Вопросы и ответы по Менеджеру сертификатов AWS

Менеджер сертификатов AWS (ACM) – это сервис, позволяющий легко предоставлять и развертывать сертификаты Secure Sockets Layer / Transport Layer Security (SSL/TLS) для использования с сервисами AWS, а также управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете, а также ресурсов в частных сетях. Сервис ACM избавляет от необходимости тратить время на покупку, загрузку и обновление сертификатов SSL/TLS вручную. Благодаря Менеджеру сертификатов AWS можно быстро запросить сертификат, выполнить его развертывание с помощью таких ресурсов AWS, как балансировщики нагрузки сервиса «Эластичная балансировка нагрузки», базы раздачи Amazon CloudFront или API в API шлюзе Amazon, а также позволить сервису ACM выполнять обновление сертификатов. Вы можете также использовать эти сертификаты для безопасного завершения трафика на любых вычислительных рабочих нагрузках, которым требуется публичный сертификат, включая те, что работают на инстансах EC2, в контейнерах и/или на локальных серверах. ACM позволяет также создавать закрытые сертификаты для внутренних ресурсов и централизованно управлять жизненным циклом сертификатов. Публичные и закрытые сертификаты SSL/TLS, которые предоставляются с помощью ACM и используются только для интегрированных с ACM сервисов (например, Эластичной балансировки нагрузки, Amazon CloudFront, Amazon API Gateway), являются бесплатными. Если вы решите выпускать экспортируемые публичные сертификаты, то будете оплачивать выпуск сертификата, продление срока его действия и соответствующее использование API. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Вы ежемесячно оплачиваете работу каждого частного центра сертификации до его удаления, а также выпущенные сертификаты, которые используются не только для интегрированных с ACM сервисов.

Сертификаты SSL/TLS позволяют браузерам проверять подлинность веб-сайтов и устанавливать с ними зашифрованные сетевые соединения с использованием протокола Secure Sockets Layer/Transport Layer Security (SSL/TLS). Сертификаты используются в рамках криптографической системы, известной как инфраструктура открытого ключа (PKI). PKI дает одной стороне возможность устанавливать подлинность другой стороны с помощью сертификатов (при условии, что обе стороны доверяют третьей стороне, известной как центр сертификации). Чтобы получить дополнительную информацию, см. этот раздел Руководства пользователя ACM.

Закрытые сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют закрытые сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.

Публичные и закрытые сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты определяют ресурсы в общедоступном Интернете, а частные сертификаты – в частных сетях. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам администратору нужно явно настроить приложения. Публичные центры сертификации (организации, выдающие публичные сертификаты) должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Частные центры сертификации находятся под управлением частных организаций. Администраторы частных центров сертификации могут задавать собственные правила для выдачи закрытых сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат. 

При запросе публичного сертификата через ACM вы можете дополнительно указать сертификат для экспорта. После выпуска сертификата его можно выбрать и экспортировать через Консоль управления AWS. Вам будет предложено ввести парольную фразу, которую ACM будет использовать для шифрования закрытого ключа. Затем можно загрузить и сохранить сертификат, закрытый ключ и цепочку сертификатов и развернуть сертификат, следуя инструкциям, специфичным для вашего приложения TLS. Эти шаги можно автоматизировать, написав код или скрипты, использующие AWS SDK или интерфейс командной строки (CLI).

ACM упрощает использование протоколов SSL/TLS для веб-сайтов или приложений в AWS, гибридных и мультиоблачных средах. ACM устраняет необходимость в ряде ручных операций, связанных с использованием протоколов и управлением сертификатами SSL/TLS. ACM управляет обновлением сертификатов, что позволяет избежать простоев из-за неправильно настроенных, отозванных или просроченных сертификатов. Сервис обеспечивает защиту сетевых соединений с помощью протоколов SSL/TLS и простоту управления сертификатами. Использование протоколов SSL/TLS для сайтов с выходом в Интернет помогает улучшать ранжирование сайта в поисковых системах и обеспечивать соответствие нормативным требованиям в отношении шифрования данных при передаче.

При хранении и защите закрытых ключей сертификата сервис ACM для управления сертификатами использует криптостойкие алгоритмы шифрования и рекомендации по управлению ключами. ACM позволяет централизованно управлять всеми сертификатами SSL/TLS, выпущенными Менеджером сертификатов AWS в регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса ACM. ACM интегрирован с другими сервисами AWS, что позволяет запрашивать сертификаты SSL/TLS и выполнять их развертывание в Эластичном балансировщике нагрузки или базе раздачи Amazon CloudFront с помощью Консоли управления AWS, команд в интерфейсе командной строки AWS или вызовов API.

ACM позволяет управлять жизненным циклом публичных и закрытых сертификатов. Возможности ACM зависят от типа сертификата (публичный или частный), способа получения сертификата и места его развертывания.

Публичные сертификаты: вы можете запросить выпущенные Amazon публичные сертификаты в ACM. ACM управляет обновлением и развертыванием публичных сертификатов, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Эластичная балансировка нагрузки и API шлюз Amazon.

Экспортируемые публичные сертификаты. ACM управляет обновлением экспортированных публичных сертификатов, которые можно развертывать в сервисах AWS и/или в локальных средах.

Закрытые сертификаты: можно делегировать управление закрытыми сертификатами ACM. В этом случае ACM может автоматически обновлять и развертывать частные сертификаты, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway. Эти частные сертификаты можно просто развертывать с помощью Консоли управления AWS, API или интерфейса командной строки (CLI). Можно экспортировать частные сертификаты из ACM и использовать их с инстансами EC2, контейнерами, локальными серверами и устройствами IoT. Частный ЦС AWS автоматически обновляет эти сертификаты и после завершения обновления отправляет уведомление Amazon CloudWatch. Для загрузки обновленных сертификатов и закрытых ключей, а также их развертывания с помощью приложения можно создать код на стороне клиента.

Импортированные сертификаты: если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не имеет возможности обновлять импортированные сертификаты, но может вам помочь в управлении процессом обновления. Вы самостоятельно следите за сроком действия импортированных сертификатов и обеспечиваете их обновление до истечения этого срока. С помощью Метрик ACM CloudWatch можно отслеживать окончание срока действия импортированных сертификатов и импортировать новые сторонние сертификаты взамен тех, срок действия которых истек.

Чтобы начать работу с ACM, перейдите к этому сервису в Консоли управления AWS и с помощью соответствующего мастера запросите сертификат SSL/TLS. Если вы уже создали частный ЦС, выберите тип сертификата – публичный или частный, а затем введите название своего сайта. Можно также запросить сертификат, используя интерфейс командной строки или API AWS. После выдачи сертификата его можно использовать в других сервисах AWS, интегрированных с ACM. Для каждого интегрированного сервиса требуется просто выбрать соответствующий сертификат SSL/TLS из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью команды интерфейса командной строки или вызова API AWS. После этого интегрированный сервис развертывает сертификат в выбранном вами ресурсе.  Подробнее об использовании сертификатов, предоставляемых ACM, и об отправке запросов о них см. в Руководстве пользователя ACM. Кроме использования закрытых сертификатов в интегрированных с ACM сервисах их можно экспортировать для использования на инстансах EC2, контейнерах ECS или в любых других средах.

• Эластичная балансировка нагрузки – см. документацию по Эластичной балансировке нагрузки
• Amazon CloudFront – см. документацию по CloudFront
• API шлюз Amazon – см. документацию по API шлюзу
• AWS CloudFormation – в настоящее время можно использовать только публичные и частные сертификаты, выпущенные ACM; см. документацию по AWS CloudFormation
• AWS Elastic Beanstalk – см. документацию по AWS Elastic Beanstalk
• AWS Nitro Enclaves – см. документацию по AWS Nitro Enclaves
• Сетевой брандмауэр AWS – см. документацию по Сетевому брандмауэру AWS
• Сервис Amazon OpenSearch – см. документацию по сервису Amazon OpenSearch

Актуальные сведения о доступности сервисов AWS по регионам см. на страницах с информацией о глобальной инфраструктуре AWS. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния) или импортировать его в этот регион. Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

ACM управляет публичными, закрытыми и импортированными сертификатами. Подробнее о возможностях ACM см. в документации по выпуску сертификатов и управлению ими.

Да. Каждый сертификат должен включать хотя бы одно доменное имя, при желании в сертификат можно включать дополнительные доменные имена. Например, можно добавить имя www.example.net в сертификат для доменного имени www.example.com, если пользователи могут обращаться к вашему сайту, используя любое из этих доменных имен. Вы должны быть собственником имен или управлять всеми именами, включенными в запрос сертификата. 

Доменное имя с шаблоном подстановки подходит для любого поддомена верхнего (третьего и далее) уровня или имени узла домена. Поддомен верхнего уровня – это имя домена, состоящее из одной метки и не содержащее точки. Например, можно использовать имя *.example.com для защиты www.example.com, images.example.com и любого другого имени узла или поддомена третьего уровня, оканчивающегося на .example.com. Подробнее см. в Руководстве пользователя ACM.

Да.

Нет.

Нет.

Нет.

Публичные сертификаты, выпущенные сервисом ACM, действительны в течение 198 дней. Если выпускать закрытые сертификаты напрямую из частного CA и управлять ключами и сертификатами без использования ACM, для них можно задать любой срок действия, в том числе абсолютную дату истечения или период в днях, месяцах или годах от текущего времени.

Да, Менеджер сертификатов AWS (ACM) сократит срок действия публичных сертификатов TLS, чтобы соответствовать требованиями центра сертификации (CA) / Browser Forum. ACM уже предоставляет автоматическое управление продлением сертификатов, а также возможности уведомления о готовности новых сертификатов к развертыванию.  Amazon Trust Services является активным участником CA/Browser Forum, где устанавливаются стандарты для публично доверенных сертификатов TLS. Чтобы соответствовать требованиям CA/Browser Forum, Amazon Trust Services будет применять следующие ограничения на максимальный срок действия сертификатов TLS.

• С сегодняшнего дня до 15 марта 2027 года максимальный срок действия выдаваемых публичных сертификатов TLS будет составлять до 198 дней. Это меньше, чем предыдущий срок службы, – 395 дней.
• Начиная с 15 марта 2027 года максимальный срок действия выдаваемых публичных сертификатов TLS будет составлять до 100 дней.
• Начиная с 15 марта 2029 года максимальный срок действия выдаваемых публичных сертификатов TLS будет составлять до 47 дней.

Если вы используете экспортируемые публичные сертификаты от ACM, мы понимаем ваши опасения по поводу потенциального увеличения расходов в связи с изменением максимальных сроков действия сертификатов. AWS стремится поддерживать справедливые цены на сертификаты, выпускаемые через ACM. По мере изменения отраслевых стандартов мы планируем соответствующим образом корректировать структуру ценообразования, стремясь сохранить годовую стоимость сертификатов на уровне текущих тарифов. В связи с сокращением срока действия сертификатов с 395 до 198 дней мы снизили стоимость с 149 USD за шаблонное имя с подстановочным знаком и 15 USD за полное доменное имя (FQDN) до 79 USD и 7 USD соответственно. См. актуальные тарифы на странице цен.

По умолчанию в сертификатах, выпущенных в ACM, используются ключи RSA с 2048-разрядным модулем и SHA-256. Кроме того, вы можете запросить сертификаты с использованием алгоритма цифровой подписи на эллиптических кривых (ECDSA) с P-256 или P-384. Подробнее об алгоритмах см. в Руководстве пользователя ACM.

Чтобы отправить запрос на отзыв публичного сертификата сервисом ACM, перейдите в Центр поддержки AWS и создайте соответствующую заявку. Экспортируемые публичные сертификаты можно отозвать с помощью API revoke-certificate. Как отозвать закрытый сертификат, выданный частным CA AWS, см. в Руководстве пользователя частного CA AWS.

Нет. Сертификаты ACM должны находиться в том же регионе, что и ресурс, для которого они используются. Единственное исключение – Amazon CloudFront, глобальный сервис, требующий хранения сертификатов в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Да.

При желании вы можете выпускать экспортируемые публичные сертификаты, совместимые с интегрированными сервисами AWS, а также с любыми рабочими нагрузками, для которых требуются сертификаты TLS. Эти рабочие нагрузки могут находиться в AWS, например на сервере, работающем на EC2, или за пределами AWS, например на локальном сервере. Закрытые сертификаты частного CA можно также использовать с инстансами EC2, контейнерами и собственными серверами. 

ACM не поддерживает символы национальных алфавитов в кодировке Unicode; при этом в доменных именах могут применяться символы национальных алфавитов в кодировке ASCII.

ACM разрешает использование только символов ASCII в кодировке UTF-8, включая метки, содержащие префикс «xn--», который применяется для преобразования доменных имен в кодировку Punycode. ACM не принимает для доменных имен метки в формате Unicode.

Да. Если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.

Публичные и закрытые сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты идентифицируют ресурсы в Интернете.

ACM предоставляет публичные сертификаты валидации домена (DV-сертификаты) для использования с веб-сайтами и приложениями, выполняющими терминацию SSL/TLS. Подробную информацию о сертификатах ACM см. в разделе Характеристики сертификатов.

Публичным сертификатам ACM доверяет большинство современных браузеров, операционных систем и мобильных устройств. Сертификаты, предоставляемые сервисом ACM, поддерживаются в 99 % распространенных браузеров и операционных систем, включая Windows XP SP3 и Java версии 6 и выше.

В некоторых браузерах, которые доверяют сертификатам ACM, отображается значок замка и не появляются предупреждения о проблемах с сертификатом при подключении к сайтам, использующим сертификаты ACM для подключений SSL/TLS (например, по протоколу HTTPS).

Публичные сертификаты ACM подтверждены центром сертификации Amazon. Любой браузер, приложение или ОС, в доверенный список которых входят центры сертификации Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority – G2, доверяет сертификатам ACM. Подробнее о корневых центрах сертификации см. в репозитории Amazon Trust Services.

Нет.

Все описания приводятся в Положении о сертификационной политике и Положении о сертификационной практике компании Amazon Trust Services. Последние версии этих документов см. в репозитории Amazon Trust Services.

Нет. Чтобы сайт был доступен через оба доменных имени (www.example.com и example.com), необходимо запросить сертификат, включающий оба имени.

Использование ACM помогает обеспечить соответствие нормативным требованиям, упрощая процессы установления безопасных соединений, которые входят в типовые требования многих стандартов (например, PCI, FedRAMP и HIPAA). Подробную информацию по вопросам соответствия требованиям см. в разделе http://aws.amazon.com/compliance.

Нет. ACM не предусматривает SLA.

Нет. Если вы хотите использовать на сайте печать безопасности, можете получить ее у стороннего поставщика. Мы рекомендуем обратиться к поставщику, который может оценить и подтвердить безопасность вашего сайта, или ваших коммерческих принципов, или и того, и другого.

Нет. Печати и значки этого типа могут быть скопированы на сайты, не использующие сервис ACM, и могут использоваться ненадлежащим способом, чтобы обманным путем вызвать доверие. В целях защиты наших клиентов и репутации компании Amazon мы не разрешаем использовать наш логотип подобным образом.

Вы можете использовать Консоль управления AWS, интерфейсы командной строки AWS, а также API или SDK ACM. При использовании Консоли управления AWS перейдите к разделу «Certificate Manager», выберите пункт «Request a certificate» (Запросить сертификат), выберите пункт «Request a public certificate» (Запросить публичный сертификат), введите доменное имя сайта и завершите формирование запроса, следуя инструкциям на экране. Если для доступа к сайту пользователи могут использовать другие доменные имена, можно включить в запрос эти дополнительные имена. Прежде чем ACM сможет выдать сертификат, он проверит, действительно ли вы владеете / управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS требуется добавить запись в публичную конфигурацию DNS для своего домена, чтобы подтвердить, что вы владеете доменом или управляете им. После однократной проверки управления доменом с помощью записи DNS можно получить дополнительные сертификаты, и ACM может обновлять существующие сертификаты для домена, пока запись будет присутствовать, а сертификат – использоваться. Повторная проверка управления доменом не потребуется. Если выбрать проверку с помощью электронной почты вместо проверки с помощью записи DNS, владельцу домена будут отправлены электронные письма с запросом подтверждения на выдачу сертификата. После подтверждения права владения или возможности управления для каждого доменного имени, указанного в запросе, сертификат будет выдан и готов к использованию с другими сервисами AWS, например Elastic Load Balancing или Amazon CloudFront.

При желании вы можете выпускать экспортируемые публичные сертификаты, совместимые с интегрированными сервисами AWS, а также с любыми рабочими нагрузками, для которых требуются сертификаты TLS. Эти рабочие нагрузки могут находиться в AWS, например на сервере, работающем на EC2, или за пределами AWS, например на локальном сервере. Подробности см. в документации ACM.

Сертификаты используются для установления подлинности веб-сайта и безопасного соединения между браузерами и приложениями или сайтом. Для выдачи публичного доверенного сертификата Amazon должен убедиться, что сторона, запросившая сертификат, управляет доменным именем, указанным в запросе.

Перед выдачей сертификата ACM проверяет, действительно ли вы владеете или управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив запись CNAME в конфигурацию DNS. Подробнее см. в разделе о проверке с помощью записи DNS. Если у вас нет возможности добавлять записи в публичную конфигурацию DNS указанного домена, вы можете использовать вместо проверки с помощью записи DNS проверку с помощью электронной почты. При проверке с помощью электронной почты ACM отправляет электронные письма зарегистрированному владельцу домена, а владелец или его уполномоченный представитель может подтвердить выпуск сертификата для каждого доменного имени, указанного в запросе на сертификат. Подробнее см. в разделе о проверке с помощью электронной почты. При выпуске сертификатов для использования с Менеджером Amazon CloudFront SaaS ACM автоматически выдает сертификаты, проверенные HTTP. Подробнее см. в разделе о проверке с помощью HTTP.

Если вы выпускаете сертификаты непосредственно из ACM и у вас есть возможность изменить конфигурацию DNS для своего домена, рекомендуется использовать проверку с помощью записи DNS. Для клиентов, которые не могут получить проверочные письма от ACM по электронной почте или у которых регистратор домена не публикует контактную информацию с адресом электронной почты владельца домена в WHOIS, проверка с помощью записи DNS является обязательной. Если вы не можете изменить свою конфигурацию DNS, следует использовать проверку с помощью электронной почты.

Если вам нужны сертификаты для использования с Менеджером Amazon CloudFront SaaS, ACM автоматически предоставляет сертификаты, проверенные HTTP, в рамках процесса выделения ресурсов CloudFront.

Нет. Однако можно запросить в ACM новый бесплатный сертификат и выбрать для нового сертификата проверку с помощью записи DNS.

Для выдачи сертификата после проверки всех доменных имен, указанных в запросе на сертификат, может потребоваться несколько часов.

ACM пытается проверить право владения или возможность управления для каждого доменного имени, указанного в запросе на сертификат, в соответствии с выбранным во время запроса методом проверки (с помощью записи DNS или с помощью электронной почты). Пока ACM проверяет, действительно ли вы владеете или управляете доменом, запрос сертификата будет иметь статус «Pending validation» (Ожидает проверки). Подробнее о процессе проверки см. ниже в разделах о проверке с помощью записи DNS и проверке с помощью электронной почты. После проверки всех доменных имен, указанных в запросе на сертификат, для выдачи сертификата может потребоваться несколько часов. После выдачи сертификата статус запроса сертификата изменяется на «Issued» (Выпущен), а сам сертификат можно использовать для других сервисов AWS, интегрированных с ACM.

Да. Записи авторизации центра сертификации (CAA) позволяют владельцам доменов указывать, какие органы сертификации уполномочены выдавать сертификаты для их доменов. При запросе сертификата ACM AWS Certificate Manager ищет запись CAA в конфигурации зоны DNS для соответствующего домена. Если запись CAA отсутствует, сертификат для домена может выдать Amazon. Большинство клиентов относятся к этой категории.

Если конфигурация DNS содержит запись CAA, для выдачи домену сертификата Amazon в ней должен быть указан один из следующих центров сертификации: amazon.com, amazontrust.com, awstrust.com или amazonaws.com. Подробные сведения см. в разделе о настройках записи CAA или устранении проблем с CAA Руководства пользователя Менеджера сертификатов AWS.

При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив в конфигурацию DNS запись CNAME. Проверка с помощью записи DNS позволяет при запросе публичных сертификатов SSL/TLS из ACM легко подтвердить, что вы являетесь владельцем домена.

Проверка с помощью записи DNS позволяет легко подтвердить, что вы владеете или управляете доменом, для получения сертификата SSL/TLS. При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока присутствует проверочная запись DNS. Обновление выполняется автоматически и не требует вмешательства пользователя.

Возможность использования проверки с помощью записи DNS следует рассмотреть всем, кто запрашивает сертификат через ACM и может изменять конфигурацию DNS для запрашиваемого домена.

Да. ACM продолжает поддерживать проверку с помощью электронной почты для клиентов, которые не могут изменить конфигурацию DNS.

Необходимо добавить запись CNAME для домена, который требуется проверить. Например, чтобы проверить имя www.example.com, добавьте запись CNAME в зону для example.com. Добавленная запись содержит уникальный токен, который ACM генерирует специально для этого домена и вашего аккаунта AWS. Получить две части записи CNAME (имя и метку) можно в ACM. Дополнительные инструкции см. в Руководстве пользователя ACM.

Для получения дополнительных сведений о том, как добавить или изменить записи DNS, обратитесь к провайдеру DNS. В документации о DNS сервиса Amazon Route 53 содержится дополнительная информация для клиентов, использующих DNS в Amazon Route 53.

Да. Для клиентов, которые используют для управления записями DNS сервис Amazon Route 53, при запросе сертификата консоль ACM может автоматически добавлять записи в конфигурацию DNS. Ваша зона хостинга DNS Route 53 для домена должна быть настроена в том же аккаунте AWS, из которого подается запрос, при этом у вас должны быть достаточные разрешения для внесения изменений в конфигурацию Amazon Route 53. Дополнительные инструкции см. в Руководстве пользователя ACM.

Нет. Проверку с помощью записи DNS можно использовать с любым провайдером DNS, если он позволяет добавить запись CNAME в конфигурацию DNS.

Одну. Можно получить несколько сертификатов для одного доменного имени в одном аккаунте AWS, используя одну запись CNAME. Например, если вы подаете 2 запроса на сертификат из одного и того же аккаунта AWS для одного и того же доменного имени, вам потребуется только 1 запись CNAME DNS.

Нет. У каждого доменного имени должна быть уникальная запись CNAME.

Да.

Записи CNAME DNS состоят из двух компонентов: имени и метки. Имя записи CNAME, созданной ACM, состоит из символа подчеркивания (_), за которым следует токен, который является уникальной строкой, связанной с конкретным аккаунтом AWS и доменным именем. ACM добавляет знак подчеркивания и токен к вашему доменному имени для создания компонента имени. Соответствующую метку ACM создает из символа подчеркивания, добавленного к другому токену, который также связан с конкретным аккаунтом AWS и доменным именем. ACM добавляет символ подчеркивания и токен к доменному имени DNS, используемому AWS для проверки подлинности (acm-validations.aws). В следующих примерах показано форматирование записей CNAME для www.example.com, subdomain.example.com и *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Обратите внимание на то, что ACM удаляет знак подстановки (*) при создании записей CNAME для имен с использованием шаблонов. В результате этого запись CNAME, созданная ACM для такого имени (например, *.example.com), является той же записью, которая была возвращена для доменного имени без метки с подстановочным знаком (example.com).

Нет. Для каждого доменного имени, включая имена хостов и имена поддоменов, должна выполняться отдельная проверка с помощью уникальной записи CNAME.

Использование записи CNAME позволяет ACM обновлять сертификаты, пока существует запись CNAME. Запись CNAME направляется на запись TXT в домене AWS (acm-validations.aws), которую ACM может обновлять по мере необходимости для проверки или повторной проверки доменного имени без необходимости выполнения каких-либо действий со стороны клиента.

Да. Можно создать одну запись CNAME DNS и использовать ее для получения сертификатов в том же аккаунте AWS в любом регионе AWS, где работает сервис ACM. Настроив запись CNAME один раз, вы сможете обеспечить выпуск и обновление сертификатов из ACM для доменного имени без создания другой записи.

Нет. Для каждого сертификата может использоваться только один метод проверки.

ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока будет присутствовать запись DNS, используемая для проверки.

Да. Просто удалите запись CNAME. После удаления записи CNAME и распространения изменений через DNS ACM прекратит выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS. Время распространения изменений после удаления записи зависит от провайдера DNS.

Если вы удалите запись CNAME, ACM не сможет выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS.

При проверке с помощью электронной почты зарегистрированному владельцу каждого домена, указанного в запросе на сертификат, отправляется письмо с запросом на подтверждение. Владелец домена или уполномоченный представитель (подтверждающее лицо) может подтвердить запрос на сертификат, выполнив содержащиеся в электронном письме инструкции. Инструкции предлагают подтверждающему лицу нажать на содержащуюся в письме ссылку или скопировать эту ссылку в адресную строку браузера, чтобы перейти на веб-сайт для подтверждения. Подтверждающее лицо проверяет информацию, связанную с запросом на сертификат, например доменное имя, ID сертификата (ARN) и ID аккаунта AWS, инициировавшего запрос, и в случае правильно указанной информации подтверждает запрос.

ACM отправляет письма для подтверждения на пять стандартных системных адресов электронной почты для каждого домена, формируя их путем добавления admin@, administrator@, hostmaster@, webmaster@ и postmaster@ к имени домена, для которого запрашивается сертификат. ACM больше не поддерживает подтверждение через электронную почту WHOIS для новых сертификатов и их продления.

Пять специальных адресов электронной почты для доменных имен, которые начинаются с «www», или для универсальных имен, которые начинаются со звездочки (*), формируются по другому принципу. ACM удаляет начальные символы «www» или звездочку, и электронное письмо отправляется на административные адреса, формируемые путем добавления имен admin@, administrator@, hostmaster@, postmaster@ и webmaster@ к оставшейся части доменного имени.

После отправки запроса на сертификат вы можете просмотреть список электронных адресов, на которые было отправлено электронное письмо для каждого домена, с помощью консоли ACM, интерфейса командной строки или API AWS.

Нет, но вы можете настроить базовое доменное имя, на которое будет отправлено проверочное письмо. Базовое доменное имя должно быть супердоменом для доменного имени в запросе на сертификат. Например, если вы хотите запросить сертификат для ресурса server.domain.example.com, но хотите направить электронные письма для подтверждения сертификата на адрес admin@domain.example.com, вы можете сделать это, используя интерфейс командной строки или API AWS. Подробности см. в Справочнике по интерфейсу командной строки ACM и Справочнике по API ACM.

Да, однако доставка электронной почты из-за прокси-сервера может занять больше времени. Электронная почта, отправленная через прокси-сервер, может попасть в папку спама. Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Процедуры и политики проверки подлинности идентификационных данных владельца домена очень жесткие. Стандарты политик для публичных доверенных центров сертификации устанавливает организация CA/Browser Forum. Подробнее см. в последней версии Положения о сертификационной практике компании Amazon Trust Services в репозитории Amazon Trust Services.

Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Для каждого сертификата, предоставляемого ACM, создается пара ключей. ACM разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.

Нет. Закрытый ключ каждого сертификата ACM хранится в том регионе, в котором был запрошен сертификат. Например, если вы получили новый сертификат в регионе Восток США (Северная Вирджиния), ACM хранит закрытый ключ в регионе Восток США (Северная Вирджиния). Сертификаты ACM копируются в другие регионы только тогда, когда они связаны с базой раздачи CloudFront. В этом случае CloudFront распространяет сертификат ACM в местоположения, определенные для вашей базы раздачи.

Возможность управляемого обновления и развертывания ACM управляет процессом обновления сертификатов SSL/TLS, предоставляемых ACM, и их дальнейшим развертыванием.

ACM может управлять обновлением и развертыванием сертификатов SSL/TLS. По сравнению с ручными процедурами, при которых возможны ошибки, ACM обеспечивает более качественный процесс настройки и обслуживания протоколов SSL/TLS для защищенных веб-сервисов и приложений. Управляемое обновление и развертывание позволяет избежать простоев из-за просроченных сертификатов. ACM работает как сервис, обеспечивая интеграцию с другими сервисами AWS. При желании вы можете выпускать экспортируемые публичные сертификаты, совместимые с интегрированными сервисами AWS, а также с любыми рабочими нагрузками, для которых требуются сертификаты TLS. Это позволяет централизованно управлять сертификатами и развертывать их на AWS с помощью Консоли управления AWS, интерфейса командной строки AWS или API-интерфейсов. С помощью частного CA можно создавать закрытые сертификаты, а затем экспортировать их. ACM обновляет экспортированные сертификаты, предоставляя возможность коду на стороне клиента загружать и развертывать их.

Публичные сертификаты

ACM может обновить публичные сертификаты ACM и выполнить их развертывание без дополнительной проверки со стороны владельца домена. Если сертификат не может быть обновлен без дополнительной проверки, ACM управляет процессом обновления, проверяя права владения или возможность управления доменом для всех доменных имен, указанных в сертификате. После проверки каждого доменного имени, указанного в сертификате, ACM обновляет сертификат и автоматически развертывает его на используемых ресурсах AWS. Если ACM не может проверить право владения доменом, сервис присылает соответствующее уведомление владельцу аккаунта AWS.

Если при запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять сертификат неограниченное количество раз, не требуя каких-либо действий со стороны клиента, если сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена. Если при запросе сертификата выбрана проверка с помощью электронной почты, вы можете улучшить возможности ACM, связанные с автоматическим обновлением и развертыванием сертификатов ACM, убедившись, что сертификат используется и все доменные имена, включенные в сертификат, ведут на ваш сайт и доступны из Интернета.

Частные сертификаты

ACM предоставляет два варианта управления частными сертификатами, выпущенными частным ЦС AWS. ACM предоставляет различные возможности обновления, которые зависят от способа управления частными сертификатами. Для каждого выпущенного частного сертификата можно выбрать наиболее подходящий вариант.

1. ACM может полностью автоматически обновлять частные сертификаты, выпущенные частным ЦС AWS и используемые для интегрированных с ACM сервисов (например, Эластичной балансировки нагрузки, API шлюза), а также управлять такими сертификатами. ACM может обновлять и развертывать частные сертификаты, выпущенные с использованием ACM, до тех пор, пока выдавший их частный центр сертификации находится в активном состоянии.

2. ACM автоматически обновляет частные сертификаты, экспортированные из ACM для использования с локальными ресурсами, инстансами EC2 и устройствами IoT. Клиент отвечает за получение нового сертификата и закрытого ключа, а также за их развертывание с приложения.

ACM начинает процесс обновления за 60 дней до истечения срока действия сертификата. В настоящее время сертификаты ACM действительны в течение 13 месяцев (395 дней). Подробнее об управляемом обновлении см. в Руководстве пользователя ACM.

Нет. ACM может обновить сертификат или повторно создать ключи и заменить старые без предварительного уведомления.

Если в запросе сертификата выбрана проверка с помощью записи DNS для публичного сертификата, ACM сможет обновлять ваш сертификат, не требуя каких-либо действий с вашей стороны, пока сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена.

Если вы выбрали проверку с помощью электронной почты при запросе публичного сертификата для пустого домена, убедитесь, что DNS-поиск пустого домена разрешается адресом ресурса AWS, связанного с сертификатом. Разрешение пустого домена в ресурсе AWS может быть непростой задачей, если вы не используете Route 53 или другой провайдер DNS, поддерживающий записи ресурса псевдонима (или эквивалентные им) для преобразования пустых доменов в ресурсы AWS. Подробнее см. в Руководстве разработчика по Route 53.

Нет. Соединения, устанавливаемые после развертывания нового сертификата, используют новый сертификат, при этом существующие соединения не затрагиваются.

Да.

Да, можно также использовать частный CA AWS для выпуска закрытых сертификатов, которые ACM может обновлять без проверки. Подробнее о том, как ACM осуществляет обновление публичных сертификатов, недоступных из публичного Интернета, и закрытых сертификатов, см. в разделе об управляемом обновлении и развертывании.

Да. Используя сервис AWS CloudTrail, вы можете просмотреть журналы и узнать, когда использовались закрытые ключи сертификата.

Журналы позволяют установить, какие пользователи и аккаунты делали вызовы API AWS для сервисов, поддерживающих AWS CloudTrail, IP-адрес источника, сделавшего вызовы, и время, когда они были сделаны. Например, можно установить, какой пользователь выполнил вызов API, чтобы связать сертификат, предоставленный ACM, с эластичным балансировщиком нагрузки, и когда сервис Эластичной балансировки нагрузки расшифровал ключ с помощью вызова API KMS.

Публичные и закрытые сертификаты, которые предоставляются с помощью Менеджера сертификатов AWS для использования в интегрированных с ACM сервисах (например, Эластичной балансировке нагрузки, Amazon CloudFront и API шлюзе Amazon), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Плата за Частный CA AWS взимается по модели с оплатой по мере применения. Подробную информацию и примеры см. на странице цен на Частный CA AWS.

Вопросы и ответы об использовании Частного CA AWS см. здесь.