Вопросы и ответы по AWS Certificate Manager

Вопрос. Что такое Менеджер сертификатов AWS?

Менеджер сертификатов AWS (ACM) – это сервис, позволяющий легко предоставлять и развертывать публичные и частные сертификаты уровня защищенных сокетов / безопасности транспортного уровня (SSL/TLS) для использования вместе с сервисами AWS или внутренними подключенными ресурсами, а также помогающий управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете, а также ресурсов в частных сетях. Сервис ACM избавляет от необходимости тратить время на покупку, загрузку и обновление сертификатов SSL/TLS вручную. Благодаря Менеджеру сертификатов AWS можно быстро запросить сертификат, выполнить его развертывание с помощью таких ресурсов AWS, как балансировщики нагрузки сервиса Эластичная балансировка нагрузки, базы раздачи Amazon CloudFront или API в API шлюзе Amazon, а также позволить сервису ACM выполнять обновление сертификатов. Данный сервис позволяет также создавать частные сертификаты для внутренних ресурсов и централизованно управлять жизненным циклом сертификатов. Публичные и частные сертификаты SSL/TLS, которые предоставляются с помощью ACM и используются только для интегрированных с ACM сервисов (например, Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Вы ежемесячно оплачиваете работу каждого частного центра сертификации до его удаления, а также выпущенные сертификаты, которые используются не только для интегрированных с ACM сервисов.

Вопрос: Что такое сертификат SSL/TLS?

Сертификаты SSL/TLS позволяют браузерам проверять подлинность веб-сайтов и устанавливать с ними зашифрованные сетевые соединения с использованием протокола Secure Sockets Layer/Transport Layer Security (SSL/TLS). Сертификаты используются в рамках криптографической системы, известной как инфраструктура открытого ключа (PKI). PKI дает одной стороне возможность устанавливать подлинность другой стороны с помощью сертификатов (при условии, что обе стороны доверяют третьей стороне, известной как центр сертификации). Чтобы получить дополнительную информацию, вы можете посетить раздел Понятия Руководства пользователя ACM.

Вопрос. Что такое частные сертификаты?

Частные сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют частные сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.

Вопрос: В чем разница между публичными и частными сертификатами?

Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты определяют ресурсы в общедоступном Интернете, а частные сертификаты – в частных сетях. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам администратору нужно явно настроить приложения. Публичные центры сертификации (организации, выдающие публичные сертификаты) должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Частные центры сертификации находятся под управлением частных организаций. Администраторы частных центров сертификации могут задавать собственные правила для выдачи частных сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат. 

Вопрос. Какие преимущества дает использование Менеджера сертификатов AWS (ACM)?

ACM упрощает использование протоколов SSL/TLS для веб-сайтов и приложений, работающих на платформе AWS. ACM устраняет необходимость в ряде ручных операций, связанных с использованием протоколов и управлением сертификатами SSL/TLS. ACM управляет обновлением сертификатов, что позволяет избежать простоев из-за неправильно настроенных, отозванных или просроченных сертификатов. Сервис обеспечивает защиту сетевых соединений с помощью протоколов SSL/TLS и простоту управления сертификатами. Использование протоколов SSL/TLS для сайтов с выходом в Интернет помогает улучшать ранжирование сайта в поисковых системах и обеспечивать соответствие нормативным требованиям в отношении шифрования данных при передаче.

При хранении и защите закрытых ключей сертификата сервис ACM для управления сертификатами использует криптостойкие алгоритмы шифрования и рекомендации по управлению ключами. ACM позволяет централизованно управлять всеми сертификатами SSL/TLS, выпущенными Менеджером сертификатов AWS в регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса ACM. ACM интегрирован с другими сервисами AWS, что позволяет запрашивать сертификаты SSL/TLS и выполнять их развертывание в Эластичном балансировщике нагрузки или базе раздачи Amazon CloudFront с помощью Консоли управления AWS, команд в интерфейсе командной строки AWS или вызовов API.

Вопрос. Какими типами сертификатов можно управлять с помощью ACM?

ACM позволяет управлять жизненным циклом публичных и частных сертификатов. Возможности ACM зависят от типа сертификата (публичный или частный), способа получения сертификата и места его развертывания.

Публичные сертификаты: вы можете запросить выпущенные Amazon публичные сертификаты в ACM. ACM управляет обновлением и развертыванием публичных сертификатов, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Эластичная балансировка нагрузки и API шлюз Amazon.

Частные сертификаты: можно делегировать управление частными сертификатами ACM. В этом случае ACM может автоматически обновлять и развертывать частные сертификаты, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway. Эти частные сертификаты можно просто развертывать с помощью Консоли управления AWS, API или интерфейса командной строки (CLI). Можно экспортировать частные сертификаты из ACM и использовать их с инстансами EC2, контейнерами, локальными серверами и устройствами IoT. Частный ЦС AWS автоматически обновляет эти сертификаты и после завершения обновления отправляет уведомление Amazon CloudWatch. Для загрузки обновленных сертификатов и закрытых ключей, а также их развертывания с помощью приложения можно создать код на стороне клиента.

Импортированные сертификаты: если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не имеет возможности обновлять импортированные сертификаты, но может вам помочь в управлении процессом обновления. Вы самостоятельно следите за сроком действия импортированных сертификатов и обеспечиваете их обновление до истечения этого срока. Метрики ACM CloudWatch можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.

Вопрос. Как начать работу с ACM?

Чтобы начать работу с ACM, перейдите к этому сервису в Консоли управления AWS и с помощью соответствующего мастера запросите сертификат SSL/TLS. Если вы уже создали частный ЦС, выберите тип сертификата – публичный или частный, а затем введите название своего сайта. Можно также запросить сертификат, используя интерфейс командной строки или API AWS. После выдачи сертификата его можно использовать в других сервисах AWS, интегрированных с ACM. Для каждого интегрированного сервиса требуется просто выбрать соответствующий сертификат SSL/TLS из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью команды интерфейса командной строки или вызова API AWS. После этого интегрированный сервис развертывает сертификат в выбранном вами ресурсе.  Подробнее об использовании сертификатов, предоставленных ACM, и об отправке запросов к ним см. в Руководстве пользователя ACM. Кроме использования частных сертификатов в интегрированных с ACM сервисах их можно экспортировать для использования на инстансах EC2, контейнерах ECS или в любых других средах.

Вопрос. С какими сервисами AWS можно использовать сертификаты ACM?

• Публичные и частные сертификаты ACM можно использовать со следующими сервисами AWS:
• Эластичная балансировка нагрузки – см. документацию по Elastic Load Balancing
• Amazon CloudFront – см. документацию по CloudFront
• API шлюз Amazon – см. документацию по API Gateway
• AWS CloudFormation – в настоящее время можно использовать только публичные и частные сертификаты, выпущенные ACM; см. документацию по AWS CloudFormation
• AWS Elastic Beanstalk – см. документацию по AWS Elastic Beanstalk
• AWS Nitro Enclaves – см. документацию по AWS Nitro Enclaves

Вопрос. В каких регионах доступен сервис ACM?

Актуальные сведения о доступности сервисов AWS по регионам см. на страницах глобальной инфраструктуры AWS. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния) или импортировать его в этот регион. Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Какими типами сертификатов управляет ACM?

ACM управляет публичными, частными и импортированными сертификатами. Подробнее о возможностях ACM см. в документации по выпуску сертификатов и управлению ими.

Вопрос. Может ли ACM предоставлять сертификаты для нескольких доменных имен?

Да. Каждый сертификат должен включать хотя бы одно доменное имя, при желании в сертификат можно включать дополнительные доменные имена. Например, можно добавить имя www.example.net в сертификат для доменного имени www.example.com, если пользователи могут обращаться к вашему сайту, используя любое из этих доменных имен. Вы должны быть собственником имен или управлять всеми именами, включенными в запрос сертификата. 

Вопрос: Что такое доменное имя с шаблоном подстановки?

Доменное имя с шаблоном подстановки подходит для любого поддомена верхнего (третьего и далее) уровня или имени узла домена. Поддомен верхнего уровня – это имя домена, состоящее из одной метки и не содержащее точки. Например, можно использовать имя *.example.com для защиты www.example.com, images.example.com и любого другого имени узла или поддомена третьего уровня, оканчивающегося на .example.com. Подробнее см. в Руководстве пользователя ACM.

Вопрос. Может ли ACM предоставлять сертификаты с доменными именами, указанными с использованием шаблонов подстановки?

Да.

Вопрос. Предоставляет ли ACM сертификаты за пределами SSL/TLS?

Нет.

Вопрос. Можно ли использовать сертификаты ACM для подписания кода или шифрования электронной почты?

Нет.

Вопрос. Предоставляет ли ACM сертификаты, используемые для подписи и шифрования электронной почты (сертификаты S/MIME)?

Нет.

Вопрос. Каков срок действия сертификатов ACM?

Сертификаты, выпущенные сервисом ACM, действительны в течение 13 месяцев (395 дней). Если выпускать частные сертификаты напрямую из частного ЦС и управлять ключами и сертификатами без использования ACM, для них можно задать любой срок действия, в том числе абсолютную дату истечения или период в днях, месяцах или годах от текущего времени.

Вопрос. Какие алгоритмы используются в сертификатах, выпущенных ACM?

По умолчанию в сертификатах, выпущенных в ACM, используются ключи RSA с 2048-разрядным модулем и SHA-256. Кроме того, вы можете запросить сертификаты с использованием алгоритма цифровой подписи на эллиптических кривых (ECDSA) с P-256 или P-384. Подробнее об алгоритмах см. в Руководстве пользователя ACM.

Вопрос. Как отозвать сертификат?

Чтобы отправить запрос на отзыв публичного сертификата сервисом ACM, перейдите в Центр Поддержки AWS и создайте соответствующую заявку. Как отозвать частный сертификат, выданный частным ЦС AWS, см. в Руководстве пользователя частного ЦС AWS. 

Вопрос. Можно ли использовать один и тот же сертификат ACM в нескольких регионах AWS?

Нет. Сертификаты ACM должны находиться в том же регионе, что и ресурс, для которого они используются. Единственное исключение – Amazon CloudFront, глобальный сервис, требующий хранения сертификатов в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.

Вопрос: Можно ли получить сертификат в сервисе ACM, если у меня уже есть сертификат для того же доменного имени от другого провайдера?

Да.

Вопрос. Можно ли использовать сертификаты на инстансах Amazon EC2 или на собственных серверах?

Частные сертификаты частного ЦС можно использовать с инстансами EC2, контейнерами и собственными серверами. В настоящее время публичные сертификаты ACM можно использовать только с определенными сервисами AWS, включая AWS Nitro Enclaves. См. интеграции сервисов AWS.

Вопрос. Допускает ли ACM применение в доменных именах символов национальных алфавитов, то есть использование так называемых интернационализированных доменных имен?

ACM не поддерживает символы национальных алфавитов в кодировке Unicode; при этом в доменных именах могут применяться символы национальных алфавитов в кодировке ASCII.

Вопрос: Какие форматы доменных меток разрешает использовать ACM?

ACM разрешает использование только символов ASCII в кодировке UTF-8, включая метки, содержащие префикс «xn--», который применяется для преобразования доменных имен в кодировку Punycode. ACM не принимает для доменных имен метки в формате Unicode.

 Вопрос. Можно ли импортировать и использовать в AWS сертификат стороннего центра сертификации?

Да. Если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.

Вопрос: Что такое публичные сертификаты?

Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты идентифицируют ресурсы в Интернете.

 Вопрос: Какой тип публичных сертификатов предоставляет ACM?

ACM предоставляет публичные сертификаты валидации домена (DV-сертификаты) для использования с веб-сайтами и приложениями, выполняющими терминацию SSL/TLS. Подробную информацию о сертификатах ACM см. в разделе Характеристики сертификатов.

 Вопрос: Доверяют ли браузеры, операционные системы и мобильные устройства публичным сертификатам ACM?

Публичным сертификатам ACM доверяет большинство современных браузеров, операционных систем и мобильных устройств. Сертификаты, предоставляемые сервисом ACM, поддерживаются в 99 % распространенных браузеров и операционных систем, включая Windows XP SP3 и Java версии 6 и выше.

 Вопрос. Как можно удостовериться, что мой браузер доверяет публичным сертификатам ACM?

В некоторых браузерах, которые доверяют сертификатам ACM, отображается значок замка и не появляются предупреждения о проблемах с сертификатом при подключении к сайтам, использующим сертификаты ACM для подключений SSL/TLS (например, по протоколу HTTPS).

Публичные сертификаты ACM подтверждены центром сертификации Amazon. Любой браузер, приложение или ОС, в доверенный список которых входят центры сертификации Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority – G2, доверяет сертификатам ACM. Дополнительные сведения о корневых центрах сертификации см. в репозитории Amazon Trust Services.

Вопрос. Предоставляет ли ACM публичные сертификаты с проверкой организации (OV-сертификаты) или с расширенной проверкой (EV-сертификаты)?

Нет.

Вопрос. Где описаны политики и практики Amazon по выпуску публичных сертификатов?

Все описания приводятся в Положении о сертификационной политике и Положении о сертификационной практике компании Amazon Trust Services. Последние версии этих документов см. в репозитории Amazon Trust Services.

Вопрос. Будет ли сертификат для ресурса www.example.com работать также и для ресурса example.com?

Нет. Чтобы сайт был доступен через оба доменных имени (www.example.com и example.com), необходимо запросить сертификат, включающий оба имени.

Вопрос. Как ACM может помочь моей организации в соблюдении требований?

Использование ACM помогает обеспечить соответствие нормативным требованиям, упрощая процессы установления безопасных соединений, которые входят в типовые требования многих стандартов (например, PCI, FedRAMP и HIPAA). Подробную информацию по вопросам соответствия требованиям см. в разделе http://aws.amazon.com/compliance.

Вопрос. Предусмотрено ли в сервисе ACM соглашение об уровне обслуживания?

Нет. ACM не предусматривает SLA. 

Вопрос. Предоставляет ли ACM знак сертификата защищенности сайта или логотип доверия, которые я могу отобразить на моем веб‑сайте?

Нет. Если вы хотите использовать на сайте печать безопасности, можете получить ее у стороннего поставщика. Мы рекомендуем обратиться к поставщику, который может оценить и подтвердить безопасность вашего сайта, или ваших коммерческих принципов, или и того, и другого.

 Вопрос: Разрешает ли компания Amazon использовать ее торговые марки или логотип в качестве значка сертификации, печати безопасности или логотипа доверия?

Нет. Печати и значки этого типа могут быть скопированы на сайты, не использующие сервис ACM, и могут использоваться ненадлежащим способом, чтобы обманным путем вызвать доверие. В целях защиты наших клиентов и репутации компании Amazon мы не разрешаем использовать наш логотип подобным образом.

 

Вопрос. Как создать публичный сертификат в сервисе ACM?

Вы можете использовать Консоль управления AWS, интерфейсы командной строки AWS, а также API или SDK ACM. При использовании Консоли управления AWS перейдите к разделу «Certificate Manager», выберите пункт «Request a certificate» (Запросить сертификат), выберите пункт «Request a public certificate» (Запросить публичный сертификат), введите доменное имя сайта и завершите формирование запроса, следуя инструкциям на экране. Если для доступа к сайту пользователи могут использовать другие доменные имена, можно включить в запрос эти дополнительные имена. Прежде чем ACM сможет выдать сертификат, он проверит, действительно ли вы владеете / управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS требуется добавить запись в публичную конфигурацию DNS для своего домена, чтобы подтвердить, что вы владеете доменом или управляете им. После однократной проверки управления доменом с помощью записи DNS можно получить дополнительные сертификаты, и ACM может обновлять существующие сертификаты для домена, пока запись будет присутствовать, а сертификат – использоваться. Повторная проверка управления доменом не потребуется. Если выбрать проверку с помощью электронной почты вместо проверки с помощью записи DNS, владельцу домена будут отправлены электронные письма с запросом подтверждения на выдачу сертификата. После подтверждения права владения или возможности управления для каждого доменного имени, указанного в запросе, сертификат будет выдан и готов к использованию с другими сервисами AWS, например Elastic Load Balancing или Amazon CloudFront. Подробности см. в документации ACM.

Вопрос: Почему ACM проверяет право владения доменом для публичных сертификатов?

Сертификаты используются для установления подлинности веб-сайта и безопасного соединения между браузерами и приложениями или сайтом. Для выдачи публичного доверенного сертификата Amazon должен убедиться, что сторона, запросившая сертификат, управляет доменным именем, указанным в запросе.

Вопрос. Каким образом ACM проверяет право владения доменом перед выдачей публичного сертификата для домена?

Перед выдачей сертификата ACM проверяет, действительно ли вы владеете или управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив запись CNAME в конфигурацию DNS. Подробнее см. в разделе Проверка с помощью записи DNS. Если у вас нет возможности добавлять записи в публичную конфигурацию DNS указанного домена, вы можете использовать вместо проверки с помощью записи DNS проверку с помощью электронной почты. При проверке с помощью электронной почты ACM отправляет электронные письма зарегистрированному владельцу домена, а владелец или его уполномоченный представитель может подтвердить выпуск сертификата для каждого доменного имени, указанного в запросе на сертификат. Подробнее см. в разделе Проверка с помощью электронной почты.

Вопрос. Какой метод проверки для публичного сертификата следует использовать: с помощью записи DNS или с помощью электронной почты?

Если у вас есть возможность изменить конфигурацию DNS для указанного домена, рекомендуется использовать проверку с помощью записи DNS. Для клиентов, которые не могут получить проверочные письма от ACM по электронной почте или у которых регистратор домена не публикует контактную информацию с адресом электронной почты владельца домена в WHOIS, проверка с помощью записи DNS является обязательной. Если вы не можете изменить свою конфигурацию DNS, следует использовать проверку с помощью электронной почты.

Вопрос. Можно ли для существующего публичного сертификата изменить способ проверки с помощью электронной почты на проверку с помощью записи DNS?

Нет. Однако можно запросить в ACM новый бесплатный сертификат и выбрать для нового сертификата проверку с помощью записи DNS.

Вопрос: Сколько времени занимает выпуск публичного сертификата?

Для выдачи сертификата после проверки всех доменных имен, указанных в запросе на сертификат, может потребоваться несколько часов.

Вопрос: Что происходит при запросе публичного сертификата?

ACM пытается проверить право владения или возможность управления для каждого доменного имени, указанного в запросе на сертификат, в соответствии с выбранным во время запроса методом проверки (с помощью записи DNS или с помощью электронной почты). Пока ACM проверяет, действительно ли вы владеете или управляете доменом, запрос сертификата будет иметь статус «Pending validation» (Ожидает проверки). Дополнительные сведения о процессе проверки см. ниже в разделах Проверка с помощью записи DNS и Проверка с помощью электронной почты. После проверки всех доменных имен, указанных в запросе на сертификат, для выдачи сертификата может потребоваться несколько часов. После выдачи сертификата статус запроса сертификата изменяется на «Issued» (Выпущен), а сам сертификат можно использовать для других сервисов AWS, интегрированных с ACM.

Вопрос: Проверяет ли ACM записи авторизации центра сертификации (CAA) перед выпуском публичных сертификатов?

Да. Записи авторизации центра сертификации (CAA) позволяют владельцам доменов указывать, какие органы сертификации уполномочены выдавать сертификаты для их доменов. При запросе сертификата ACM AWS Certificate Manager ищет запись CAA в конфигурации зоны DNS для соответствующего домена. Если запись CAA отсутствует, сертификат для домена может выдать Amazon. Большинство клиентов относятся к этой категории.

Если конфигурация DNS содержит запись CAA, для выдачи домену сертификата Amazon в ней должен быть указан один из следующих центров сертификации: amazon.com, amazontrust.com, awstrust.com или amazonaws.com. Подробные сведения см. в разделе Настройка записи CAA или Устранение проблем с CAA Руководства пользователя AWS Certificate Manager.

Вопрос: Поддерживает ли ACM другие способы проверки домена?

В настоящий момент нет.

Вопрос. Что такое проверка с помощью записи DNS?

При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив в конфигурацию DNS запись CNAME. Проверка с помощью записи DNS позволяет при запросе публичных сертификатов SSL/TLS из ACM легко подтвердить, что вы являетесь владельцем домена.

Вопрос. Каковы преимущества использования проверки с помощью записи DNS?

Проверка с помощью записи DNS позволяет легко подтвердить, что вы владеете или управляете доменом, для получения сертификата SSL/TLS. При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока присутствует проверочная запись DNS. Обновление выполняется автоматически и не требует вмешательства пользователя.

Вопрос. Кому рекомендуется использовать проверку с помощью записи DNS?

Возможность использования проверки с помощью записи DNS следует рассмотреть всем, кто запрашивает сертификат через ACM и может изменять конфигурацию DNS для запрашиваемого домена.

Вопрос. Продолжает ли ACM поддерживать проверку с помощью электронной почты?

Да. ACM продолжает поддерживать проверку с помощью электронной почты для клиентов, которые не могут изменить конфигурацию DNS.

Вопрос. Какие записи необходимо добавить в мою конфигурацию DNS для проверки домена?

Необходимо добавить запись CNAME для домена, который требуется проверить. Например, чтобы проверить имя www.example.com, добавьте запись CNAME в зону для example.com. Добавленная запись содержит уникальный токен, который ACM генерирует специально для этого домена и вашего аккаунта AWS. Получить две части записи CNAME (имя и метку) можно в ACM. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос. Как добавить или изменить записи DNS для моего домена?

Для получения дополнительных сведений о том, как добавить или изменить записи DNS, обратитесь к провайдеру DNS. В документации по DNS сервиса Amazon Route 53 содержится дополнительная информация для клиентов, использующих DNS в Amazon Route 53.

Вопрос. Позволяет ли ACM упростить проверку с помощью записи DNS для клиентов, использующих DNS Amazon Route 53?

Да. Для клиентов, которые используют для управления записями DNS сервис Amazon Route 53, при запросе сертификата консоль ACM может автоматически добавлять записи в конфигурацию DNS. Ваша зона хостинга DNS Route 53 для домена должна быть настроена в том же аккаунте AWS, из которого подается запрос, при этом у вас должны быть достаточные разрешения для внесения изменений в конфигурацию Amazon Route 53. Дополнительные инструкции см. в Руководстве пользователя ACM.

Вопрос. Требуется ли для проверки с помощью записи DNS использовать определенного провайдера DNS?

Нет. Проверку с помощью записи DNS можно использовать с любым провайдером DNS, если он позволяет добавить запись CNAME в конфигурацию DNS.

Вопрос. Сколько записей DNS мне потребуется добавить, если мне необходимо несколько сертификатов для одного и того же домена?

Одну. Можно получить несколько сертификатов для одного доменного имени в одном аккаунте AWS, используя одну запись CNAME. Например, если вы подаете 2 запроса на сертификат из одного и того же аккаунта AWS для одного и того же доменного имени, вам потребуется только 1 запись CNAME DNS.

Вопрос. Можно ли проверить несколько доменных имен с помощью одной записи CNAME?

Нет. У каждого доменного имени должна быть уникальная запись CNAME.

Вопрос. Можно ли проверить доменное имя с шаблоном подстановки, используя проверку с помощью записи DNS?

Да.

Вопрос. Как ACM создает записи CNAME?

Записи CNAME DNS состоят из двух компонентов: имени и метки. Имя записи CNAME, созданной ACM, состоит из символа подчеркивания (_), за которым следует токен, который является уникальной строкой, связанной с конкретным аккаунтом AWS и доменным именем. ACM добавляет знак подчеркивания и токен к вашему доменному имени для создания компонента имени. Соответствующую метку ACM создает из символа подчеркивания, добавленного к другому токену, который также связан с конкретным аккаунтом AWS и доменным именем. ACM добавляет символ подчеркивания и токен к доменному имени DNS, используемому AWS для проверки подлинности (acm-validations.aws). В следующих примерах показано форматирование записей CNAME для www.example.com, subdomain.example.com и *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Обратите внимание на то, что ACM удаляет знак подстановки (*) при создании записей CNAME для имен с использованием шаблонов. В результате этого запись CNAME, созданная ACM для такого имени (например, *.example.com), является той же записью, которая была возвращена для доменного имени без метки с подстановочным знаком (example.com).

Вопрос. Можно ли проверить все поддомены домена, используя одну запись CNAME?

Нет. Для каждого доменного имени, включая имена хостов и имена поддоменов, должна выполняться отдельная проверка с помощью уникальной записи CNAME.

Вопрос. Почему ACM использует для проверки с помощью записи DNS записи CNAME, а не записи TXT?

Использование записи CNAME позволяет ACM обновлять сертификаты, пока существует запись CNAME. Запись CNAME направляется на запись TXT в домене AWS (acm-validations.aws), которую ACM может обновлять по мере необходимости для проверки или повторной проверки доменного имени без необходимости выполнения каких-либо действий со стороны клиента.

Вопрос. Работает ли проверка с помощью записи DNS между регионами AWS?

Да. Можно создать одну запись CNAME DNS и использовать ее для получения сертификатов в том же аккаунте AWS в любом регионе AWS, где работает сервис ACM. Настроив запись CNAME один раз, вы сможете обеспечить выпуск и обновление сертификатов из ACM для доменного имени без создания другой записи.

Вопрос. Можно ли выбрать разные методы проверки в рамках одного сертификата?

Нет. Для каждого сертификата может использоваться только один метод проверки.

Вопрос. Как обновить сертификат, для которого использовалась проверка с помощью записи DNS?

ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока будет присутствовать запись DNS, используемая для проверки.

Вопрос. Можно ли отозвать разрешение на выдачу сертификатов для моего домена?

Да. Просто удалите запись CNAME. После удаления записи CNAME и распространения изменений через DNS ACM прекратит выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS. Время распространения изменений после удаления записи зависит от провайдера DNS.

Вопрос. Что произойдет при удалении записи CNAME?

Если вы удалите запись CNAME, ACM не сможет выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS.

Вопрос. Что такое проверка с помощью электронной почты?

При проверке с помощью электронной почты зарегистрированному владельцу каждого домена, указанного в запросе на сертификат, отправляется письмо с запросом на подтверждение. Владелец домена или уполномоченный представитель (подтверждающее лицо) может подтвердить запрос на сертификат, выполнив содержащиеся в электронном письме инструкции. Инструкции предлагают подтверждающему лицу нажать на содержащуюся в письме ссылку или скопировать эту ссылку в адресную строку браузера, чтобы перейти на веб-сайт для подтверждения. Подтверждающее лицо проверяет информацию, связанную с запросом на сертификат, например доменное имя, ID сертификата (ARN) и ID аккаунта AWS, инициировавшего запрос, и в случае правильно указанной информации подтверждает запрос.

Вопрос: Когда я запрашиваю сертификат и выбираю проверку с помощью электронной почты, на какие адреса электронной почты отправляется запрос на подтверждение сертификата?

При запросе сертификата с использованием проверки с помощью электронной почты служба WHOIS выполняет поиск всех доменных имен, содержащихся в запросе на сертификат, в своей базе и извлекает контактную информацию домена. Электронные письма отправляются лицу, на имя которого зарегистрирован домен, а также указанным для домена контактным лицам по административным и техническим вопросам. Кроме того, письмо отправляется на пять специальных адресов электронной почты, которые образованы путем добавления имен admin@, administrator@, hostmaster@, webmaster@ и postmaster@ к доменному имени, для которого запрашивается сертификат. Например, если вы запрашиваете сертификат для домена server.example.com, электронные письма на основе контактной информации, возвращаемой запросом WHOIS для домена example.com, будут отправлены лицу, на имя которого зарегистрирован домен, контактным лицам по административным и техническим вопросам, а также на адреса admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com и webmaster@server.example.com.

Пять специальных адресов электронной почты для доменных имен, которые начинаются с «www», или для универсальных имен, которые начинаются со звездочки (*), формируются по другому принципу. ACM удаляет начальные символы «www» или звездочку, и электронное письмо отправляется на административные адреса, формируемые путем добавления имен admin@, administrator@, hostmaster@, postmaster@ и webmaster@ к оставшейся части доменного имени. Например, при запросе сертификата для домена www.example.com электронное письмо отправляется на адреса контактных лиц в сервисе WHOIS, как описано выше, а также на адрес admin@example.com, а не admin@www.example.com. Остальные четыре специальных адреса электронной почты формируются аналогичным образом.

После отправки запроса на сертификат вы можете просмотреть список электронных адресов, на которые было отправлено электронное письмо для каждого домена, с помощью консоли ACM, интерфейса командной строки или API AWS.

Вопрос: Можно ли настраивать адреса электронной почты, на которые отправляется запрос на подтверждение сертификата?

Нет, но вы можете настроить базовое доменное имя, на которое будет отправлено проверочное письмо. Базовое доменное имя должно быть супердоменом для доменного имени в запросе на сертификат. Например, если вы хотите запросить сертификат для ресурса server.domain.example.com, но хотите направить электронные письма для подтверждения сертификата на адрес admin@domain.example.com, вы можете сделать это, используя интерфейс командной строки или API AWS. Подробности см. в Справочнике по интерфейсу командной строки ACM и Справочнике по API ACM.

Вопрос: Можно ли использовать домены, содержащие контакты прокси-сервера (например, Privacy Guard или WhoisGuard)?

Да, однако доставка электронной почты из-за прокси-сервера может занять больше времени. Электронная почта, отправленная через прокси-сервер, может попасть в папку спама. Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Вопрос: Может ли ACM проверить подлинность моей идентификации, используя информацию о техническом контактном лице моего аккаунта AWS?

Процедуры и политики проверки подлинности идентификационных данных владельца домена очень жесткие. Стандарты политик для публичных доверенных центров сертификации устанавливает организация CA/Browser Forum. Подробнее см. в последней версии Положения о сертификационной практике компании Amazon Trust Services в репозитории Amazon Trust Services.

Вопрос: Что делать, если письмо с подтверждением не приходит?

Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.

Вопрос: Как осуществляется управление закрытыми ключами сертификатов, предоставляемых ACM?

Для каждого сертификата, предоставляемого ACM, создается пара ключей. ACM разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.

 Вопрос: Копирует ли ACM сертификаты в другие регионы AWS?

Нет. Закрытый ключ каждого сертификата ACM хранится в том регионе, в котором был запрошен сертификат. Например, если вы получили новый сертификат в регионе Восток США (Северная Вирджиния), ACM хранит закрытый ключ в регионе Восток США (Северная Вирджиния). Сертификаты ACM копируются в другие регионы только тогда, когда они связаны с базой раздачи CloudFront. В этом случае CloudFront распространяет сертификат ACM в местоположения, определенные для вашей базы раздачи.

Вопрос: Что представляет собой управляемое обновление и развертывание сервиса ACM?

Возможность управляемого обновления и развертывания ACM управляет процессом обновления сертификатов SSL/TLS, предоставляемых ACM, и их дальнейшим развертыванием.

Вопрос: Каковы преимущества использования управляемого обновления и развертывания ACM?

ACM может управлять обновлением и развертыванием сертификатов SSL/TLS. По сравнению с ручными процедурами, при которых возможны ошибки, ACM обеспечивает более качественный процесс настройки и обслуживания протоколов SSL/TLS для защищенных веб-сервисов и приложений. Управляемое обновление и развертывание позволяет избежать простоев из-за просроченных сертификатов. ACM работает как сервис, обеспечивая интеграцию с другими сервисами AWS. Это позволяет централизованно управлять сертификатами и развертывать их на платформе AWS с помощью Консоли управления AWS, интерфейса командной строки AWS или API-интерфейсов. С помощью частного ЦС можно создавать частные сертификаты, а затем экспортировать их. ACM обновляет экспортированные сертификаты, предоставляя возможность коду на стороне клиента загружать и развертывать их. 

Вопрос: Для каких сертификатов ACM можно использовать автоматическое обновление и развертывание?

Публичные сертификаты

ACM может обновить публичные сертификаты ACM и выполнить их развертывание без дополнительной проверки со стороны владельца домена. Если сертификат не может быть обновлен без дополнительной проверки, ACM управляет процессом обновления, проверяя права владения или возможность управления доменом для всех доменных имен, указанных в сертификате. После проверки каждого доменного имени, указанного в сертификате, ACM обновляет сертификат и автоматически развертывает его на используемых ресурсах AWS. Если ACM не может проверить право владения доменом, сервис присылает соответствующее уведомление владельцу аккаунта AWS.

Если при запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять сертификат неограниченное количество раз, не требуя каких-либо действий со стороны клиента, если сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена. Если при запросе сертификата выбрана проверка с помощью электронной почты, вы можете улучшить возможности ACM, связанные с автоматическим обновлением и развертыванием сертификатов ACM, убедившись, что сертификат используется и все доменные имена, включенные в сертификат, ведут на ваш сайт и доступны из Интернета.

Частные сертификаты

ACM предоставляет два варианта управления частными сертификатами, выпущенными частным ЦС AWS. ACM предоставляет различные возможности обновления, которые зависят от способа управления частными сертификатами. Для каждого выпущенного частного сертификата можно выбрать наиболее подходящий вариант.

1. ACM может полностью автоматически обновлять частные сертификаты, выпущенные частным ЦС AWS и используемые для интегрированных с ACM сервисов (например, Эластичной балансировки нагрузки, API шлюза), а также управлять такими сертификатами. ACM может обновлять и развертывать частные сертификаты, выпущенные с использованием ACM, до тех пор, пока выдавший их частный центр сертификации находится в активном состоянии.

2. ACM автоматически обновляет частные сертификаты, экспортированные из ACM для использования с локальными ресурсами, инстансами EC2 и устройствами IoT. Клиент отвечает за получение нового сертификата и закрытого ключа, а также за их развертывание с приложения.

Вопрос. Когда ACM обновляет сертификаты?

ACM начинает процесс обновления за 60 дней до истечения срока действия сертификата. В настоящее время сертификаты ACM действительны в течение 13 месяцев (395 дней). Подробнее об управляемом обновлении см. в Руководстве пользователя ACM.

Вопрос: Буду ли я предварительно извещен об обновлении сертификата и развертывании нового сертификата?

Нет. ACM может обновить сертификат или повторно создать ключи и заменить старые без предварительного уведомления.

Вопрос: Может ли ACM обновить публичные сертификаты, содержащие пустые домены, такие как example.com (также известные как начало зоны)?

Если в запросе сертификата выбрана проверка с помощью записи DNS для публичного сертификата, ACM сможет обновлять ваш сертификат, не требуя каких-либо действий с вашей стороны, пока сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена.

Если вы выбрали проверку с помощью электронной почты при запросе публичного сертификата для пустого домена, убедитесь, что DNS-поиск пустого домена разрешается адресом ресурса AWS, связанного с сертификатом. Разрешение пустого домена в ресурсе AWS может быть непростой задачей, если вы не используете Route 53 или другой провайдер DNS, поддерживающий записи ресурса псевдонима (или эквивалентные им) для преобразования пустых доменов в ресурсы AWS. Подробнее см. в Руководстве разработчика по Route 53.

Вопрос: Будут ли закрыты текущие подключения к сайту в процессе развертывания ACM обновленного сертификата?

Нет. Соединения, устанавливаемые после развертывания нового сертификата, используют новый сертификат, при этом существующие соединения не затрагиваются.

Вопрос. Можно ли использовать один и тот же сертификат с несколькими эластичными балансировщиками нагрузки и несколькими базами раздачи CloudFront?

Да.

Вопрос. Можно ли использовать публичные сертификаты для внутренних балансировщиков Эластичной балансировки нагрузки, не имеющих доступа к публичному Интернету?

Да, можно также использовать частный ЦС AWS для выпуска частных сертификатов, которые ACM может обновлять без проверки. Подробнее о том, как ACM осуществляет обновление публичных сертификатов, недоступных из публичного Интернета, и частных сертификатов, см. в разделе Управляемое обновление и развертывание.

 Вопрос. Можно ли проверить использование закрытого ключа сертификата?

Да. Используя сервис AWS CloudTrail, вы можете просмотреть журналы и узнать, когда использовались закрытые ключи сертификата.

Вопрос. Какие данные журналов доступны в сервисе AWS CloudTrail?

Журналы позволяют установить, какие пользователи и аккаунты делали вызовы API AWS для сервисов, поддерживающих AWS CloudTrail, IP-адрес источника, сделавшего вызовы, и время, когда они были сделаны. Например, можно установить, какой пользователь выполнил вызов API, чтобы связать сертификат, предоставленный ACM, с эластичным балансировщиком нагрузки, и когда сервис Эластичной балансировки нагрузки расшифровал ключ с помощью вызова API KMS.

Вопрос: Каков принцип оплаты за использование сертификатов ACM?

Публичные и частные сертификаты, которые предоставляются с помощью Менеджера сертификатов AWS для использования в интегрированных с ACM сервисах (например, Эластичная балансировка нагрузки, Amazon CloudFront и API шлюз Amazon), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Плата за частный ЦС AWS взимается по модели с оплатой по мере использования. Подробную информацию и примеры см. на странице цен на Частный ЦС AWS.

Вопрос. Где найти информацию о Частном ЦС AWS?

Вопросы и ответы об использовании частного ЦС AWS см. здесь.