Вопрос: Что такое AWS Certificate Manager (ACM)?

AWS Certificate Manager – это сервис, позволяющий легко предоставлять и развертывать публичные и частные сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для использования вместе с сервисами AWS или внутренними подключенными ресурсами, а также помогающий управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете, а также ресурсов в частных сетях. AWS Certificate Manager позволяет не тратить время на приобретение, загрузку и обновление сертификатов SSL/TLS вручную. Благодаря AWS Certificate Manager можно быстро запросить сертификат, выполнить его развертывание с помощью таких ресурсов AWS, как балансировщики нагрузки сервиса Elastic Load Balancing, базы раздачи Amazon CloudFront или API в Amazon API Gateway, а также позволить сервису AWS Certificate Manager выполнять обновление сертификатов. Данный сервис позволяет также создавать частные сертификаты для внутренних ресурсов и централизованно управлять жизненным циклом сертификатов. Публичные и частные сертификаты SSL/TLS, которые предоставляются с помощью AWS Certificate Manager и используются только для интегрированных с ACM сервисов (например, Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Вы ежемесячно оплачиваете работу каждого частного центра сертификации до его удаления, а также выпущенные сертификаты, которые используются не только для интегрированных с ACM сервисов.

Вопрос: Что такое сертификат SSL/TLS?

Сертификаты SSL/TLS позволяют браузерам проверять подлинность веб-сайтов и устанавливать с ними зашифрованные сетевые соединения с использованием протокола Secure Sockets Layer/Transport Layer Security (SSL/TLS) Сертификаты используются в рамках криптографической системы, известной как инфраструктура открытого ключа (PKI). PKI дает одной стороне возможность устанавливать подлинность другой стороны с помощью сертификатов (при условии, что обе стороны доверяют третьей стороне, известной как центр сертификации). Дополнительная справочная информация и определения приведены в разделе Concepts Руководства пользователя ACM.

Вопрос: Что такое частные сертификаты?

Частные сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют частные сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.

Вопрос: В чем разница между публичными и частными сертификатами?

Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты определяют ресурсы в общедоступном Интернете, а частные сертификаты – в частных сетях. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам администратору нужно явно настроить приложения. Публичные центры сертификации (организации, выдающие публичные сертификаты) должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Частные центры сертификации находятся под управлением частных организаций. Администраторы частных центров сертификации могут задавать собственные правила для выдачи частных сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат. Подробная информация о частных сертификатах и частных центрах сертификации приведена в разделе ACM Private CA ниже.

Вопрос: Каковы преимущества использования AWS Certificate Manager (ACM) и ACM Private Certificate Authority (CA)?

ACM упрощает использование протоколов SSL/TLS для веб-сайтов и приложений, работающих на платформе AWS. ACM устраняет необходимость в ряде ручных операций, связанных с использованием протоколов и управлением сертификатами SSL/TLS. ACM управляет обновлением сертификатов, что позволяет избежать простоев из-за неправильно настроенных, отозванных или просроченных сертификатов. Сервис обеспечивает защиту сетевых соединений с помощью протоколов SSL/TLS и простоту управления сертификатами. Использование протоколов SSL/TLS для сайтов с выходом в Интернет помогает улучшать ранжирование сайта в поисковых системах и обеспечивать соответствие нормативным требованиям в отношении шифрования данных при передаче.

При хранении и защите закрытых ключей сертификата сервис ACM для управления сертификатами использует криптостойкие алгоритмы шифрования и рекомендации по управлению ключами. ACM позволяет централизованно управлять всеми сертификатами SSL/TLS, выпущенными AWS Certificate Manager в регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса AWS Certificate Manager. ACM интегрирован с другими сервисами AWS, что позволяет запрашивать сертификаты SSL/TLS и выполнять их развертывание в балансировщике нагрузки Elastic Load Balancing или базе раздачи Amazon CloudFront с помощью Консоли управления AWS, команд в интерфейсе командной строки AWS или вызовов API.

ACM Private CA – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. ACM Private CA обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. ACM Private CA расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно управлять публичными и частными сертификатами. ACM Private CA обеспечивает разработчикам дополнительную гибкость, позволяя создавать и развертывать частные сертификаты программными средствами с помощью API. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих специальных настроек жизненного цикла сертификата или имен ресурсов. С помощью ACM Private CA можно создавать, отслеживать частные сертификаты для подключенных ресурсов, а также управлять ими из единого центра с помощью надежного управляемого сервиса частного центра сертификации с оплатой по факту использования. 

Вопрос: Какие типы сертификатов можно создавать с помощью ACM и какими типами сертификатов можно управлять?

ACM позволяет управлять жизненным циклом публичных и частных сертификатов. Возможности ACM зависят от типа сертификата (публичный или частный), способа получения сертификата и места его развертывания. Подробная информация о публичных сертификатах приведена в разделе Публичные сертификаты ACM, а в разделе ACM Private CA приведены сведения о частных сертификатах и частных центрах сертификации.

Публичные сертификаты: ACM управляет обновлением и развертыванием публичных сертификатов, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway.

Частные сертификаты: ACM Private CA предоставляет три способа по созданию частных ключей и управлению ими. 1) Можно делегировать управление частными сертификатами ACM. В этом случае ACM может автоматически обновлять и развертывать частные сертификаты, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway. Эти частные сертификаты можно просто развертывать с помощью Консоли управления AWS, API или интерфейса командной строки (CLI). 2) Можно экспортировать частные сертификаты из ACM и использовать их с инстансами EC2, контейнерами, локальными серверами и устройствами IoT. ACM Private CA автоматически обновляет эти сертификаты и после завершения обновления отправляет уведомление Amazon CloudWatch. Для загрузки обновленных сертификатов и закрытых ключей, а также их развертывания с помощью приложения можно создать код на стороне клиента. 3) ACM Private CA позволяет создавать собственные закрытые ключи, генерировать запрос на подпись сертификата (CSR), выдавать частные сертификаты в ACM Private CA и управлять ключами и сертификатами. За обновление и развертывание таких частных сертификатов отвечает сам клиент.

Импортированные сертификаты: если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Вы самостоятельно следите за сроком действия импортированных сертификатов и обеспечиваете их обновление до истечения этого срока. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.

Вопрос: Как начать работу с ACM?

Чтобы начать работу с сервисом AWS Certificate Manager, перейдите к сервису Certificate Manager в Консоли управления AWS и с помощью соответствующего мастера запросите сертификат SSL/TLS. Если вы уже создали ACM Private CA, выберите тип сертификата – публичный или частный, а затем введите название своего сайта. См. разделы ACM Private CA и Публичные сертификаты ACM ниже, чтобы определить актуальный тип сертификата и узнать подробнее о ACM Private CA. Можно также запросить сертификат, используя интерфейс командной строки или API AWS. После выдачи сертификата его можно использовать в других сервисах AWS, интегрированных с ACM. Для каждого интегрированного сервиса требуется просто выбрать соответствующий сертификат SSL/TLS из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью команды интерфейса командной строки или вызова API AWS. После этого интегрированный сервис развертывает сертификат в выбранном вами ресурсе. Подробности о том, как запросить и использовать сертификаты, предоставляемые AWS Certificate Manager, см. в разделе Начало работы «Руководства пользователя AWS Certificate Manager». Кроме использования частных сертификатов в интегрированных с ACM сервисах их можно применять для инстансов EC2, контейнеров ECS или любых других сред. Подробнее см. в разделе Частные сертификаты.

Вопрос: С какими сервисами AWS можно использовать сертификаты ACM?

Публичные и частные сертификаты ACM можно использовать со следующими сервисами.
• Elastic Load Balancing – см. документацию Elastic Load Balancing
• Amazon CloudFront – см. документацию CloudFront
• Amazon API Gateway – см. документацию API Gateway.
• AWS Elastic Beanstalk – см. документацию AWS Elastic Beanstalk.
• AWS CloudFormation – в настоящее время можно использовать только публичные сертификаты, которые поддерживают проверку с помощью электронной почты. Cм. документацию AWS CloudFormation  

Кроме этого, частные сертификаты ACM Private CA можно использовать с инстансами EC2, контейнерами, устройствами IoT и своими собственными серверами.

Вопрос: В каких регионах доступен сервис ACM?

Актуальные сведения о доступности сервисов AWS по регионам см. на страницах глобальной инфраструктуры AWS. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Сев. Вирджиния) или импортировать его в этот регион. Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Что такое ACM Private CA?

Частные сертификаты используются для идентификации и защиты соединений между подключенными ресурсами (например, серверами, мобильными и устройствами IoT, приложениями) в частных сетях. ACM Private CA – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. ACM Private CA обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. ACM Private CA расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно создавать публичные и частные сертификаты, а также управлять ими. С помощью Консоли управления AWS или API ACM можно с легкостью создавать и развертывать частные сертификаты для ресурсов AWS. Для инстансов EC2, контейнеров, устройств IoT, локальных ресурсов можно просто создавать и отслеживать частные сертификаты и применять собственный код на стороне клиента для автоматизации их развертывания. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих особых алгоритмов ключа, специальных настроек жизненного цикла сертификата или имен ресурсов, а также управлять такими сертификатами. Подробнее об ACM Private CA.

Вопрос: Что такое частные сертификаты?

Частные сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют частные сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.  

Вопрос: Что такое частный центр сертификации (CA)?

Частный центр сертификации занимается выдачей, проверкой и отзывом частных сертификатов в рамках частной сети (т. е. не в общедоступном Интернете). Он состоит из двух основных компонентов. Первый компонент – сертификат центра сертификации, криптографический структурный элемент, с помощью которого могут быть выданы сертификаты. Второй компонент – набор сервисов времени выполнения для хранения информации об отзыве с помощью списка отзыва сертификатов (CRL). Когда ресурсы пытаются устанавливать между собой связь, они проверяют состояние представленных другой стороной сертификатов по списку отзыва сертификатов. Если сертификаты действительны, соединение между двумя ресурсами подтверждается (криптографическое удостоверение подлинности одной стороны другой стороне), между ними создается зашифрованный канал связи (TLS/SSL).

Вопрос: В чем отличие частных сертификатов и частных центров сертификации от публичных сертификатов и публичных центров сертификации?

Компоненты частного центра сертификации такие же, как и у публичного центра сертификации. Но публичные центры сертификации выдают и проверяют сертификаты для ресурсов общедоступного Интернета, а частные центры сертификации выполняют эти операции для частных сетей. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам от частного центра сертификации администратору нужно явно настроить приложения. Публичные центры сертификации должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Администраторы частных центров сертификации могут задавать собственные правила для выдачи частных сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат.

Вопрос: Почему организации используют частные сертификаты, а не публичные сертификаты?

Частные сертификаты предоставляют возможность определить почти все в организации, не раскрывая публично связанных имен. Примеры имен, которые можно использовать в частных сертификатах: Wiki.internal, IP-адрес 192.168.1.1, fire-sensor-123, user123. Публичные сертификаты жестко ограничены определением ресурсов с помощью публичных имен DNS (например, www.example.com). Частные сертификаты могут включать информацию, недопустимую в публичных сертификатах. Некоторые корпоративные приложения используют возможность включения дополнительной информации в частные сертификаты, поэтому они не могут работать с публичными сертификатами.

Вопрос: Что такое самозаверенные сертификаты и почему вместо них организации используют сертификаты частного центра сертификации?

Самозаверенные сертификаты выпускаются без участия центра сертификации. В отличие от сертификатов, изданных и подписанных центром сертификации, самозаверенные сертификаты издаются и подписываются тем же лицом, которое идентифицируют. Поэтому у них имеются серьезные ограничения: их можно использовать для шифрования соединения, но не для подтверждения подлинности; их также нельзя отзывать. С точки зрения безопасности такие сертификаты неприемлемы. Однако некоторые организации их используют, потому что такие сертификаты просты в генерации, не требуют специального опыта или инфраструктуры, многие приложения принимают их. Выпуск самозаверенных сертификатов не подразумевает никакого контроля. Организации, использующие такие сертификаты, подвержены повышенному риску сбоев в работе из-за истечения срока действия сертификатов, поскольку не существует способа отследить его. ACM Private CA решает все эти проблемы.

Вопрос: Как начать работать с ACM Private CA?

Чтобы начать работу с ACM Private CA, перейдите к сервису Certificate Manager в Консоли управления AWS и выберите пункт «Private CAs» (Частные центры сертификации) в левой части экрана. Чтобы начать создание частного центра сертификации, нажмите «Get started» (Начать). Подробнее см. в разделе Getting Started «Руководства пользователя ACM Private CA».

Вопрос: Где можно узнать подробнее о ACM Private CA?

Дополнительная информация доступна на странице Сведения об ACM Private CA, в Руководстве пользователя ACM Private CA, Справочнике по API ACM Private CA и Справочнике по ACM в AWS CLI.

                                                                 К началу >>

Вопрос: Какими типами сертификатов управляет ACM?

ACM управляет публичными, частными и импортированными сертификатами. Подробнее о возможностях ACM по управлению каждым типом сертификатов см. в ответе на вопрос «Как управлять сертификатами с помощью ACM?»

Вопрос: Может ли ACM предоставлять сертификаты для нескольких доменных имен?

Да. Каждый сертификат должен включать хотя бы одно доменное имя, при желании в сертификат можно включать дополнительные доменные имена. Например, можно добавить имя www.example.net в сертификат для доменного имени www.example.com, если пользователи могут обращаться к вашему сайту, используя любое из этих доменных имен. Вы должны быть собственником имен или иметь возможность управления всеми именами, включенными в запрос сертификата.  

Вопрос: Что такое доменное имя с шаблоном подстановки?

Доменное имя с шаблоном подстановки подходит для любого поддомена верхнего (третьего и далее) уровня или имени узла домена. Поддомен верхнего уровня – это имя домена, состоящее из одной метки и не содержащее точки. Например, можно использовать имя *.example.com для защиты www.example.com, images.example.com и любого другого имени узла или поддомена третьего уровня, оканчивающегося на .example.com. Подробные сведения см. в Руководстве пользователя по ACM.

Вопрос: Может ли ACM предоставлять сертификаты с доменными именами, указанными с использованием шаблонов подстановки?

Да.

Вопрос: Предоставляет ли ACM сертификаты на что-либо, кроме протоколов SSL/TLS?

Сертификаты, управляемые ACM, предназначены для использования с протоколами SSL/TLS. Если выпускать частные сертификаты напрямую из ACM Private CA и управлять ключами и сертификатами без использования ACM, для них можно задать субъект, срок действия, алгоритм ключа, алгоритм подписи и использовать их с протоколами SSL/TLS и другими приложениями.

Вопрос: Можно ли использовать сертификаты ACM для подписания кода или шифрования электронной почты?

Нет.

Вопрос: Предоставляет ли ACM сертификаты, используемые для подписи и шифрования электронной почты (сертификаты S/MIME)?

В настоящий момент нет.

Вопрос: Каков срок действия сертификатов ACM?

Сертификаты, выданные сервисом ACM, действительны в течение 13 месяцев. Если выпускать частные сертификаты напрямую из ACM Private CA и управлять ключами и сертификатами без использования ACM, для них можно задать любой срок действия, в том числе абсолютную дату истечения или период в днях, месяцах или годах от текущего времени.

Вопрос: Какие алгоритмы используются в сертификатах ACM?

В сертификатах, управляемых ACM, используются ключи RSA с 2048-битным модулем и SHA-256. Если выпускать частные сертификаты напрямую из ACM Private CA и управлять ключами и сертификатами без использования ACM, можно выпустить и использовать сертификаты на эллиптических кривых (ECDSA). В настоящее время ACM не имеет возможности управлять такими сертификатами.  

Вопрос: Как отозвать сертификат?

Чтобы отправить запрос на отзыв публичного сертификата сервисом ACM, перейдите в Центр AWS Support и создайте соответствующую заявку. Как отозвать частный сертификат, выданный ACM Private CA, см. в Руководстве пользователя ACM Private CA. 

Вопрос: Можно ли копировать сертификаты ACM в другие регионы AWS?

В настоящее время сертификаты, управляемые ACM, нельзя копировать между регионами. Копировать можно частные сертификаты, экспортированные из ACM или выпущенные напрямую в ACM Private CA без использования ACM для управления ключами и сертификатами.

Вопрос: Можно ли использовать один и тот же сертификат ACM в нескольких регионах AWS?

Это зависит от того, используете ли вы Elastic Load Balancing или Amazon CloudFront. Чтобы использовать сертификат с сервисом Elastic Load Balancing для того же сайта (того же полностью определенного доменного имени, то есть FQDN или набора FQDN) в другом регионе, потребуется запросить новый сертификат для каждого региона, где планируется использование. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Можно ли получить сертификат в сервисе ACM, если у меня уже есть сертификат для того же доменного имени от другого провайдера?

Да.

Вопрос: Можно ли использовать сертификаты на инстансах Amazon EC2 или на собственных серверах?

Частные сертификаты ACM Private CA можно использовать с инстансами EC2, контейнерами и своими собственными серверами. В настоящее время публичные сертификаты AWS можно использовать только с определенными сервисами AWS. См. ответ на вопрос С какими сервисами AWS можно использовать сертификаты ACM?

 

Вопрос: Допускает ли ACM применение в доменных именах символов национальных алфавитов, то есть использование так называемых интернационализированных доменных имен?

ACM не поддерживает символы национальных алфавитов в кодировке Unicode; при этом в доменных именах могут применяться символы национальных алфавитов в кодировке ASCII.

Вопрос: Какие форматы доменных меток разрешает использовать ACM?

ACM разрешает использование только символов ASCII в кодировке UTF-8, включая метки, содержащие префикс «xn--», который применяется для преобразования доменных имен в кодировку Punycode. ACM не принимает для доменных имен метки в формате Unicode. 

                                                                 К началу >>

Вопрос: Что такое публичные сертификаты?

Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты идентифицируют ресурсы в Интернете.

 Вопрос: Какой тип публичных сертификатов предоставляет ACM?

ACM предоставляет публичные сертификаты валидации домена (DV-сертификаты) для использования с веб-сайтами и приложениями, выполняющими терминацию SSL/TLS. Подробную информацию о сертификатах ACM см. в разделе Certificate Characteristics.

 Вопрос: Доверяют ли браузеры, операционные системы и мобильные устройства публичным сертификатам ACM?

Публичным сертификатам ACM доверяет большинство современных браузеров, операционных систем и мобильных устройств. Сертификаты, предоставляемые сервисом ACM, поддерживаются в 99 % распространенных браузеров и операционных систем, включая Windows XP SP3 и Java версии 6 и выше.

 Вопрос: Как можно удостовериться, что мой браузер доверяет публичным сертификатам ACM?

Если браузер доверяет сертификатам ACM, он отображает значок замка и не выдает предупреждений о проблемах с сертификатом при подключении к сайтам, которые используют сертификаты ACM для подключений SSL/TLS, например по протоколу HTTPS.

Публичные сертификаты ACM подтверждены центром сертификации Amazon. Любой браузер, приложение или ОС, в доверенный список которых входят центры сертификации Amazon Root CA 1, Starfield Services Root CA – G2 или Starfield Class 2 CA, доверяет сертификатам ACM.

 Вопрос: Предоставляет ли ACM публичные сертификаты с проверкой организации (OV-сертификаты) или с расширенной проверкой (EV-сертификаты)?

В настоящий момент – нет.

 Вопрос: Где описаны политики и практики Amazon по выпуску публичных сертификатов?

Все описания приводятся в Положении о сертификационной политике и Положении о сертификационной практике компании Amazon Trust Services. Последние версии этих документов см. в репозитории Amazon Trust Services.

 Вопрос: Как можно известить AWS об изменении данных, содержащихся в публичном сертификате?

Вы можете известить AWS, отправив электронное письмо на адрес validation-questions@amazon.com.

                                                                 К началу >>

Вопрос: Как создать публичный сертификат в сервисе ACM?

Вы можете использовать Консоль управления AWS, интерфейсы командной строки AWS, а также API или SDK ACM. При использовании Консоли управления AWS перейдите к разделу «Certificate Manager», выберите пункт «Request a certificate» (Запросить сертификат), выберите пункт «Request a public certificate» (Запросить публичный сертификат), введите доменное имя сайта и завершите формирование запроса, следуя инструкциям на экране. Если для доступа к сайту пользователи могут использовать другие доменные имена, можно включить в запрос эти дополнительные имена. Прежде чем ACM сможет выдать сертификат, он проверит, действительно ли вы владеете / управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS требуется добавить запись в публичную конфигурацию DNS для своего домена, чтобы подтвердить, что вы владеете доменом или управляете им. После однократной проверки управления доменом с помощью записи DNS можно получить дополнительные сертификаты, и ACM может обновлять существующие сертификаты для домена, пока запись будет присутствовать, а сертификат – использоваться. Повторная проверка управления доменом не потребуется. Если выбрать проверку с помощью электронной почты вместо проверки с помощью записи DNS, владельцу домена будут отправлены электронные письма с запросом подтверждения на выдачу сертификата. После подтверждения права владения или возможности управления для каждого доменного имени, указанного в запросе, сертификат будет выдан и готов к использованию с другими сервисами AWS, например Elastic Load Balancing или Amazon CloudFront. Подробности см. в документации ACM.

Вопрос: Почему ACM проверяет право владения доменом для публичных сертификатов?

Сертификаты используются для установления подлинности веб-сайта и безопасного соединения между браузерами и приложениями или сайтом. Для выдачи публичного доверенного сертификата Amazon должен убедиться в том, что сторона, запросившая сертификат, управляет доменным именем, указанным в запросе.

Вопрос: Каким образом ACM проверяет право владения доменом перед выдачей публичного сертификата для домена?

Перед выдачей сертификата ACM проверяет, действительно ли вы владеете или управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив запись CNAME в конфигурацию DNS. Подробнее см. в разделе Проверка с помощью записи DNS. Если у вас нет возможности добавлять записи в публичную конфигурацию DNS указанного домена, вы можете использовать вместо проверки с помощью записи DNS проверку с помощью электронной почты. При проверке с помощью электронной почты ACM отправляет электронные письма зарегистрированному владельцу домена, а владелец или его уполномоченный представитель может подтвердить выпуск сертификата для каждого доменного имени, указанного в запросе на сертификат. Подробнее см. в разделе Проверка с помощью электронной почты.

Вопрос: Какой метод проверки для публичного сертификата следует использовать: с помощью записи DNS или с помощью электронной почты?

Если у вас есть возможность изменить конфигурацию DNS для указанного домена, рекомендуется использовать проверку с помощью записи DNS. Для клиентов, которые не могут получить проверочные письма от ACM по электронной почте или у которых регистратор домена не публикует контактную информацию с адресом электронной почты владельца домена в WHOIS, проверка с помощью записи DNS является обязательной. Если вы не можете изменить свою конфигурацию DNS, следует использовать проверку с помощью электронной почты.

Вопрос: Можно ли для существующего публичного сертификата изменить способ проверки с проверки с помощью электронной почты на проверку с помощью записи DNS?

Нет. Однако можно запросить в ACM новый бесплатный сертификат и выбрать для нового сертификата проверку с помощью записи DNS.

Вопрос: Сколько времени занимает выпуск публичного сертификата?

Для выдачи сертификата после проверки всех доменных имен, указанных в запросе на сертификат, может потребоваться несколько часов.

Вопрос: Что происходит при запросе публичного сертификата?

ACM пытается проверить право владения или возможность управления для каждого доменного имени, указанного в запросе на сертификат, в соответствии с выбранным во время запроса методом проверки (с помощью записи DNS или с помощью электронной почты). Пока ACM проверяет, действительно ли вы владеете или управляете доменом, запрос сертификата будет иметь статус «Pending validation» (Ожидает проверки). Дополнительные сведения о процессе проверки см. ниже в разделах Проверка с помощью записи DNS и Проверка с помощью электронной почты. После проверки всех доменных имен, указанных в запросе на сертификат, для выдачи сертификата может потребоваться несколько часов. После выдачи сертификата статус запроса сертификата изменяется на «Issued» (Выпущен), а сам сертификат можно использовать для других сервисов AWS, интегрированных с ACM.

Вопрос: Проверяет ли ACM записи авторизации центра сертификации (CAA) перед выпуском публичных сертификатов?

Да. Записи авторизации центра сертификации (CAA) позволяют владельцам доменов указывать, какие органы сертификации уполномочены выдавать сертификаты для их доменов. При запросе сертификата ACM AWS Certificate Manager ищет запись CAA в конфигурации зоны DNS для соответствующего домена. Если запись CAA отсутствует, сертификат для домена может выдать Amazon. Большинство клиентов относятся к этой категории.

Если конфигурация DNS содержит запись CAA, для выдачи домену сертификата Amazon в ней должен быть указан один из следующих центров сертификации: amazon.com, amazontrust.com, awstrust.com или amazonaws.com. Подробные сведения см. в разделе Настройка записи CAA или Устранение проблем с CAA Руководства пользователя AWS Certificate Manager.

Вопрос: Поддерживает ли ACM другие способы проверки домена?

В настоящий момент – нет.  

 

                                                                 К началу >>

Вопрос: Что такое проверка с помощью записи DNS?

При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив в конфигурацию DNS запись CNAME. Проверка с помощью записи DNS позволяет при запросе сертификатов SSL/TLS из ACM легко подтвердить, что вы являетесь владельцем домена.

Вопрос: Каковы преимущества использования проверки с помощью записи DNS?

Проверка с помощью записи DNS позволяет легко подтвердить, что вы владеете или управляете доменом, для получения сертификата SSL/TLS. При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока присутствует проверочная запись DNS. Обновление выполняется автоматически и не требует вмешательства пользователя.

Вопрос: Кому рекомендуется использовать проверку с помощью записи DNS?

Возможность использования проверки с помощью записи DNS следует рассмотреть всем, кто запрашивает сертификат через ACM и может изменять конфигурацию DNS для запрашиваемого домена.

Вопрос: Продолжает ли ACM поддерживать проверку с помощью электронной почты?

Да. ACM продолжает поддерживать проверку с помощью электронной почты для клиентов, которые не могут изменить конфигурацию DNS.

Вопрос: Какие записи необходимо добавить в мою конфигурацию DNS для проверки домена?

Необходимо добавить запись CNAME для домена, который требуется проверить. Например, чтобы проверить имя www.example.com, добавьте запись CNAME в зону для example.com. Добавленная запись содержит случайный токен, который ACM генерирует специально для этого домена и вашего аккаунта AWS. Получить две части записи CNAME (имя и метку) можно в ACM. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос: Как добавить или изменить записи DNS для моего домена?

Для получения дополнительных сведений о том, как добавить или изменить записи DNS, обратитесь к провайдеру DNS. В документации по DNS сервиса Amazon Route 53 содержится дополнительная информация для клиентов, использующих DNS в Amazon Route 53.

Вопрос: Позволяет ли ACM упростить проверку с помощью записи DNS для клиентов, использующих DNS Amazon Route 53?

Да. Для клиентов, которые используют для управления записями DNS сервис Amazon Route 53, при запросе сертификата консоль ACM может автоматически добавлять записи в конфигурацию DNS. Ваша зона хостинга DNS Route 53 для домена должна быть настроена в том же аккаунте AWS, из которого подается запрос, при этом у вас должны быть достаточные разрешения для внесения изменений в конфигурацию Amazon Route 53. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос: Требуется ли для проверки с помощью записи DNS использовать определенного провайдера DNS?

Нет. Проверку с помощью записи DNS можно использовать с любым провайдером DNS, если он позволяет добавить запись CNAME в конфигурацию DNS.

Вопрос: Сколько записей DNS мне потребуется добавить, если мне необходимо несколько сертификатов для одного и того же домена?

Одну. Можно получить несколько сертификатов для одного доменного имени в одном аккаунте AWS, используя одну запись CNAME. Например, если вы подаете два запроса на сертификат из одного и того же аккаунта AWS для одного и того же доменного имени, вам потребуется только одна запись CNAME DNS.

Вопрос: Можно ли проверить несколько доменных имен с помощью одной записи CNAME?

Нет. У каждого доменного имени должна быть уникальная запись CNAME.

Вопрос: Можно ли проверить доменное имя с шаблоном подстановки, используя проверку с помощью записи DNS?

Да.

Вопрос: Как ACM создает записи CNAME?

Записи CNAME DNS состоят из двух компонентов: имени и метки. Имя записи CNAME, созданной ACM, состоит из символа подчеркивания (_), за которым следует токен, который является уникальной строкой, связанной с конкретным аккаунтом AWS и доменным именем. ACM добавляет знак подчеркивания и токен к вашему доменному имени для создания компонента имени. Соответствующую метку ACM создает из символа подчеркивания, добавленного к другому токену, который также связан с конкретным аккаунтом AWS и доменным именем. ACM добавляет символ подчеркивания и токен к доменному имени DNS, используемому AWS для проверки подлинности (acm-validations.aws). В следующих примерах показано форматирование записей CNAME для www.example.com, subdomain.example.com и *.example.com.

_TOKEN1.www.example.com               CNAME      _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com     CNAME      _TOKEN4.acm-validations.aws
_TOKEN5.example.com                         CNAME      _TOKEN6.acm-validations.aws

Обратите внимание на то, что ACM удаляет знак подстановки (*) при создании записей CNAME для имен с использованием шаблонов. В результате этого запись CNAME, созданная ACM для такого имени (например, *.example.com), является той же записью, которая была возвращена для доменного имени без метки с подстановочным знаком (example.com).

Вопрос: Можно ли проверить все поддомены домена, используя одну запись CNAME?

Нет. Для каждого доменного имени, включая имена хостов и имена поддоменов, должна выполняться отдельная проверка с помощью уникальной записи CNAME.

Вопрос: Почему ACM использует для проверки с помощью записи DNS записи CNAME, а не записи TXT?

Использование записи CNAME позволяет ACM обновлять сертификаты, пока существует запись CNAME. Запись CNAME направляется на запись TXT в домене AWS (acm-validations.aws), которую ACM может обновлять по мере необходимости для проверки или повторной проверки доменного имени без необходимости выполнения каких-либо действий со стороны клиента.

Вопрос: Работает ли проверка с помощью записи DNS между регионами AWS?

Да. Можно создать одну запись CNAME DNS и использовать ее для получения сертификатов в том же аккаунте AWS в любом регионе AWS, где работает сервис ACM. Настроив запись CNAME один раз, вы сможете обеспечить выпуск и обновление сертификатов из ACM для доменного имени без создания другой записи.

Вопрос: Можно ли выбрать разные методы проверки в рамках одного сертификата?

Нет. Для каждого сертификата может использоваться только один метод проверки.

Вопрос: Как обновить сертификат, для которого использовалась проверка с помощью записи DNS?

ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока будет присутствовать запись DNS, используемая для проверки.

Вопрос: Можно ли отозвать разрешение на выдачу сертификатов для моего домена?

Да. Просто удалите запись CNAME. После удаления записи CNAME и распространения изменений через DNS ACM прекратит выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS. Время распространения изменений после удаления записи зависит от провайдера DNS.

Вопрос: Что произойдет при удалении записи CNAME?

Если вы удалите запись CNAME, ACM не сможет выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS.

К началу >>

 Вопрос: Что такое проверка с помощью электронной почты?

При проверке с помощью электронной почты зарегистрированному владельцу каждого домена, указанного в запросе на сертификат, отправляется письмо с запросом на подтверждение. Владелец домена или уполномоченный представитель (подтверждающее лицо) может подтвердить запрос на сертификат, выполнив содержащиеся в электронном письме инструкции. Инструкции предлагают подтверждающему лицу нажать на содержащуюся в письме ссылку или скопировать эту ссылку в адресную строку браузера, чтобы перейти на веб-сайт для подтверждения. Подтверждающее лицо проверяет информацию, связанную с запросом на сертификат, например доменное имя, ID сертификата (ARN) и ID аккаунта AWS, инициировавшего запрос, и в случае правильно указанной информации подтверждает запрос.

Вопрос: Когда я запрашиваю сертификат и выбираю проверку с помощью электронной почты, на какие адреса электронной почты отправляется запрос на подтверждение сертификата?

При запросе сертификата с использованием проверки с помощью электронной почты служба WHOIS выполняет поиск всех доменных имен, содержащихся в запросе на сертификат, в своей базе и извлекает контактную информацию домена. Электронные письма отправляются лицу, на имя которого зарегистрирован домен, а также указанным для домена контактным лицам по административным и техническим вопросам. Кроме того, письмо отправляется на пять специальных адресов электронной почты, которые образованы путем добавления имен admin@, administrator@, hostmaster@, webmaster@ и postmaster@ к доменному имени, для которого запрашивается сертификат. Например, если вы запрашиваете сертификат для домена server.example.com, электронные письма на основе контактной информации, возвращаемой запросом WHOIS для домена example.com, будут отправлены лицу, на имя которого зарегистрирован домен, контактным лицам по административным и техническим вопросам, а также на адреса admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com и webmaster@server.example.com.

Пять специальных адресов электронной почты для доменных имен, которые начинаются с «www», или для универсальных имен, которые начинаются со звездочки (*), формируются по другому принципу. ACM удаляет начальные символы «www» или звездочку, и электронное письмо отправляется на административные адреса, формируемые путем добавления имен admin@, administrator@, hostmaster@, postmaster@ и webmaster@ к оставшейся части доменного имени. Например, при запросе сертификата для домена www.example.com электронное письмо отправляется на адреса контактных лиц в сервисе WHOIS, как описано выше, а также на адрес admin@example.com, а не admin@www.example.com. Остальные четыре специальных адреса электронной почты формируются аналогичным образом.

После отправки запроса на сертификат вы можете просмотреть список электронных адресов, на которые было отправлено электронное письмо для каждого домена, с помощью консоли ACM, интерфейса командной строки или API AWS.

Вопрос: Можно ли настраивать адреса электронной почты, на которые отправляется запрос на подтверждение сертификата?

Нет, но вы можете настроить базовое доменное имя, на которое будет отправлено проверочное письмо. Базовое доменное имя должно быть супердоменом для доменного имени в запросе на сертификат. Например, если вы хотите запросить сертификат для ресурса server.domain.example.com, но хотите направить электронные письма для подтверждения сертификата на адрес admin@domain.example.com, вы можете сделать это, используя интерфейс командной строки или API AWS. Подробности см. в Справочнике по интерфейсу командной строки ACM и Справочнике по API ACM.

Вопрос: Можно ли использовать домены, содержащие контакты прокси-сервера (например, Privacy Guard или WhoisGuard)?

Да, однако доставка электронной почты из-за прокси-сервера может занять больше времени. Электронная почта, отправленная через прокси-сервер, может попасть в папку спама. Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Вопрос: Может ли ACM проверить подлинность моей идентификации, используя информацию о техническом контактном лице моего аккаунта AWS?

Нет. Процедуры и политики проверки подлинности идентификационных данных владельца домена очень жесткие. Стандарты политик для публичных доверенных центров сертификации устанавливает организация CA/Browser Forum. Подробнее см. в последней версии Положения о сертификационной практике компании Amazon Trust Services в репозитории Amazon Trust Services.

Вопрос: Что делать, если письмо с подтверждением не приходит?

Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

К началу >>

 Вопрос: Как осуществляется управление закрытыми ключами сертификатов, предоставляемых ACM?

Для каждого сертификата, предоставляемого ACM, создается пара ключей. AWS Certificate Manager разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.

 Вопрос: Копирует ли ACM сертификаты в другие регионы AWS?

Нет. Закрытый ключ каждого сертификата ACM хранится в том регионе, в котором был запрошен сертификат. Например, если вы получили новый сертификат в регионе Восток США (Сев. Вирджиния), ACM хранит закрытый ключ в регионе Восток США (Сев. Вирджиния). Сертификаты ACM копируются в другие регионы только тогда, когда они связаны с базой раздачи CloudFront. В этом случае CloudFront распространяет сертификат ACM в местоположения, определенные для вашей базы раздачи.

 Вопрос: Можно ли проверить использование закрытого ключа сертификата?

Да. Используя сервис AWS CloudTrail, вы можете просмотреть журналы и узнать, когда использовались закрытые ключи сертификата.

К началу >>

 Вопрос: Каков принцип оплаты за использование сертификатов ACM?

Публичные и частные сертификаты SSL/TLS, которые предоставляются с помощью AWS Certificate Manager для использования в интегрированных с ACM сервисах (например, Elastic Load Balancing, Amazon CloudFront и Amazon API Gateway), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Private Certificate Authority в AWS Certificate Manager предусматривает оплату по факту использования. Вы оплачиваете работу каждого ACM Private CA ежемесячно до его удаления. Оплате также подлежат частные сертификаты, которые вы создаете в ACM или экспортируете из этого сервиса, например, для использования с EC2 или локальными серверами, а также сертификаты, выпущенные непосредственно в Private CA с использованием самостоятельно созданного закрытого ключа. Подробные сведения и примеры приведены на странице цен.

К началу >>

 Вопрос: Можно ли использовать один и тот же сертификат с несколькими балансировщиками нагрузки Elastic Load Balancing и несколькими базами раздачи CloudFront?

Да.

 Вопрос: Можно ли использовать публичные сертификаты для внутренних балансировщиков нагрузки Elastic Load Balancing, не имеющих доступа к публичному Интернету?

Да, возможно также использовать ACM Private CA для выпуска частных сертификатов, которые ACM может обновлять без проверки. Подробнее о том, как ACM осуществляет обновление публичных сертификатов, недоступных из публичного Интернета, и частных сертификатов, см. в разделе Управляемое обновление и развертывание.

 Вопрос: Будет ли сертификат для ресурса www.example.com работать также и для ресурса example.com?

Нет. Чтобы сайт был доступен через оба доменных имени (www.example.com и example.com), необходимо запросить сертификат, включающий оба имени.

 Вопрос: Можно ли импортировать и использовать в AWS сертификат стороннего центра сертификации?

Да. Если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.

 Вопрос: Как ACM может помочь моей организации в соблюдении требований?

Использование ACM помогает обеспечить соответствие нормативным требованиям, упрощая процессы установления безопасных соединений, которые входят в типовые требования многих стандартов (например, PCI, FedRAMP и HIPAA). Подробную информацию по вопросам соответствия требованиям см. в разделе http://aws.amazon.com/compliance.

 Вопрос: Использует ли сервис ACM соглашение об уровне обслуживания?

В настоящий момент – нет.

 Вопрос: Предоставляет ли ACM знак сертификата защищенности сайта или логотип доверия, которые я могу отобразить на моем веб-сайте?

Нет. Если вы хотите использовать печать безопасности, то можете получить ее у стороннего поставщика. Мы рекомендуем обратиться к поставщику, который может оценить и подтвердить безопасность вашего сайта или вашу деловую практику, или и то и другое.

 Вопрос: Разрешает ли компания Amazon использовать ее торговые марки или логотип в качестве значка сертификации, печати безопасности или логотипа доверия?

Нет. Печати и значки этого типа могут быть скопированы на сайты, не использующие сервис ACM, и могут использоваться ненадлежащим способом, чтобы обманным путем вызвать доверие. В целях защиты наших клиентов и репутации компании Amazon мы не разрешаем использовать наш логотип подобным образом. 

К началу >>

Вопрос: Какие данные журналов доступны в сервисе AWS CloudTrail?

Журналы позволяют установить, какие пользователи и аккаунты делали вызовы API AWS для сервисов, поддерживающих AWS CloudTrail, IP-адрес источника, сделавшего вызовы, и время, когда они были сделаны. Например, можно установить, какой пользователь выполнил вызов API, чтобы связать сертификат, предоставленный ACM, с Elastic Load Balancer, и когда сервис Elastic Load Balancing расшифровал ключ с помощью вызова API KMS.

К началу >>

 Вопрос: Что представляет собой управляемое обновление и развертывание сервиса ACM?

Возможность управляемого обновления и развертывания ACM управляет процессом обновления сертификатов SSL/TLS, предоставляемых ACM, и их дальнейшим развертыванием.

Вопрос: Каковы преимущества использования управляемого обновления и развертывания ACM?

ACM может управлять обновлением и развертыванием сертификатов SSL/TLS. По сравнению с ручными процедурами, при которых возможны ошибки, ACM обеспечивает более качественный процесс настройки и обслуживания протоколов SSL/TLS для защищенных веб-сервисов и приложений. Управляемое обновление и развертывание позволяет избежать простоев из-за просроченных сертификатов. ACM работает как сервис, обеспечивая интеграцию с другими сервисами AWS. Это позволяет централизованно управлять сертификатами и развертывать их на платформе AWS с помощью Консоли управления AWS, интерфейса командной строки AWS или API. С помощью ACM Private CA можно создавать частные сертификаты, а затем экспортировать их. ACM обновляет экспортированные сертификаты, предоставляя возможность коду на стороне клиента загружать и развертывать их.

Вопрос: Для каких сертификатов ACM можно использовать автоматическое обновление и развертывание?

Публичные сертификаты

ACM может обновить публичные сертификаты ACM и выполнить их развертывание без дополнительной проверки со стороны владельца домена. Если сертификат не может быть обновлен без дополнительной проверки, ACM управляет процессом обновления, проверяя права владения или возможность управления доменом для всех доменных имен, указанных в сертификате. После проверки каждого доменного имени, указанного в сертификате, ACM обновляет сертификат и автоматически развертывает его на используемых ресурсах AWS. Если ACM не может проверить право владения доменом, сервис присылает соответствующее уведомление владельцу аккаунта AWS.

Если при запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять сертификат неограниченное количество раз, не требуя каких-либо действий со стороны клиента, если сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена. Если при запросе сертификата выбрана проверка с помощью электронной почты, вы можете улучшить возможности ACM, связанные с автоматическим обновлением и развертыванием сертификатов ACM, убедившись, что сертификат используется и все доменные имена, включенные в сертификат, ведут на ваш сайт и доступны из Интернета.

Частные сертификаты

ACM предоставляет три варианта управления частными сертификатами, выпущенными ACM Private CA. ACM предоставляет различные возможности по обновлению и развертыванию, которые зависят от способа управления частными сертификатами. Для каждого выпущенного частного сертификата можно выбрать наиболее подходящий вариант.

1) ACM может полностью автоматически обновлять частные сертификаты, выданные ACM Private CA и используемые для интегрированных с ACM сервисов (например, Elastic Load Balancing, API Gateway), а также управлять такими сертификатами. ACM может обновлять и развертывать частные сертификаты, созданные и управляемые в ACM, до тех пор, пока выдавший их частный центр сертификации находится в активном состоянии.

2) ACM Private CA автоматически обновляет сертификат для частных сертификатов, экспортированных из ACM для использования с локальными ресурсами, инстансами EC2 и устройствами IoT. Клиент отвечает за получение нового сертификата и закрытого ключа, а также за их развертывание с приложения.

3) Если выпустить сертификаты напрямую из ACM Private CA и управлять ключами и сертификатами без использования ACM, ACM не обновляет сертификат. За обновление и развертывание таких частных сертификатов отвечает сам клиент.

Вопрос: Когда ACM обновляет сертификаты?

ACM начинает процесс обновления за 60 дней до истечения срока действия сертификата. В настоящее время сертификаты ACM действительны в течение 13 месяцев. Подробнее об управляемом обновлении см. в Руководстве пользователя ACM.

Вопрос: Буду ли я предварительно извещен об обновлении сертификата и развертывании нового сертификата?

Нет. ACM может обновить сертификат или повторно создать ключи и заменить старые без предварительного уведомления.

Вопрос: Может ли ACM обновить публичные сертификаты, содержащие пустые домены, такие как example.com (также известные как начало зоны)?

Если в запросе сертификата выбрана проверка с помощью записи DNS для публичного сертификата, ACM сможет обновлять ваш сертификат, не требуя каких-либо действий с вашей стороны, пока сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена.

Если вы выбрали проверку с помощью электронной почты при запросе публичного сертификата для пустого домена, убедитесь в том, что DNS-поиск пустого домена разрешается адресом ресурса AWS, связанного с сертификатом. Разрешение пустого домена в ресурсе AWS может быть непростой задачей, если вы не используете Route 53 или другой провайдер DNS, поддерживающий записи ресурса псевдонима (или эквивалентные им) для преобразования пустых доменов в ресурсы AWS. Подробнее см. в руководстве по Route 53 для разработчиков.

Вопрос: Будут ли закрыты соединения сайта в процессе развертывания ACM обновленного сертификата?

Нет, соединения, устанавливаемые после развертывания нового сертификата, используют новый сертификат, при этом существующие соединения не затрагиваются.

К началу >>