько часов. После выдачи сертификата статус запроса сертификата изменяется на Issued, а сам сертификат можно использовать с другими сервисами AWS, интегрированными с ACM.

Вопрос: Почему мой запрос сертификата имеет статус «Pending validation»?

Статус Pending validation имеют непроверенные запросы сертификатов. Домен, указанный в запросе сертификата, должен быть проверен до выдачи сертификата. Чтобы определить, почему ваш запрос может иметь такой статус, обратитесь к Руководству по устранению неисправностей ACM.

Вопрос: Почему мой запрос сертификата имеет статус «Failed»?

Процесс проверки достоверности домена может окончиться неудачей по нескольким причинам. Одной из причин неудачи может быть то, что домен попал в список URL-адресов сетевых ресурсов, предположительно содержащих вредоносный или фишинговый контент. Чтобы определить причину неудачного завершения запроса, обратитесь к Руководству по устранению неисправностей ACM.

Вопрос: Почему мой запрос сертификата имеет статус «Validation timed out»?

Если запросы сертификатов не получают подтверждения в течение 72 часов, они отклоняются по тайм-ауту. Обратитесь к Руководству пользователя по ACM, чтобы устранить возможные проблемы.

Вопрос: Поддерживает ли ACM проверку записей авторизации центра сертификации (CAA)?

Да. Записи авторизации центра сертификации (CAA) позволяют владельцам доменов указывать, какие органы сертификации уполномочены выдавать сертификаты для их доменов. При запросе сертификата ACM AWS Certificate Manager ищет запись CAA в конфигурации зоны DNS для соответствующего домена. Если запись CAA отсутствует, сертификат для домена может выдать Amazon. Большинство клиентов относятся к этой категории.

Если конфигурация DNS содержит запись CAA, для выдачи домену сертификата Amazon в ней должен быть указан один из следующих центров сертификации: amazon.com, amazontrust.com, awstrust.com или amazonaws.com. Подробные сведения см. в разделе Настройка записи CAA или Устранение проблем с CAA Руководства пользователя AWS Certificate Manager.

Вопрос: Поддерживает ли ACM другие способы проверки домена?

В настоящий момент нет.

                                                                 К началу >>

Вопрос: Что такое проверка с помощью записи DNS?

При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив в конфигурацию DNS запись CNAME. Проверка с помощью записи DNS позволяет при запросе сертификатов SSL/TLS из ACM легко подтвердить, что вы являетесь владельцем домена.

Вопрос: Каковы преимущества использования проверки с помощью записи DNS?

Проверка с помощью записи DNS позволяет легко подтвердить, что вы владеете или управляете доменом, для получения сертификата SSL/TLS. При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока присутствует проверочная запись DNS. Обновление выполняется автоматически и не требует вмешательства пользователя.

Вопрос: Кому рекомендуется использовать проверку с помощью записи DNS?

Возможность использования проверки с помощью записи DNS следует рассмотреть всем, кто запрашивает сертификат через ACM и может изменять конфигурацию DNS для запрашиваемого домена.

Вопрос: Продолжает ли ACM поддерживать проверку с помощью электронной почты?

Да. ACM продолжает поддерживать проверку с помощью электронной почты для клиентов, которые не могут изменить конфигурацию DNS.

Вопрос: Какие записи необходимо добавить в мою конфигурацию DNS для проверки домена?

Необходимо добавить запись CNAME для домена, который требуется проверить. Например, чтобы проверить имя www.example.com, добавьте запись CNAME в зону для example.com. Добавленная запись содержит случайный токен, который ACM генерирует специально для этого домена и вашего аккаунта AWS. Получить две части записи CNAME (имя и метку) можно в ACM. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос: Как добавить или изменить записи DNS для моего домена?

Для получения дополнительных сведений о том, как добавить или изменить записи DNS, обратитесь к провайдеру DNS. В документации по DNS сервиса Amazon Route 53 содержится дополнительная информация для клиентов, использующих DNS в Amazon Route 53.

Вопрос: Позволяет ли ACM упростить проверку с помощью записи DNS для клиентов, использующих DNS Amazon Route 53?

Да. Для клиентов, которые используют для управления записями DNS сервис Amazon Route 53, при запросе сертификата консоль ACM может автоматически добавлять записи в конфигурацию DNS. Ваша зона хостинга DNS Route 53 для домена должна быть настроена в том же аккаунте AWS, из которого подается запрос, при этом у вас должны быть достаточные разрешения для внесения изменений в конфигурацию Amazon Route 53. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос: Требуется ли для проверки с помощью записи DNS использовать определенного провайдера DNS?

Нет. Проверку с помощью записи DNS можно использовать с любым провайдером DNS, если он позволяет добавить запись CNAME в конфигурацию DNS.

Вопрос: Сколько записей DNS мне потребуется добавить, если мне необходимо несколько сертификатов для одного и того же домена?

Одну. Можно получить несколько сертификатов для одного доменного имени в одном аккаунте AWS, используя одну запись CNAME. Например, если вы подаете два запроса на сертификат из одного и того же аккаунта AWS для одного и того же доменного имени, вам потребуется только одна запись CNAME DNS.

Вопрос: Можно ли проверить несколько доменных имен с помощью одной записи CNAME?

Нет. У каждого доменного имени должна быть уникальная запись CNAME.

Вопрос: Можно ли проверить доменное имя с шаблоном подстановки, используя проверку с помощью записи DNS?

Да.

Вопрос: Как ACM создает записи CNAME?

Записи CNAME DNS состоят из двух компонентов: имени и метки. Имя записи CNAME, созданной ACM, состоит из символа подчеркивания (_), за которым следует токен, который является уникальной строкой, связанной с конкретным аккаунтом AWS и доменным именем. ACM добавляет знак подчеркивания и токен к вашему доменному имени для создания компонента имени. Соответствующую метку ACM создает из символа подчеркивания, добавленного к другому токену, который также связан с конкретным аккаунтом AWS и доменным именем. ACM добавляет символ подчеркивания и токен к доменному имени DNS, используемому AWS для проверки подлинности (acm-validations.aws). В следующих примерах показано форматирование записей CNAME для www.example.com, subdomain.example.com и *.example.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Обратите внимание на то, что ACM удаляет знак подстановки (*) при создании записей CNAME для имен с использованием шаблонов. В результате этого запись CNAME, созданная ACM для такого имени (например, *.example.com), является той же записью, которая была возвращена для доменного имени без метки с подстановочным знаком (example.com).

Вопрос: Можно ли проверить все поддомены домена, используя одну запись CNAME?

Нет. Для каждого доменного имени, включая имена хостов и имена поддоменов, должна выполняться отдельная проверка с помощью уникальной записи CNAME.

Вопрос: Почему ACM использует для проверки с помощью записи DNS записи CNAME, а не записи TXT?

Использование записи CNAME позволяет ACM обновлять сертификаты, пока существует запись CNAME. Запись CNAME направляется на запись TXT в домене AWS (acm-validations.aws), которую ACM может обновлять по мере необходимости для проверки или повторной проверки доменного имени без необходимости выполнения каких-либо действий со стороны клиента.

Вопрос: Работает ли проверка с помощью записи DNS между регионами AWS?

Да. Можно создать одну запись CNAME DNS и использовать ее для получения сертификатов в том же аккаунте AWS в любом регионе AWS, где работает сервис ACM. Настроив запись CNAME один раз, вы сможете обеспечить выпуск и обновление сертификатов из ACM для доменного имени без создания другой записи.

Вопрос: Можно ли выбрать разные методы проверки в рамках одного сертификата?

Нет. Для каждого сертификата может использоваться только один метод проверки.

Вопрос: Как обновить сертификат, для которого использовалась проверка с помощью записи DNS?

ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока будет присутствовать запись DNS, используемая для проверки.

Вопрос: Можно ли отозвать разрешение на выдачу сертификатов для моего домена?

Да. Просто удалите запись CNAME. После удаления записи CNAME и распространения изменений через DNS ACM прекратит выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS. Время распространения изменений после удаления записи зависит от провайдера DNS.

Вопрос: Что произойдет при удалении записи CNAME?

Если вы удалите запись CNAME, ACM не сможет выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS.

К началу >>

Вопрос: Что такое проверка с помощью электронной почты?

При проверке с помощью электронной почты зарегистрированному владельцу каждого домена, указанного в запросе на сертификат, отправляется письмо с запросом на подтверждение. Владелец домена или уполномоченный представитель (подтверждающее лицо) может подтвердить запрос на сертификат, выполнив содержащиеся в электронном письме инструкции. Инструкции предлагают подтверждающему лицу нажать на содержащуюся в письме ссылку или скопировать эту ссылку в адресную строку браузера, чтобы перейти на веб-сайт для подтверждения. Подтверждающее лицо проверяет информацию, связанную с запросом на сертификат, например доменное имя, ID сертификата (ARN) и ID аккаунта AWS, инициировавшего запрос, и в случае правильно указанной информации подтверждает запрос.

Вопрос: Когда я запрашиваю сертификат и выбираю проверку с помощью электронной почты, на какие адреса электронной почты отправляется запрос на подтверждение сертификата?

При запросе сертификата с использованием проверки с помощью электронной почты служба WHOIS выполняет поиск всех доменных имен, содержащихся в запросе на сертификат, в своей базе и извлекает контактную информацию домена. Электронные письма отправляются лицу, на имя которого зарегистрирован домен, а также указанным для домена контактным лицам по административным и техническим вопросам. Кроме того, письмо отправляется на пять специальных адресов электронной почты, которые образованы путем добавления имен admin@, administrator@, hostmaster@, webmaster@ и postmaster@ к доменному имени, для которого запрашивается сертификат. Например, если вы запрашиваете сертификат для домена server.example.com, электронные письма на основе контактной информации, возвращаемой запросом WHOIS для домена example.com, будут отправлены лицу, на имя которого зарегистрирован домен, контактным лицам по административным и техническим вопросам, а также на адреса admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com и webmaster@server.example.com.

Пять специальных адресов электронной почты для доменных имен, которые начинаются с «www», или для универсальных имен, которые начинаются со звездочки (*), формируются по другому принципу. ACM удаляет начальные символы «www» или звездочку, и электронное письмо отправляется на административные адреса, формируемые путем добавления имен admin@, administrator@, hostmaster@, postmaster@ и webmaster@ к оставшейся части доменного имени. Например, при запросе сертификата для домена www.example.com электронное письмо отправляется на адреса контактных лиц в сервисе WHOIS, как описано выше, а также на адрес admin@example.com, а не admin@www.example.com. Остальные четыре специальных адреса электронной почты формируются аналогичным образом.

После отправки запроса на сертификат вы можете просмотреть список электронных адресов, на которые было отправлено электронное письмо для каждого домена, с помощью консоли ACM, интерфейса командной строки или API AWS.

Вопрос: Можно ли настраивать адреса электронной почты, на которые отправляется запрос на подтверждение сертификата?

Нет, но вы можете настроить базовое доменное имя, на которое будет отправлено проверочное письмо. Базовое доменное имя должно быть супердоменом для доменного имени в запросе на сертификат. Например, если вы хотите запросить сертификат для ресурса server.domain.example.com, но хотите направить электронные письма для подтверждения сертификата на адрес admin@domain.example.com, вы можете сделать это, используя интерфейс командной строки или API AWS. Подробности см. в Справочнике по интерфейсу командной строки ACM и Справочнике по API ACM.

Вопрос: Можно ли использовать домены, содержащие контакты прокси-сервера (например, Privacy Guard или WhoisGuard)?

Да, однако доставка электронной почты из-за прокси-сервера может занять больше времени. Электронная почта, отправленная через прокси-сервер, может попасть в папку спама. Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Вопрос: Может ли ACM проверить подлинность моей идентификации, используя информацию о техническом контактном лице моего аккаунта AWS?

Нет. Процедуры и политики проверки подлинности идентификационных данных владельца домена очень жесткие. Стандарты политик для публичных доверенных центров сертификации устанавливает организация CA/Browser Forum. Подробнее см. в последней версии Положения о сертификационной практике компании Amazon Trust Services в репозитории Amazon Trust Services.

Вопрос: Что делать, если письмо с подтверждением не приходит?

Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

К началу >>

Вопрос: Доверяют ли браузеры, операционные системы и мобильные устройства сертификатам, предоставляемым ACM?

Сертификатам, предоставляемым сервисом ACM, доверяет большинство современных браузеров, операционных систем и мобильных устройств. Сертификаты, предоставляемые сервисом ACM, поддерживаются в 99 % распространенных браузеров и операционных систем, включая Windows XP SP3, Java версии 6 и выше.

Вопрос: Как можно удостовериться, что мой браузер доверяет сертификатам, предоставляемым ACM?

Если браузер доверяет сертификатам, предоставляемым ACM, он отображает значок замка и не выдает предупреждений о проблемах с сертификатом при подключении к сайтам, которые используют сертификаты SSL/TLS, предоставляемые ACM, например по протоколу HTTPS.

Сертификаты, предоставляемые ACM, проверяются центром сертификации AWS. Любой браузер, приложение или ОС, в доверенный список которых входят центры сертификации Amazon Root CA 1, Starfield Services Root CA – G2 или Starfield Class 2 CA, доверяет сертификатам, выпущенным ACM.

Вопрос: Может ли ACM предоставлять сертификаты для нескольких доменных имен?

Да. Каждый сертификат должен включать хотя бы одно доменное имя, при желании в сертификат можно включать дополнительные доменные имена. Например, можно добавить имя www.example.net в сертификат для доменного имени www.example.com, если пользователи могут обращаться к вашему сайту, используя любое из этих доменных имен. Вы должны быть собственником имен или управлять всеми именами, включенными в запрос сертификата.

Вопрос: Что такое доменное имя с шаблоном подстановки?

Доменное имя с шаблоном подстановки подходит для любого поддомена верхнего (третьего и далее) уровня или имени узла домена. Поддомен верхнего уровня – это имя домена, состоящее из одной метки и не содержащее точки. Например, можно использовать имя *.example.com для защиты www.example.com, images.example.com и любого другого имени узла или поддомена третьего уровня, оканчивающегося на .example.com. Подробные сведения см. в Руководстве пользователя по ACM.

Вопрос: Может ли ACM предоставлять сертификаты с доменными именами, указанными с использованием шаблонов подстановки?

Да.

Вопрос: Предоставляет ли ACM сертификаты с проверкой организации (OV-сертификаты) или с расширенной проверкой (EV-сертификаты)?

В настоящий момент нет.

Вопрос: Предоставляет ли ACM сертификаты на что-либо, кроме протоколов SSL/TLS для веб-сайтов?

В настоящий момент нет.

Вопрос: Можно ли использовать сертификаты, предоставляемые ACM, для подписи кода или шифрования электронной почты?

Нет.

Вопрос: Предоставляет ли ACM сертификаты, используемые для подписи и шифрования электронной почты (сертификаты S/MIME)?

В настоящий момент нет.

Вопрос: Какие алгоритмы используют сертификаты, предоставляемые ACM?

Сертификаты ACM используют ключи RSA с 2048-битным модулем и SHA-256.

Вопрос: Поддерживает ли ACM сертификаты на эллиптических кривых (ECDSA)?

В настоящий момент нет.

Вопрос: Где описаны политики и практики Amazon по выпуску сертификатов?

Все описания приводятся в Положении о сертификационной политике и Положении о сертификационной практике компании Amazon Trust Services. Последние версии этих документов см. в репозитории Amazon Trust Services.

Вопрос: Как можно отозвать сертификат?

Чтобы отправить запрос на отзыв сертификата сервисом ACM, перейдите в Центр AWS Support и создайте соответствующую заявку. 

Вопрос: Как можно известить AWS об изменении данных, содержащихся в сертификате?

Вы можете известить AWS, отправив электронное письмо на адрес validation-questions@amazon.com.

К началу >>

Вопрос: Как осуществляется управление закрытыми ключами сертификатов, предоставляемых ACM?

Для каждого сертификата, предоставляемого ACM, создается пара ключей. AWS Certificate Manager разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.

Вопрос: Копирует ли ACM сертификаты в другие регионы AWS?

Нет. Закрытый ключ каждого сертификата ACM хранится в том регионе, в котором был запрошен сертификат. Например, если вы получили новый сертификат в регионе Восток США (Сев. Вирджиния), ACM хранит закрытый ключ в регионе Восток США (Сев. Вирджиния). Сертификаты ACM копируются в другие регионы только тогда, когда они связаны с базой раздачи CloudFront. В этом случае CloudFront распространяет сертификат ACM в местоположения, определенные для вашей базы раздачи.

Вопрос: Можно ли проверить использование закрытого ключа сертификата?

Да. Используя сервис AWS CloudTrail, вы можете просмотреть журналы и узнать, когда использовались закрытые ключи сертификата.

К началу >>

Вопрос: Каков принцип оплаты использования сертификатов ACM?

Сертификаты SSL/TLS, предоставленные AWS Certificate Manager, а также управляемые и развертываемые с его помощью, являются бесплатными. Вы платите только за ресурсы AWS, выделяемые для работы приложения, например балансировщики нагрузок Elastic Load Balancing или базы раздачи Amazon CloudFront.

К началу >>

Вопрос: Можно ли использовать один и тот же сертификат с несколькими балансировщиками нагрузки Elastic Load Balancing и несколькими базами раздачи CloudFront?

Да.

Вопрос: Можно ли использовать сертификаты для внутренних балансировщиков нагрузки Elastic Load Balancing, не имеющих доступа к публичному Интернету?

Да. Подробности о том, как ACM осуществляет обновление сертификатов, недоступных из публичного Интернета, см. в разделе Управляемое обновление и развертывание.

Вопрос: Будет ли сертификат для ресурса www.example.com работать также и для ресурса example.com?

Нет. Чтобы сайт был доступен через оба доменных имени (www.example.com и example.com), необходимо запросить сертификат, включающий оба имени.

Вопрос: Можно ли импортировать и использовать в AWS сертификат стороннего центра сертификации?

Да. Если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов.Консоль управления AWS можно использовать для мониторинга дат окончания срока импортированных сертификатов и для импорта новых сторонних сертификатов для замены сертификатов с истекшим сроком действия.

Вопрос: Каков срок действия сертификатов, предоставляемых ACM?

Сертификаты, предоставляемые ACM, в настоящее время действительны на протяжении 13 месяцев.

Вопрос: Как ACM может помочь моей организации в соблюдении требований?

Использование ACM помогает обеспечить соответствие нормативным требованиям за счет более простого установления безопасных соединений, что является типовым требованием многих стандартов (например, PCI, FedRAMP и HIPAA). Подробную информацию по вопросам соответствия требованиям см. в разделе http://aws.amazon.com/compliance.

Вопрос: Использует ли сервис ACM соглашение об уровне обслуживания?

В настоящий момент нет.

Вопрос: Допускает ли ACM применение в доменных именах символов национальных алфавитов, то есть использование так называемых интернационализированных доменных имен?

ACM не поддерживает символы национальных алфавитов в кодировке Unicode; при этом в доменных именах могут применяться символы национальных алфавитов в кодировке ASCII.

Вопрос: Какие форматы доменных меток разрешает использовать ACM?

ACM разрешает использование только символов ASCII в кодировке UTF-8, включая метки, содержащие префикс «xn--», который применяется для преобразования доменных имен в кодировку Punycode. ACM не принимает для доменных имен метки в формате Unicode.

Вопрос: Предоставляет ли ACM знак сертификата защищенности сайта или логотип доверия, которые я могу отобразить на моем веб-сайте?

Нет. Если вы хотите использовать печать безопасности, то можете получить ее у стороннего поставщика. Мы рекомендуем обратиться к поставщику, который может оценить и подтвердить безопасность вашего сайта или вашу деловую практику, или и то и другое.

Вопрос: Разрешает ли компания Amazon использовать ее торговые марки или логотип в качестве значка сертификации, печати безопасности или логотипа доверия?

Нет. Печати и значки этого типа могут быть скопированы на сайты, не использующие сервис ACM, и могут использоваться ненадлежащим способом, чтобы обманным путем вызвать доверие. В целях защиты наших клиентов и репутации компании Amazon мы не разрешаем использовать наш логотип подобным образом.

К началу >>

Вопрос: Какие данные журналов доступны в сервисе AWS CloudTrail?

Журналы позволяют установить, какие пользователи и аккаунты делали вызовы API AWS для сервисов, поддерживающих AWS CloudTrail, IP-адрес источника, сделавшего вызовы, и время, когда они были сделаны. Например, можно установить, какой пользователь выполнил вызов API, чтобы связать сертификат, предоставленный ACM, с Elastic Load Balancer, и когда сервис Elastic Load Balancing расшифровал ключ с помощью вызова API KMS.

К началу >>

Вопрос: Что представляет собой управляемое обновление и развертывание сервиса ACM?

Функция управляемого обновления и развертывания ACM управляет процессом обновления сертификатов SSL/TLS, предоставляемых ACM, и их дальнейшим развертыванием.

Вопрос: Каковы преимущества использования управляемого обновления и развертывания ACM?

ACM управляет обновлением и развертыванием сертификатов SSL/TLS. По сравнению с ручными процедурами, при которых возможны ошибки, ACM обеспечивает более качественный процесс настройки и обслуживания протоколов SSL/TLS для защищенных веб-сервисов и приложений. Управляемое обновление и развертывание позволяет избежать простоев из-за просроченных сертификатов. Управляемое обновление и развертывание ACM не требует установки и обслуживания программного клиента или агента на вашем сайте. ACM работает как сервис, обеспечивая интеграцию с другими сервисами AWS. Это позволяет централизованно управлять сертификатами и развертывать их на платформе AWS с помощью Консоли управления AWS, интерфейса командной строки AWS или API-интерфейсов.

Вопрос: Какие сертификаты могут быть обновлены и развернуты автоматически?

ACM может обновить сертификаты, предоставленные ACM, и выполнить их развертывание без дополнительной проверки со стороны владельца домена. Если сертификат не может быть обновлен без дополнительной проверки, ACM управляет процессом обновления, проверяя права владения или возможность управления доменом для всех доменных имен, указанных в сертификате. После проверки каждого доменного имени, указанного в сертификате, ACM обновляет сертификат и автоматически развертывает его на используемых ресурсах AWS. Если ACM не может проверить право владения доменом, сервис присылает соответствующее уведомление владельцу аккаунта AWS.

Если при запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять сертификат неограниченное количество раз, не требуя каких-либо действий со стороны клиента, если сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена. Если при запросе сертификата выбрана проверка с помощью электронной почты, вы можете улучшить возможности ACM, связанные с автоматическим обновлением и развертыванием сертификатов, выданных ACM, убедившись, что сертификат используется, все доменные имена, включенные в сертификат, ведут на ваш сайт и доступны из Интернета.

Вопрос: Когда ACM обновляет сертификаты?

ACM начинает процесс обновления за 60 дней до истечения срока действия сертификата. В настоящее время срок действия сертификатов, предоставляемых ACM, составляет 13 месяцев. Подробнее об управляемом обновлении см. в Руководстве пользователя ACM.

Вопрос: Буду ли я предварительно извещен об обновлении сертификата и развертывании нового сертификата?

Нет. ACM может обновить сертификат или повторно создать ключи и заменить старые без предварительного уведомления.

Вопрос: Может ли ACM обновить сертификаты, содержащие пустые домены, такие как example.com (также известные как начало зоны)?

Если в запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять ваш сертификат, не требуя каких-либо действий с вашей стороны, пока сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена.

Если вы выбрали проверку с помощью электронной почты при запросе сертификата для пустого домена, убедитесь в том, что DNS-поиск пустого домена разрешается адресом ресурса AWS, связанного с сертификатом. Разрешение пустого домена в ресурсе AWS может быть непростой задачей, если вы не используете Route 53 или другой провайдер DNS, поддерживающий записи ресурса псевдонима (или эквивалентные им) для преобразования пустых доменов в ресурсы AWS. Подробнее см. в Руководстве разработчика по Route 53 .

Вопрос: Будут ли закрыты соединения сайта в процессе развертывания ACM обновленного сертификата?

Нет, соединения, устанавливаемые после развертывания нового сертификата, используют новый сертификат, при этом существующие соединения не затрагиваются.

К началу >>