ข้อมูลทั่วไป

ถาม: AWS Certificate Manager (ACM) คืออะไร

AWS Certificate Manager เป็นบริการที่ช่วยให้คุณสามารถเตรียมใช้งาน จัดการ และปรับใช้ใบรับรอง Secure Sockets Layer/Transport Layer Security (SSL/TLS) แบบสาธารณะหรือแบบส่วนตัวเพื่อใช้กับบริการของ AWS และทรัพยากรที่เชื่อมต่อภายในของคุณ ใบรับรอง SSL/TLS จะใช้ในการรักษาความปลอดภัยการสื่อสารผ่านเครือข่ายและสร้างข้อมูลประจำตัวของเว็บไซต์ผ่านทางอินเทอร์เน็ตซึ่งรวมถึงแหล่งข้อมูลบนเครือข่ายส่วนตัวด้วย AWS Certificate Manager ช่วยขจัดกระบวนการที่ต้องทำด้วยตนเองซึ่งใช้เวลานาน เช่น การซื้อ การอัปโหลด และการต่ออายุใบรับรอง SSL/TLS AWS Certificate Manager ช่วยให้คุณสามารถขอใบรับรองได้อย่างรวดเร็ว ปรับใช้ใบรับรองนั้นกับทรัพยากร AWS เช่น Elastic Load Balancer, การกระจายของ Amazon CloudFront และ API บน API Gateway รวมทั้งช่วยให้ AWS Certificate Manager สามารถจัดการต่ออายุใบรับรองได้ นอกจากนี้ยังช่วยให้คุณสามารถสร้างใบรับรองส่วนตัวสำหรับทรัพยากรภายในและจัดการรอบการใช้งานของใบรับรองจากส่วนกลางได้ ไม่ต้องเสียค่าใช้จ่ายสำหรับใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวที่มีการเตรียมใช้งานผ่าน AWS Certificate Manager และนำไปใช้เฉพาะสำหรับบริการที่ผสานรวมกับ ACM เช่น Elastic Load Balancing, Amazon CloudFront และ Amazon API Gateway คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ คุณจ่ายค่าบริการรายเดือนสำหรับการดำเนินงานของ CA ส่วนตัวแต่ละรายการไปจนกระทั่งคุณลบรายการนั้นออก และต้องจ่ายค่าใบรับรองส่วนตัวที่คุณออกแต่ไม่ได้นำไปใช้เฉพาะสำหรับบริการที่ผสานรวมกับ ACM

ถาม: ใบรับรอง SSL/TLS คืออะไร

ใบรับรอง SSL/TLS ช่วยให้เว็บเบราว์เซอร์สามารถระบุและสร้างการเชื่อมต่อเครือข่ายที่มีการเข้ารหัสไปยังเว็บไซต์ที่ใช้โปรโตคอล Secure Sockets Layer/Transport Layer Security (SSL/TLS) ใบรับรองจะถูกนำไปใช้ในระบบการเข้ารหัสลับที่เรียกว่าโครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) PKI เป็นวิธีหนึ่งที่ช่วยให้ฝ่ายหนึ่งสามารถสร้างข้อมูลประจำตัวของอีกฝ่ายหนึ่งได้โดยใช้ใบรับรอง หากทั้งสองฝ่ายต่างเชื่อถือบุคคลอื่นที่เรียกว่าผู้ออกใบรับรอง หัวข้อแนวคิดในคู่มือผู้ใช้ ACM มีข้อมูลประวัติและคำจำกัดความเพิ่มเติม

ถาม: ใบรับรองส่วนตัวคืออะไร

ใบรับรองส่วนตัวจะระบุทรัพยากรภายในองค์กร เช่น แอปพลิเคชัน บริการ อุปกรณ์ และผู้ใช้ ในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ให้ปลอดภัย จะมีการนำใบรับรองและเทคนิคการเข้ารหัสลับมาใช้ที่ตำแหน่งข้อมูลแต่ละจุดเพื่อพิสูจน์ข้อมูลประจำตัวให้กับตำแหน่งข้อมูลอีกจุดหนึ่ง ตำแหน่งข้อมูล API ภายใน, เว็บเซิร์ฟเวอร์, ผู้ใช้ VPN, อุปกรณ์ IoT และแอปพลิเคชันอื่นๆ อีกมากมายจะใช้ใบรับรองส่วนตัวในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ซึ่งจำเป็นต่อการดำเนินการที่ปลอดภัยของตน

ถาม: ใบรับรองส่วนตัวและใบรับรองสาธารณะแตกต่างกันอย่างไร

ใบรับรองสาธารณะและใบรับรองส่วนตัวจะช่วยลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้เหมือนกัน ใบรับรองสาธารณะจะระบุทรัพยากรบนอินเทอร์เน็ตสาธารณะในขณะที่ใบรับรองส่วนตัวก็ทำสิ่งเดียวกันบนเครือข่ายส่วนตัว ความแตกต่างที่สำคัญข้อหนึ่งคือแอปพลิเคชันและเบราว์เซอร์จะเชื่อถือใบรับรองสาธารณะโดยอัตโนมัติตามค่าเริ่มต้น ในขณะที่สำหรับใบรับรองส่วนตัว ผู้ดูแลระบบต้องกำหนดค่าแอปพลิเคชันโดยชัดแจ้งว่าให้เชื่อถือ CA สาธารณะเป็นหน่วยงานออกใบรับรองสาธารณะ ต้องทำตามกฎอย่างเคร่งครัด มีการแสดงผลการดำเนินงาน และเป็นไปตามมาตรฐานการรักษาความปลอดภัยที่ผู้จัดจำหน่ายเบราว์เซอร์และระบบปฏิบัติการซึ่งเป็นผู้ที่ตัดสินใจว่าจะให้เบราว์เซอร์และระบบปฏิบัติการของตนเชื่อถือ CA ใดโดยอัตโนมัติได้กำหนดไว้ CA ส่วนตัวได้รับการจัดการโดยองค์กรภาคเอกชน ดังนั้น ผู้ดูแลระบบของ CA ส่วนตัวจะสามารถสร้างกฎสำหรับการออกใบรับรองส่วนตัว รวมถึงแนวทางปฏิบัติสำหรับการออกใบรับรองและข้อมูลที่จะระบุลงในใบรับรองนั้นเองได้ โปรดดูผู้ออกใบรับรองส่วนตัวของ ACM ทางด้านล่างเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับใบรับรองส่วนตัวและ CA ส่วนตัว

ถาม: การใช้ AWS Certificate Manager (ACM) และผู้ออกใบรับรอง (CA) ส่วนตัวของ ACM มีประโยชน์อย่างไร

ACM ทำให้เปิดใช้งาน SSL/TLS สำหรับเว็บไซต์หรือแอปพลิเคชันบนแพลตฟอร์ม AWS ได้ง่ายยิ่งขึ้น ACM ช่วยขจัดกระบวนการต่างๆ ที่ก่อนหน้านี้ต้องทำด้วยตนเองเกี่ยวกับการใช้และการจัดการใบรับรอง SSL/TLS นอกจากนี้ ACM ยังจัดการต่ออายุ ซึ่งช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองมีการกำหนดค่าผิด ถูกเพิกถอน หรือหมดอายุลงได้ คุณได้รับการป้องกัน SSL/TLS และการจัดการใบรับรองที่ง่ายดาย การเปิดใช้งาน SSL/TLS สำหรับเว็บไซต์แบบเข้าถึงผ่านอินเทอร์เน็ตจะช่วยปรับปรุงอันดับการค้นหาเว็บไซต์ให้ดีขึ้นและช่วยให้คุณปฏิบัติตามข้อกำหนดสำหรับการเข้ารหัสข้อมูลระหว่างจัดส่ง

เมื่อคุณใช้ ACM จัดการใบรับรอง ระบบจะป้องกันและจัดเก็บคีย์ส่วนตัวของใบรับรองให้ปลอดภัยโดยใช้แนวทางปฏิบัติที่ดีที่สุดในการเข้ารหัสที่แน่นหนาและการจัดการคีย์ ACM ช่วยให้คุณสามารถใช้ AWS Management Console, AWS CLI หรือ AWS Certificate Manager API เพื่อจัดการ SSL/TLS ACM Certificates ทั้งหมดในภูมิภาค AWS ได้จากส่วนกลาง ACM มีการผสานรวมเข้ากับบริการอื่นๆ ของ AWS ดังนั้นคุณสามารถขอใบรับรอง SSL/TLS และเตรียมใช้งานใบรับรองนั้นกับโหลดบาลานเซอร์ของ Elastic Load Balancing หรือการกระจายของ Amazon CloudFront จาก AWS Management Console ผ่านคำสั่ง AWS CLI หรือด้วยการเรียกใช้ API

ACM Private CA คือบริการ CA ส่วนตัวที่มีการจัดการ ซึ่งจะช่วยให้คุณสามารถจัดการรอบการใช้งานของใบรับรองส่วนตัวได้อย่างง่ายดายและปลอดภัย ACM Private CA ให้บริการ CA ส่วนตัวที่มีความพร้อมใช้งานสูงโดยไม่ต้องลงทุนล่วงหน้าและไม่มีค่าบำรุงรักษาต่อเนื่องในการดำเนินงาน CA ส่วนตัวของคุณเอง ACM Private CA ขยายขีดความสามารถในการจัดการใบรับรองจาก ACM ไปยังใบรับรองส่วนตัว คุณจึงสามารถจัดการใบรับรองสาธารณะและใบรับรองส่วนตัวได้จากส่วนกลาง ACM Private CA ช่วยให้ Developer คล่องตัวมากยิ่งขึ้นโดยมอบ API ที่ใช้สร้างและปรับใช้ใบรับรองส่วนตัวโดยโปรแกรม นอกจากนี้คุณยังมีความยืดหยุ่นในการสร้างใบรับรองส่วนตัวสำหรับแอปพลิเคชันที่ต้องใช้อายุการใช้งานใบรับรองแบบกำหนดเองหรือชื่อทรัพยากร ACM Private CA ช่วยให้คุณสามารถสร้าง จัดการ และติดตามใบรับรองส่วนตัวสำหรับทรัพยากรที่เชื่อมต่อถึงกันในสถานที่หนึ่งได้ด้วยบริการ CA ส่วนตัวที่มีการจัดการอย่างปลอดภัยโดยเก็บค่าบริการที่ใช้ตามจริง

ถาม: ฉันสามารถใช้ ACM สร้างและจัดการใบรับรองประเภทใด

ACM ช่วยให้คุณสามารถจัดการรอบการใช้งานของใบรับรองสาธารณะและใบรับรองส่วนตัวได้ ความสามารถของ ACM ขึ้นอยู่กับใบรับรองว่าเป็นแบบสาธารณะหรือแบบส่วนตัว วิธีการได้รับใบรับรอง และที่ที่ปรับใช้ใบรับรองนั้น ดู ACM Public Certificates เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับใบรับรองสาธารณะและดูส่วน ACM Private CA ที่ด้านล่างเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับใบรับรองส่วนตัวและ CA ส่วนตัว

ใบรับรองสาธารณะ - ACM จัดการต่ออายุและปรับใช้ใบรับรองสาธารณะที่ใช้กับบริการที่ผสานรวมกับ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และ Amazon API Gateway

ใบรับรองส่วนตัว – ACM Private CA มีวิธีสร้างและจัดการใบรับรองส่วนตัวอยู่สามวิธี 1) คุณสามารถเลือกที่จะมอบหมายการจัดการใบรับรองส่วนตัวไปยัง ACM เมื่อใช้วิธีนี้ ACM จะสามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่ใช้กับบริการที่ผสานรวมกับ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และ Amazon API Gateway คุณสามารถปรับใช้ใบรับรองส่วนตัวเหล่านี้ได้อย่างง่ายดายโดยใช้ AWS Management Console, API และอินเทอร์เฟซบรรทัดคำสั่ง (CLI) 2) คุณสามารถส่งออกใบรับรองส่วนตัวได้จาก ACM และใช้ใบรับรองดังกล่าวกับอินสแตนซ์ EC2, คอนเทนเนอร์, เซิร์ฟเวอร์ในองค์กร และอุปกรณ์ IoT ACM Private CA จะต่ออายุใบรับรองเหล่านี้และส่งการแจ้งเตือนของ Amazon CloudWatch โดยอัตโนมัติเมื่อต่ออายุเสร็จแล้ว คุณสามารถเขียนโค้ดฝั่งไคลเอ็นต์เพื่อดาวน์โหลดใบรับรองที่ต่ออายุแล้วและคีย์ส่วนตัวได้ จากนั้นปรับใช้กับแอปพลิเคชันของคุณ 3) ACM Private CA ให้ความยืดหยุ่นในการสร้างคีย์ส่วนตัวของคุณเอง สร้างคำขอลงชื่อเข้าใช้ใบรับรอง (CSR) ออกใบรับรองส่วนตัวจาก ACM Private CA และจัดการคีย์กับใบรับรองด้วยตัวคุณเอง คุณต้องต่ออายุและปรับใช้ใบรับรองส่วนตัวเหล่านี้เอง

ใบรับรองที่นำเข้า – หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือ Amazon API Gateway คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้ AWS Management Console, AWS CLI หรือ ACM API ACM ไม่ดำเนินการต่ออายุให้กับใบรับรองที่นำเข้า คุณต้องตรวจสอบวันหมดอายุของใบรับรองที่นำเข้าและต่ออายุก่อนที่ใบรับรองนั้นจะหมดอายุลง คุณสามารถใช้ AWS Management Console ตรวจสอบวันหมดอายุของใบรับรองที่นำเข้า แล้วนำเข้าใบรับรองจากบริษัทอื่นใบใหม่เพื่อแทนใบที่หมดอายุ

ถาม: ฉันจะเริ่มต้นใช้งาน ACM อย่างไร

หากต้องการเริ่มต้นใช้งาน AWS Certificate Manager ให้ไปที่ Certificate Manager ใน AWS Management Console แล้วใช้วิซาร์ดเพื่อขอใบรับรอง SSL/TLS หากคุณสร้าง ACM Private CA แล้ว คุณสามารถเลือกได้ว่าต้องการใบรับรองสาธารณะหรือใบรับรองส่วนตัว จากนั้นระบุชื่อของเว็บไซต์ ดู ACM Private CA และ ACM Public Certificates ที่ด้านล่างเพื่อระบุประเภทของใบรับรองที่คุณต้องการและเรียนรู้เพิ่มเติมเกี่ยวกับ ACM Private CA นอกจากนี้คุณยังสามารถขอใบรับรองโดยใช้ AWS CLI หรือ API หลังจากออกใบรับรองแล้ว คุณสามารถใช้ใบรับรองนั้นกับบริการอื่นๆ ของ AWS ซึ่งมีการผสานรวมกับ ACM สำหรับแต่ละบริการที่มีการผสานรวมเข้าด้วยกัน คุณเพียงเลือกใบรับรอง SSL/TLS ที่ต้องการจากรายการดรอปดาวน์ใน AWS Management Console หรืออีกทางเลือกหนึ่ง คุณสามารถดำเนินการกับคำสั่ง AWS CLI หรือเรียกใช้ AWS API เพื่อเชื่อมโยงใบรับรองกับทรัพยากรของคุณได้ จากนั้นบริการที่ผสานรวมเข้าด้วยกันจะปรับใช้ใบรับรองกับทรัพยากรที่คุณเลือกไว้ ดูข้อมูลเพิ่มเติมเกี่ยวกับการขอและการใช้งานใบรับรองที่ได้รับจาก AWS Certificate Manager ได้ที่เริ่มต้นใช้งานในคู่มือผู้ใช้ AWS Certificate Manager นอกเหนือจากการใช้ใบรับรองส่วนตัวกับบริการที่ผสานรวมกับ ACM คุณยังสามารถใช้ใบรับรองส่วนตัวได้ใน EC2 instance, ECS Container หรือที่ใดก็ได้ ดูรายละเอียดเพิ่มเติมที่ใบรับรองส่วนตัว

ถาม: ฉันสามารถใช้ ACM Certificates กับบริการใดของ AWS ได้บ้าง

คุณสามารถใช้ ACM Certificates ทั้งแบบสาธารณะและแบบส่วนตัวได้กับบริการดังต่อไปนี้ของ AWS:
• Elastic Load Balancing – โปรดดูที่เอกสารประกอบ Elastic Load Balancing
• Amazon CloudFront – โปรดดูที่เอกสารประกอบ CloudFront
• Amazon API Gateway – โปรดดูที่เอกสารประกอบ API Gateway
• AWS Elastic Beanstalk – โปรดดูที่เอกสารประกอบ AWS Elastic Beanstalk
• AWS CloudFormation – ปัจจุบันรองรับเฉพาะใบรับรองสาธารณะที่ใช้การยืนยันด้วยอีเมลเท่านั้น โปรดดูที่เอกสารประกอบ AWS CloudFormation

นอกจากนี้ใบรับรองส่วนตัวที่ออกโดย ACM Private CA ยังสามารถใช้กับ EC2 instance, คอนเทนเนอร์, อุปกรณ์ IoT และเซิร์ฟเวอร์ของคุณเองได้

ถาม: ACM มีให้ใช้บริการในภูมิภาคใดบ้าง

โปรดไปที่หน้าAWS Global Infrastructure เพื่อดูการให้บริการในภูมิภาคปัจจุบันสำหรับบริการของ AWS หากต้องการใช้ใบรับรองจาก ACM กับ Amazon CloudFront คุณต้องขอหรือนำเข้าใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM Certificates ในภูมิภาคนี้ที่เชื่อมโยงกับการกระจายของ CloudFront จะถูกกระจายออกไปยังสถานที่ตั้งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับการกระจายนั้น

ผู้ออกใบรับรองส่วนตัวของ ACM

ถาม: ACM Private CA คืออะไร

ใบรับรองส่วนตัวจะใช้เพื่อระบุและรักษาความปลอดภัยในการสื่อสารระหว่างทรัพยากรที่เชื่อมต่อกับเครือข่ายส่วนตัว เช่น เซิร์ฟเวอร์ อุปกรณ์เคลื่อนที่ อุปกรณ์ IoT และแอปพลิเคชัน ACM Private CA คือบริการ CA ส่วนตัวที่มีการจัดการ ซึ่งจะช่วยให้คุณสามารถจัดการรอบการใช้งานของใบรับรองส่วนตัวได้อย่างง่ายดายและปลอดภัย ACM Private CA ให้บริการ CA ส่วนตัวที่มีความพร้อมใช้งานสูงโดยไม่ต้องลงทุนล่วงหน้าและไม่มีค่าบำรุงรักษาต่อเนื่องในการดำเนินงาน CA ส่วนตัวของคุณเอง ACM Private CA ขยายขีดความสามารถในการจัดการใบรับรองจาก ACM ไปยังใบรับรองส่วนตัว คุณจึงสามารถสร้างและจัดการใบรับรองสาธารณะและใบรับรองส่วนตัวได้จากส่วนกลาง คุณสามารถสร้างและปรับใช้ใบรับรองส่วนตัวให้กับทรัพยากร AWS ได้อย่างง่ายดายโดยใช้ AWS Management Console หรือ ACM API สำหรับ EC2 instance, คอนเทนเนอร์, อุปกรณ์ IoT และทรัพยากรในองค์กร คุณสามารถสร้างและติดตามใบรับรองส่วนตัวเพื่อใช้งานโค้ดสำหรับการทำงานอัตโนมัติฝั่งไคลเอ็นต์ของคุณเองเพื่อปรับใช้ได้อย่างง่ายดาย นอกจากนี้คุณยังมีความยืดหยุ่นในการสร้างใบรับรองส่วนตัวและจัดการใบรับรองดังกล่าวสำหรับแอปพลิเคชันที่ต้องใช้อายุการใช้งานใบรับรองแบบกำหนดเอง อัลกอริธึมที่สำคัญ หรือชื่อทรัพยากรได้ด้วยตัวคุณเอง เรียนรู้เพิ่มเติมเกี่ยวกับ ACM Private CA 

ถาม: ใบรับรองส่วนตัวคืออะไร

ใบรับรองส่วนตัวจะระบุทรัพยากรภายในองค์กร เช่น แอปพลิเคชัน บริการ อุปกรณ์ และผู้ใช้ ในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ให้ปลอดภัย จะมีการนำใบรับรองและเทคนิคการเข้ารหัสลับมาใช้ที่ตำแหน่งข้อมูลแต่ละจุดเพื่อพิสูจน์ข้อมูลประจำตัวให้กับตำแหน่งข้อมูลอีกจุดหนึ่ง ตำแหน่งข้อมูล API ภายใน, เว็บเซิร์ฟเวอร์, ผู้ใช้ VPN, อุปกรณ์ IoT และแอปพลิเคชันอื่นๆ อีกมากมายจะใช้ใบรับรองส่วนตัวในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ซึ่งจำเป็นต่อการดำเนินการที่ปลอดภัยของตน 

ถาม: ผู้ออกใบรับรอง (CA) ส่วนตัวคืออะไร

CA ส่วนตัวจะรับผิดชอบการออก การยืนยัน และการเพิกถอนใบรับรองส่วนตัวที่อยู่ภายในเครือข่ายส่วนตัว (นั่นคือ ไม่ใช่อินเทอร์เน็ตสาธารณะ) ซึ่งประกอบด้วยสององค์ประกอบหลัก: สิ่งแรกคือใบรับรองจาก CA ซึ่งเป็นบล็อกที่สร้างการเข้ารหัสลับที่สามารถออกใบรับรองได้ สิ่งที่สองคือชุดบริการรันไทม์สำหรับเก็บรักษาข้อมูลการเพิกถอนผ่านรายการเพิกถอนใบรับรอง (CRL) เมื่อทรัพยากรพยายามเชื่อมต่อถึงกันอยู่ ทรัพยากรดังกล่าวจะตรวจสอบ CRL สำหรับสถานะของใบรับรองที่แต่ละเอนทิตี้มีอยู่ หากใบรับรองนั้นใช้ได้ แฮนด์เชคระหว่างทรัพยากรก็สามารถทำสำเร็จได้ ซึ่งจะพิสูจน์ข้อมูลประจำตัวของแต่ละหน่วยงานให้แก่อีกฝ่ายโดยการเข้ารหัสลับและสร้างช่องทางการสื่อสาร (TLS/SSL) ที่เข้ารหัสไว้ระหว่างทรัพยากรนั้น

ถาม: ใบรับรองส่วนตัวและ CA ส่วนตัวแตกต่างจากใบรับรองสาธารณะและ CA สาธารณะอย่างไร

CA ส่วนตัวและ CA สาธารณะมีองค์ประกอบเดียวกัน แต่ CA สาธารณะต้องออกและยืนยันใบรับรองสำหรับทรัพยากรบนอินเทอร์เน็ตสาธารณะในขณะที่ CA ส่วนตัวก็ทำสิ่งเดียวกันบนเครือข่ายส่วนตัว ความแตกต่างที่สำคัญข้อหนึ่งคือแอปพลิเคชันและเบราว์เซอร์จะเชื่อถือใบรับรองสาธารณะโดยอัตโนมัติตามค่าเริ่มต้น แต่ทว่าผู้ดูแลระบบต้องกำหนดค่าแอปพลิเคชันโดยชัดแจ้งว่าให้เชื่อถือใบรับรองที่ออกโดย CA ส่วนตัว CA สาธารณะต้องทำตามกฎอย่างเคร่งครัด มีการแสดงผลการดำเนินงาน และเป็นไปตามมาตรฐานการรักษาความปลอดภัยที่ผู้จัดจำหน่ายเบราว์เซอร์และระบบปฏิบัติการซึ่งเป็นผู้ที่ตัดสินใจว่าจะให้เบราว์เซอร์และระบบปฏิบัติการของตนเชื่อถือ CA ใดโดยอัตโนมัติได้กำหนดไว้ ผู้ดูแลระบบของ CA ส่วนตัวจะสามารถสร้างกฎสำหรับการออกใบรับรองส่วนตัว รวมถึงแนวทางปฏิบัติสำหรับการออกใบรับรองและข้อมูลที่จะระบุลงในใบรับรองนั้นเองได้

ถาม: ทำไมองค์กรใช้ใบรับรองส่วนตัวแทนการใช้ใบรับรองสาธารณะ

ใบรับรองส่วนตัวให้ความยืดหยุ่นในการระบุสิ่งที่อยู่ในองค์กรได้เกือบทุกสิ่งโดยไม่ต้องเปิดเผยชื่อต่อสาธารณะ Wiki.internal, IP address 192.168.1.1, fire-sensor-123 และ user123 คือตัวอย่างของชื่อที่อาจใช้ในใบรับรองส่วนตัว ในทางตรงกันข้าม ใบรับรองสาธารณะจะกำหนดไว้อย่างเคร่งครัดว่าให้ระบุทรัพยากรด้วยชื่อ DNS สาธารณะ เช่น www.example.com ใบรับรองส่วนตัวสามารถระบุข้อมูลที่ห้ามไม่ให้ระบุไว้ในใบรับรองสาธารณะได้ แอปพลิเคชันระดับองค์กรบางแอปใช้ประโยชน์จากความสามารถนี้เพื่อเพิ่มข้อมูลพิเศษลงในใบรับรองส่วนตัว ขณะเดียวกันใบรับรองสาธารณะก็ไม่สามารถทำเช่นนี้ได้

ถาม: ใบรับรองประเภทลงชื่อรับรองเองคืออะไรและทำไมองค์กรควรใช้ใบรับรองจาก CA ส่วนตัวแทนการใช้ใบรับรองดังกล่าว

ใบรับรองประเภทลงชื่อรับรองเองคือใบรับรองที่ออกโดยไม่มี CA ทั้งนี้ใบรับรองประเภทลงชื่อรับรองเองจะดำเนินการเป็นแหล่งที่มาของตนเอง ด้วยเหตุนี้ใบรับรองดังกล่าวจึงมีขีดจำกัดที่สำคัญได้แก่ สามารถใช้ในการเข้ารหัสผ่านทางสายแต่ไม่สามารถยืนยันตัวตนและไม่สามารถเพิกถอนได้ ต่างจากใบรับรองที่ออกจากแหล่งที่มาที่ปลอดภัยซึ่งเก็บรักษาโดย CA ใบรับรองดังกล่าวไม่เป็นที่ยอมรับจากมุมมองด้านความปลอดภัยแต่องค์กรก็ยังใช้ไปแบบนั้น เนื่องจากสร้างง่าย ไม่ต้องมีความเชี่ยวชาญหรือโครงสร้างพื้นฐาน และแอปพลิเคชันจำนวนมากก็ยอมรับอยู่ ไม่มีการควบคุมการออกใบรับรองประเภทลงชื่อรับรองเอง องค์กรที่ใช้ใบรับรองดังกล่าวจะมีความเสี่ยงมากกว่าในเรื่องบริการที่ไม่พร้อมใช้งานซึ่งเกิดจากใบรับรองหมดอายุ เพราะว่าไม่มีวิธีติดตามวันหมดอายุ ACM Private CA ช่วยแก้ปัญหาเหล่านี้ได้

ถาม: ฉันจะเริ่มต้นใช้งาน ACM Private CA อย่างไร

หากต้องการเริ่มต้นใช้งาน ACM Private CA ให้ไปที่ Certificate Manager ใน AWS Management Console แล้วเลือก Private CA ที่ด้านซ้ายของหน้าจอ เลือก Get started (เริ่มต้นใช้งาน) เพื่อเริ่มสร้างผู้ออกใบรับรองส่วนตัว ไปที่เริ่มต้นใช้งานในคู่มือผู้ใช้ ACM Private CA เพื่อเรียนรู้เพิ่มเติม

ถาม: ฉันสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ ACM Private CA ได้จากที่ใด

โปรดดูที่หน้ารายละเอียด ACM Private CA, คู่มือผู้ใช้ ACM Private CA, ข้อมูลอ้างอิง ACM Private CA API และข้อมูลอ้างอิง ACM ใน AWS CLI เพื่อเรียนรู้เพิ่มเติม

ACM Certificates

ถาม: ACM จัดการใบรับรองประเภทใดได้บ้าง

ACM จัดการใบรับรองสาธารณะ ใบรับรองส่วนตัว และใบรับรองที่นำเข้า โปรดดูรายละเอียดเกี่ยวกับความสามารถในการจัดการจาก ACM ที่ใช้ได้กับใบรับรองแต่ละประเภทที่ [ถาม: ฉันจะใช้ ACM จัดการใบรับรองได้อย่างไร]

ถาม: ACM สามารถให้ใบรับรองที่มีชื่อโดเมนหลายชื่อได้หรือไม่

ได้ ใบรับรองแต่ละใบต้องระบุชื่อโดเมนอย่างน้อยหนึ่งชื่อ และหากต้องการ คุณก็สามารถใส่ชื่อเพิ่มเติมลงในใบรับรองได้อีก ตัวอย่างเช่น คุณสามารถใส่ชื่อ “www.example.net” ลงในใบรับรองสำหรับ “www.example.com” หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่อใดชื่อหนึ่ง คุณต้องเป็นเจ้าของหรือควบคุมทุกชื่อที่ระบุไว้ในคำขอใบรับรอง 

ถาม: Wildcard Domain Name คืออะไร

Wildcard Domain Name จะจับคู่กับโดเมนย่อยระดับแรกหรือชื่อโฮสต์ในโดเมน โดเมนย่อยระดับแรกคือป้ายชื่อโดเมนเดียวที่ไม่มีมหัพภาค (เครื่องหมายจุด) ตัวอย่างเช่น คุณสามารถใช้ชื่อ *.example.com เพื่อปกป้อง www.example.com, images.example.com และชื่อโฮสต์อื่นๆ หรือโดเมนย่อยระดับแรกที่ลงท้ายด้วย .example.com โปรดดูรายละเอียดเพิ่มเติมที่คู่มือผู้ใช้ ACM

ถาม: ACM สามารถให้ใบรับรองที่มี Wildcard Domain Name ได้หรือไม่

ได้

ถาม: ACM ให้ใบรับรองสำหรับสิ่งอื่นนอกเหนือจาก SSL/TLS ได้หรือไม่

ใบรับรองที่มีการจัดการใน ACM มีวัตถุประสงค์เพื่อใช้กับ SSL/TLS หากคุณออกใบรับรองส่วนตัวโดยตรงจาก ACM Private CA และจัดการคีย์กับใบรับรองโดยไม่ใช้ ACM สำหรับการจัดการใบรับรอง คุณจะสามารถกำหนดค่าหัวเรื่อง ระยะเวลาที่ใช้ได้ อัลกอริธึมที่สำคัญ และอัลกอริธึมลายเซ็นของใบรับรองส่วนตัวเหล่านี้และใช้ใบรับรองดังกล่าวกับ SSL/TLS และแอปพลิเคชันอื่นๆ

ถาม: ฉันสามารถใช้ใบรับรองจาก ACM สำหรับการลงชื่อโค้ดหรือการเข้ารหัสอีเมลได้หรือไม่

ไม่ได้

ถาม: ACM ให้ใบรับรองที่ใช้ในการลงชื่อและเข้ารหัสอีเมล (ใบรับรอง S/MIME) หรือไม่

ยังไม่มีในขณะนี้

ถาม: ACM Certificates มีระยะเวลาที่ใช้ได้นานเท่าใด

ใบรับรองที่ออกผ่าน ACM ใช้ได้นาน 13 เดือน หากคุณออกใบรับรองส่วนตัวโดยตรงจาก ACM Private CA และจัดการคีย์กับใบรับรองโดยไม่ใช้ ACM สำหรับการจัดการใบรับรอง คุณจะสามารถเลือกระยะเวลาที่ใช้ได้ รวมถึงวันที่สิ้นสุดแน่นอน หรือเวลาที่สัมพันธ์กัน นั่นคือวัน เดือน หรือปี โดยนับจากเวลาปัจจุบัน

ถาม: ACM Certificates ใช้อัลกอริธึมใด

ใบรับรองที่มีการจัดการใน ACM จะใช้คีย์ RSA ที่มี Modulus 2048 บิตและ SHA-256 หากคุณออกใบรับรองส่วนตัวโดยตรงจาก ACM Private CA และจัดการคีย์กับใบรับรองโดยไม่ใช้ ACM สำหรับการจัดการใบรับรอง คุณจะสามารถออกและใช้ใบรับรองแบบใช้เส้นโค้ง (ECDSA) ได้ด้วยเช่นกัน ปัจจุบัน ACM ไม่มีความสามารถที่จะจัดการใบรับรองเหล่านี้ได้

ถาม: ฉันจะเพิกถอนใบรับรองได้อย่างไร

คุณสามารถขอ ACM ให้เพิกถอนใบรับรองสาธารณะได้โดยไปที่ศูนย์ AWS Support แล้วสร้างเคส หากต้องการเพิกถอนใบรับรองส่วนตัวที่ออกโดย ACM Private CA โปรดดูที่คู่มือผู้ใช้ ACM Private CA

ถาม: ฉันสามารถทำสำเนาใบรับรองระหว่างภูมิภาค AWS ได้หรือไม่

ใบรับรองที่มีการจัดการ ACM ไม่สามารถทำสำเนาระหว่างภูมิภาคได้ในตอนนี้ คุณสามารถทำสำเนาใบรับรองส่วนตัวที่คุณส่งออกจาก ACM และใบรับรองที่คุณออกโดยตรงจาก ACM Private CA ของคุณโดยไม่ใช้ ACM สำหรับการจัดการใบรับรองและคีย์ส่วนตัว

ถาม: ฉันสามารถใช้ใบรับรองจาก ACM ใบเดียวกันในหลายภูมิภาค AWS ได้หรือไม่

ขึ้นอยู่กับว่าคุณใช้ Elastic Load Balancing หรือ Amazon CloudFront ในการใช้ใบรับรองที่มี Elastic Load Balancing สำหรับเว็บไซต์เดียวกัน (ชื่อโดเมน หรือ FQDN หรือชุด FQDN ที่มีคุณสมบัติครบถ้วนอย่างเดียวกัน) ในต่างภูมิภาค คุณต้องขอใบรับรองใบใหม่สำหรับแต่ละภูมิภาคที่คุณวางแผนไว้ว่าจะนำไปใช้ หากต้องการใช้ใบรับรองจาก ACM กับ Amazon CloudFront คุณต้องขอใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM Certificates ในภูมิภาคนี้ที่เชื่อมโยงกับการกระจายของ CloudFront จะถูกกระจายออกไปยังสถานที่ตั้งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับการกระจายนั้น

ถาม: ฉันสามารถเตรียมใช้งานใบรับรองกับ ACM ได้หรือไม่ ในกรณีที่มีใบรับรองสำหรับชื่อโดเมนเดียวกันจากผู้ให้บริการรายอื่นอยู่แล้ว

ได้

ถาม: ฉันสามารถใช้ใบรับรองบน Amazon EC2 instance หรือบนเซิร์ฟเวอร์ของฉันเองได้หรือไม่

ใบรับรองส่วนตัวที่ออกโดย ACM Private CA สามารถใช้กับ EC2 instance, คอนเทนเนอร์ และเซิร์ฟเวอร์ของคุณเองได้ ในขณะนี้ ACM Certificates แบบสาธารณะยังไม่สามารถใช้ได้กับบริการทั้งหมดของ AWS โปรดดูฉันสามารถใช้ ACM Certificates กับบริการใดของ AWS ได้บ้าง

ถาม: ACM อนุญาตให้ใช้อักขระในภาษาท้องถิ่นกับชื่อโดเมนหรือที่เรียกว่าชื่อโดเมนภาษาท้องถิ่น (IDN) หรือไม่

ACM ไม่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ Unicode แต่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ ASCII เป็นชื่อโดเมนได้

ถาม: ACM อนุญาตให้ใช้ป้ายชื่อโดเมนในรูปแบบใด

ACM อนุญาตให้ใช้ ASCII ที่มีการเข้ารหัสแบบ UTF-8 รวมถึงป้ายที่มี “xn—” โดยเรียกกันทั่วไปว่า Punycode สำหรับชื่อโดเมน ACM ไม่ยอมรับอินพุต Unicode (u-label) เป็นชื่อโดเมน

ACM Public Certificates

ถาม: ใบรับรองสาธารณะคืออะไร

ใบรับรองสาธารณะและใบรับรองส่วนตัวจะช่วยลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้เหมือนกัน ใบรับรองสาธารณะจะระบุทรัพยากรบนอินเทอร์เน็ต

ถาม: ACM ให้ใบรับรองสาธารณะประเภทใด

ACM ให้ใบรับรองสาธารณะประเภทยืนยันความเป็นเจ้าของโดเมน (DV) สำหรับใช้กับเว็บไซต์และแอปพลิเคชันที่ยกเลิกใช้ SSL/TLS โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับ ACM Certificates ที่คุณลักษณะของใบรับรอง

ถาม: เบราว์เซอร์ ระบบปฏิบัติการ และอุปกรณ์เคลื่อนที่เชื่อถือ ACM Public Certificates หรือไม่

เบราว์เซอร์ ระบบปฏิบัติการ และอุปกรณ์เคลื่อนที่สมัยใหม่ส่วนใหญ่เชื่อถือใบรับรองสาธารณะจาก ACM ใบรับรองที่ ACM จัดให้ 99% จะมีอยู่ทั่วไปสำหรับเบราว์เซอร์และระบบปฏิบัติการ รวมถึง Windows XP SP3 กับ Java 6 และใหม่กว่า

ถาม: ฉันจะตรวจสอบได้อย่างไรว่าเบราว์เซอร์เชื่อถือ ACM Public Certificates

เบราว์เซอร์ที่เชื่อถือ ACM Certificates จะแสดงไอคอนรูปล็อกและไม่ออกคำเตือนใบรับรองเมื่อเชื่อมต่อกับเว็บไซต์ที่ใช้ ACM Certificates ผ่าน SSL/TLS ตัวอย่างเช่น การใช้ HTTPS

ACM Certificates แบบสาธารณะได้รับการยืนยันโดยผู้ออกใบรับรอง (CA) ของ Amazon เบราว์เซอร์ แอปพลิเคชัน หรือ OS รวมถึง Amazon Root CA 1, Starfield Services Root Certificate Authority - G2 หรือ Starfield Class 2 Certification Authority เชื่อถือ ACM Certificates

ถาม: ACM ให้ใบรับรองสาธารณะประเภทตรวจสอบตัวตนขององค์กร (OV) หรือตรวจสอบองค์กรอย่างละเอียด (EV) หรือไม่

ยังไม่มีในขณะนี้

ถาม: Amazon อธิบายนโยบายและแนวทางปฏิบัติสำหรับการออกใบรับรองสาธารณะไว้ที่ใด

มีการอธิบายเรื่องดังกล่าวไว้ในเอกสารเกี่ยวกับนโยบายของ Amazon Trust Services Certificate และ Amazon Trust Services Certification Practices Statement โปรดดูเวอร์ชันล่าสุดที่ Amazon Trust Services repository

ถาม: ฉันจะแจ้งให้ AWS ทราบได้อย่างไร หากมีการเปลี่ยนแปลงข้อมูลในใบรับรองสาธารณะ

คุณแจ้ง AWS ให้ทราบได้โดยส่งอีเมลไปที่ validation-questions[at]amazon.com

การเตรียมใช้งาน ACM Public Certificates

ถาม: ฉันจะเตรียมใช้งานใบรับรองสาธารณะจาก ACM ได้อย่างไร

คุณสามารถใช้ AWS Management Console, AWS CLI หรือ ACM API/SDK หากต้องการใช้ AWS Management Console ให้ไปที่ Certificate Manager เลือก Request a certificate (ขอใบรับรอง) เลือก Request a public certificate (ขอใบรับรองสาธารณะ) ระบุชื่อโดเมนสำหรับเว็บไซต์ และทำตามคำแนะนำบนหน้าจอเพื่อกรอกคำขอ คุณสามารถใส่ชื่อโดเมนเพิ่มเติมลงในคำขอได้อีก หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่ออื่น ก่อนที่ ACM จะออกใบรับรองได้ ระบบต้องยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอใบรับรองของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS จะให้คุณเขียนบันทึกการกำหนดค่า DNS สาธารณะสำหรับโดเมนเพื่อกำหนดว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้น หลังจากใช้การยืนยัน DNS หนึ่งครั้งเพื่อสร้างการควบคุมโดเมนแล้ว คุณจะสามารถรับใบรับรองเพิ่มเติมและให้ ACM ต่ออายุใบรับรองที่มีอยู่สำหรับโดเมนนั้นได้นานเท่าที่ยังคงมีบันทึกดังกล่าวและยังคงใช้งานใบรับรองนั้นอยู่ คุณไม่จำเป็นต้องยืนยันการควบคุมโดเมนนั้นอีกครั้ง หากคุณเลือกการยืนยันทางอีเมลแทนการเลือกการยืนยัน DNS ระบบจะส่งอีเมลไปยังเจ้าของโดเมนที่ขออนุมัติการออกใบรับรอง หลังจากยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนแต่ละชื่อในคำขอแล้ว ระบบจะออกใบรับรองที่พร้อมเตรียมใช้งานกับบริการอื่นๆ ของ AWS เช่น Elastic Load Balancing หรือ Amazon CloudFront โปรดดูรายละเอียดที่เอกสารประกอบ ACM

ถาม: ทำไม ACM ต้องยืนยันความเป็นเจ้าของโดเมนสำหรับใบรับรองสาธารณะ

ใบรับรองจะใช้ในการสร้างข้อมูลประจำตัวของเว็บไซต์และการเชื่อมต่อที่ปลอดภัยระหว่างเบราว์เซอร์กับแอปพลิเคชันและเว็บไซต์ของคุณ ในการออกใบรับรองที่น่าเชื่อถือแบบเป็นสาธารณะ Amazon ต้องยืนยันว่าผู้ขอใบรับรองมีสิทธิ์ควบคุมชื่อโดเมนในคำขอใบรับรองนั้น

ถาม: ACM ยืนยันความเป็นเจ้าของโดเมนก่อนออกใบรับรองสาธารณะสำหรับโดเมนนั้นอย่างไร

ก่อนออกใบรับรอง ACM จะยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอใบรับรองของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ โปรดดูรายละเอียดเพิ่มเติมที่การยืนยัน DNS หากคุณไม่มีความสามารถในการเขียนบันทึกลงในการกำหนดค่า DNS สาธารณะสำหรับโดเมน คุณสามารถใช้การยืนยันทางอีเมลแทนการยืนยัน DNS ได้ การยืนยันทางอีเมลช่วยให้ ACM สามารถส่งอีเมลไปยังเจ้าของโดเมนที่ลงทะเบียนไว้ จากนั้นเจ้าของหรือตัวแทนที่ได้รับอนุญาตจะสามารถอนุมัติการออกชื่อโดเมนแต่ละชื่อในคำขอใบรับรองนั้น โปรดดูรายละเอียดเพิ่มเติมที่การยืนยันทางอีเมล

ถาม: ฉันควรใช้วิธีการยืนยันแบบใดกับใบรับรองสาธารณะของฉัน: DNS หรืออีเมล

เราขอแนะนำให้คุณใช้การยืนยัน DNS หากคุณมีความสามารถที่จะเปลี่ยนการกำหนดค่า DNS สำหรับโดเมน ลูกค้าที่ไม่สามารถรับอีเมลยืนยันจาก ACM และลูกค้าที่ใช้หน่วยงานจดทะเบียนชื่อโดเมนที่ไม่เปิดเผยข้อมูลติดต่อทางอีเมลของเจ้าของโดเมนใน WHOIS ควรใช้การยืนยัน DNS หากคุณไม่สามารถแก้ไขการกำหนดค่า DNS คุณควรใช้การยืนยันทางอีเมล

ถาม: ฉันสามารถเปลี่ยนการยืนยันทางอีเมลของใบรับรองสาธารณะที่มีอยู่ให้เป็นการยืนยัน DNS ได้หรือไม่

ไม่ได้ แต่คุณสามารถขอใบรับรองฟรีใบใหม่จาก ACM และเลือกการยืนยัน DNS สำหรับใบรับรองใหม่ได้

ถาม: การออกใบรับรองสาธารณะใช้เวลานานเท่าใด

การออกใบรับรองอาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอใบรับรองแล้ว

ถาม: จะเกิดอะไรขึ้นเมื่อฉันขอใบรับรองสาธารณะ

ACM พยายามยืนยันความเป็นเจ้าของหรือการควบคุมชื่อโดเมนแต่ละชื่อในคำขอใบรับรองของคุณตามวิธีการยืนยันที่คุณเลือกเมื่อส่งคำขอ ไม่ว่าจะเป็น DNS หรืออีเมล ขณะที่ ACM พยายามยืนยันว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้นอยู่ คำขอใบรับรองจะมีสถานะเป็นอยู่ระหว่างการตรวจสอบ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับขั้นตอนการยืนยันที่ส่วนการยืนยัน DNS หรือการยืนยันทางอีเมลที่ด้านล่าง หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอใบรับรองแล้ว การออกใบรับรองอาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น เมื่อออกใบรับรองแล้ว สถานะคำขอใบรับรองจะเปลี่ยนเป็นออกแล้วและคุณสามารถเริ่มใช้ใบรับรองนั้นกับบริการอื่นๆ ของ AWS ที่ผสานรวมกับ ACM ได้

ถาม: ACM ตรวจสอบบันทึก Certificate Authority Authorization (CAA) ของ DNS ก่อนที่จะออกใบรับรองสาธารณะหรือไม่

ได้ บันทึก Certificate Authority Authorization (CAA) ของ DNS ช่วยให้เจ้าของโดเมนสามารถระบุผู้ออกใบรับรองที่ได้รับอนุญาตให้ออกใบรับรองโดเมนของตน AWS Certificate Manager จะค้นหาบันทึก CAA ในการกำหนดค่าโซน DNS สำหรับโดเมน เมื่อคุณขอใบรับรองจาก ACM หากไม่มีบันทึก CAA นั้นอยู่ Amazon ก็สามารถออกใบรับรองสำหรับโดเมนของคุณได้ ลูกค้าส่วนใหญ่อยู่ในหมวดหมู่นี้

Amazon จะออกใบรับรองสำหรับโดเมนของคุณได้ในกรณีที่การกำหนดค่า DNS ของคุณมีบันทึก CAA ซึ่งบันทึกนั้นต้องระบุ CA รายการใดรายการหนึ่งดังต่อไปนี้เสียก่อน: amazon.com, amazontrust.com, awstrust.com หรือ amazonaws.com โปรดดูข้อมูลเพิ่มเติมที่กำหนดค่าบันทึก CAA หรือการแก้ไขปัญหา CAA ในคู่มือผู้ใช้ AWS Certificate Manager

ถาม: ACM รองรับวิธีการอื่นๆ สำหรับการยืนยันโดเมนหรือไม่

ยังไม่มีในขณะนี้

การยืนยัน DNS (ใบรับรองสาธารณะ)

ถาม: การยืนยัน DNS คืออะไร

การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ การยืนยัน DNS ทำให้สามารถกำหนดได้อย่างง่ายดายว่าคุณเป็นเจ้าของโดเมน เมื่อขอใบรับรอง SSL/TLS จาก ACM

ถาม: การยืนยัน DNS มีประโยชน์อย่างไร

การยืนยัน DNS ทำให้สามารถยืนยันได้อย่างง่ายดายว่าคุณเป็นเจ้าของหรือควบคุมโดเมน เพื่อให้คุณได้รับใบรับรอง SSL/TLS เมื่อใช้การยืนยัน DNS คุณเพียงเขียนบันทึก CNAME ลงในการกำหนดค่า DNS เพื่อกำหนดการควบคุมชื่อโดเมนของคุณ หากต้องการให้ขั้นตอนการยืนยัน DNS ง่ายขึ้น ACM Management Console ก็สามารถกำหนดค่าบันทึก DNS แก่คุณได้ หากคุณจัดการบันทึก DNS ของคุณโดยใช้ Amazon Route 53 วิธีนี้ทำให้สามารถกำหนดการควบคุมชื่อโดเมนของคุณได้อย่างง่ายดายด้วยการคลิกเมาส์ไม่กี่ครั้ง เมื่อกำหนดค่าบันทึก CNAME แล้ว ACM จะต่ออายุใบรับรองที่ใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) โดยอัตโนมัติได้นานเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่ การต่ออายุเป็นไปโดยอัตโนมัติและไม่ต้องทำสิ่งใดเลย

ถาม: ใครควรใช้การยืนยัน DNS บ้าง

ทุกคนที่ขอใบรับรองผ่าน ACM และมีความสามารถที่จะเปลี่ยนการกำหนดค่า DNS สำหรับโดเมนที่ตนกำลังขออยู่ควรพิจารณาการใช้การยืนยัน DNS

ถาม: ACM ยังคงรองรับการยืนยันทางอีเมลหรือไม่

ได้ ACM ยังคงรองรับการยืนยันทางอีเมลต่อไปสำหรับลูกค้าที่ไม่สามารถเปลี่ยนการกำหนดค่า DNS ของตนได้

ถาม: ฉันต้องเพิ่มบันทึกใดลงในการกำหนดค่า DNS เพื่อยืนยันโดเมน

คุณต้องเพิ่มบันทึก CNAME สำหรับโดเมนที่คุณต้องการยืนยัน ตัวอย่างเช่น หากต้องการยืนยันชื่อ www.example.com ให้คุณเพิ่มบันทึก CNAME ลงในโซนสำหรับ example.com บันทึกที่คุณเพิ่มนั้นมีโทเค็นแบบสุ่มที่ ACM สร้างขึ้นมาเพื่อโดเมนและบัญชี AWS ของคุณโดยเฉพาะ คุณจะได้รับบันทึก CNAME สองส่วน (ชื่อและป้าย) จาก ACM โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

ถาม: ฉันจะเพิ่มหรือแก้ไขบันทึก DNS สำหรับโดเมนของฉันได้อย่างไร

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีเพิ่มหรือแก้ไขบันทึก DNS ควรสอบถามผู้ให้บริการ DNS ของคุณ เอกสารประกอบ DNS ของ Amazon Route 53 ให้ข้อมูลเพิ่มเติมแก่ลูกค้าที่ใช้ DNS ของ Amazon Route 53

ถาม: ACM สามารถทำให้การยืนยัน DNS สำหรับลูกค้า DNS ของ Amazon Route 53 ง่ายขึ้นได้หรือไม่

ได้ สำหรับลูกค้าที่กำลังใช้ DNS ของ Amazon Route 53 เพื่อจัดการบันทึก DNS อยู่ ACM Console สามารถเพิ่มบันทึกลงในการกำหนดค่า DNS แก่คุณได้เมื่อคุณขอใบรับรอง โซนที่โฮสต์ DNS ของ Route 53 สำหรับโดเมนของคุณต้องได้รับการกำหนดค่าในบัญชี AWS เดียวกันกับบัญชีที่คุณใช้ส่งคำขอและคุณต้องมีสิทธิ์เพียงพอที่จะเปลี่ยนการกำหนดค่า Amazon Route 53 ของคุณได้ โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

ถาม: ฉันต้องใช้ผู้ให้บริการ DNS ที่เฉพาะเจาะจงเพื่อยืนยัน DNS หรือไม่

ไม่ต้อง คุณสามารถใช้การยืนยัน DNS กับผู้ให้บริการ DNS ทุกรายตราบใดที่ผู้ให้บริการรายนั้นอนุญาตให้คุณเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ

ถาม: ฉันต้องมีบันทึก DNS กี่รายการ หากต้องการให้โดเมนเดียวกันมีใบรับรองมากกว่าหนึ่งใบ

หนึ่งรายการ คุณสามารถขอรับใบรับรองหลายใบสำหรับชื่อโดเมนชื่อเดียวกันในบัญชี AWS เดียวกันได้โดยใช้บันทึก CNAME ตัวอย่างเช่น หากคุณส่งคำขอใบรับรอง 2 รายการสำหรับโดเมนชื่อเดียวกันจากบัญชี AWS เดียวกัน คุณจำเป็นต้องใช้บันทึก CNAME สำหรับ DNS เพียง 1 รายการ

ถาม: ฉันสามารถยืนยันโดเมนได้หลายชื่อโดยใช้บันทึก CNAME เดียวกันได้หรือไม่

ไม่ได้ แต่ละชื่อโดเมนต้องมีบันทึก CNAME ที่ไม่ซ้ำกัน

ถาม: ฉันสามารถยืนยัน Wildcard Domain Name ได้โดยใช้การยืนยัน DNS หรือไม่

ได้

ถาม: ACM สร้างบันทึก CNAME ได้อย่างไร

บันทึก CNAME ของ DNS มีสององค์ประกอบ: ชื่อและป้าย องค์ประกอบชื่อของ CNAME ที่ ACM สร้างขึ้นนั้นประกอบด้วยเครื่องหมายสัญประกาศ (_) ตามด้วยโทเค็น ซึ่งเป็นสตริงที่ไม่ซ้ำกันที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของคุณเพื่อสร้างองค์ประกอบชื่อ ACM สร้างป้ายขึ้นจากเครื่องหมายสัญประกาศที่แนบเข้ากับโทเค็นต่างๆ ที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของ DNS ที่ AWS ใช้สำหรับการยืนยัน: acm-validations.aws ตัวอย่างด้านล่างแสดงรูปแบบของ CNAME สำหรับ www.example.com, subdomain.example.com และ *.example.com

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

โปรดทราบว่า ACM จะลบป้าย Wildcard (*) ออกเมื่อมีการสร้างบันทึก CNAME สำหรับชื่อ Wildcard ด้วยเหตุนี้บันทึก CNAME ที่ ACM สร้างขึ้นสำหรับชื่อ Wildcard (เช่น *.example.com) จึงเป็นบันทึกเดียวกันกับที่มีการส่งคืนไปให้ชื่อโดเมนที่ไม่มีป้าย Wildcard (example.com)

ถาม: ฉันสามารถยืนยันโดเมนย่อยทั้งหมดของโดเมนที่ใช้บันทึก CNAME เดียวได้หรือไม่

ไม่ได้ ชื่อโดเมนแต่ละชื่อ รวมถึงชื่อโฮสต์และชื่อโดเมนย่อยต้องมีการยืนยันแยกกัน เนื่องจากแต่ละชื่อมีบันทึก CNAME ไม่ซ้ำกัน

ถาม: ทำไม ACM ใช้บันทึก CNAME สำหรับการยืนยัน DNS แทนบันทึก TXT

การใช้บันทึก CNAME ช่วยให้ ACM สามารถต่ออายุใบรับรองได้นานเท่าที่มีบันทึก CNAME นั้นอยู่ บันทึก CNAME จะนำทางไปยังบันทึก TXT ในโดเมนของ AWS (acm-validations.aws) ซึ่ง ACM สามารถอัปเดตได้ตามความจำเป็นเพื่อยืนยันชื่อโดเมนหรือยืนยันซ้ำอีกครั้งโดยคุณไม่ต้องทำอะไรเลย

ถาม: การยืนยัน DNS ทำงานข้ามภูมิภาค AWS ได้หรือไม่

ได้ คุณสามารถสร้างบันทึก CNAME ของ DNS รายการเดียวแล้วใช้บันทึกนั้นรับใบรับรองในบัญชี AWS เดียวกันในภูมิภาค AWS ใดก็ได้ที่มี ACM ให้บริการอยู่ กำหนดค่าบันทึก CNAME ครั้งเดียวแล้วคุณจะได้รับใบรับรองที่ ACM ออกและต่ออายุให้สำหรับชื่อนั้นโดยไม่ต้องสร้างบันทึกอื่นอีก

ถาม: ฉันสามารถเลือกวิธีการยืนยันที่แตกต่างกันให้กับใบรับรองใบเดียวกันได้หรือไม่

ไม่ได้ ใบรับรองแต่ละใบมีการยืนยันได้วิธีเดียวเท่านั้น

ถาม: ฉันจะต่ออายุใบรับรองที่ยืนยันแล้วด้วยการยืนยัน DNS ได้อย่างไร

ACM จะต่ออายุใบรับรองที่ใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) โดยอัตโนมัติได้นานเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่

ถาม: ฉันสามารถเพิกถอนสิทธิ์การออกใบรับรองสำหรับโดเมนของฉันได้หรือไม่

ได้ เพียงลบบันทึก CNAME ออก ACM จะไม่ออกหรือต่ออายุใบรับรองสำหรับโดเมนที่ใช้การยืนยัน DNS หลังจากคุณลบบันทึก CNAME ออกแล้วและมีการกระจายการเปลี่ยนแปลงผ่าน DNS เวลาเผยแพร่การลบบันทึกจะขึ้นอยู่กับผู้ให้บริการ DNS ของคุณ

ถาม: จะเกิดอะไรขึ้นหากฉันลบบันทึก CNAME

ACM จะไม่สามารถออกหรือต่ออายุใบรับรองสำหรับโดเมนที่ใช้การยืนยัน DNS ได้หากคุณลบบันทึก CNAME

การยืนยันทางอีเมล (ใบรับรองสาธารณะ)

ถาม: การยืนยันทางอีเมลคืออะไร

การยืนยันทางอีเมลช่วยให้สามารถส่งอีเมลคำขออนุมัติไปยังเจ้าของโดเมนที่ลงทะเบียนไว้สำหรับชื่อโดเมนแต่ละชื่อในคำขอใบรับรอง เจ้าของโดเมนหรือตัวแทนที่ได้รับอนุญาต (ผู้อนุมัติ) สามารถอนุมัติคำขอใบรับรองได้โดยการทำตามคำแนะนำในอีเมล คำแนะนำแจ้งให้ผู้อนุมัติไปยังเว็บไซต์สำหรับอนุมัติแล้วคลิกลิงก์ในอีเมลหรือวางลิงก์จากอีเมลนั้นลงในเบราว์เซอร์เพื่อไปยังเว็บไซต์สำหรับอนุมัติ ผู้อนุมัติยืนยันข้อมูลที่เกี่ยวข้องกับคำขอใบรับรอง เช่น ชื่อโดเมน รหัสใบรับรอง (ARN) และรหัสบัญชี AWS ที่ใช้เริ่มต้นคำขอและอนุมัติคำขอนั้นหากข้อมูลถูกต้อง

ถาม: เมื่อฉันขอใบรับรองและเลือกการยืนยันทางอีเมล ระบบจะส่งคำขออนุมัติใบรับรองไปยังอีเมลใด

เมื่อคุณขอใบรับรองโดยใช้การยืนยันทางอีเมล WHOIS จะค้นหาชื่อโดเมนแต่ละชื่อในคำขอใบรับรองที่นำมาใช้เรียกดูข้อมูลผู้ติดต่อสำหรับโดเมนนั้น ระบบจะส่งอีเมลไปยังผู้ลงทะเบียนโดเมน ผู้ติดต่อด้านงานดูแลระบบ และผู้ติดต่อด้านเทคนิคที่ระบุไว้สำหรับโดเมนนั้น นอกจากนี้ยังมีการส่งอีเมลไปยังที่อยู่อีเมลพิเศษห้าอีเมลซึ่งสร้างขึ้นโดยการแนบ admin@, administrator@, hostmaster@, webmaster@ และ postmaster@ เข้ากับชื่อโดเมนที่คุณกำลังขอ ตัวอย่างเช่น หากคุณขอใบรับรองสำหรับ server.example.com ระบบจะส่งอีเมลไปยังผู้ลงทะเบียนโดเมน ผู้ติดต่อด้านเทคนิค และผู้ติดต่อด้านงานดูแลระบบ โดยใช้ข้อมูลผู้ติดต่อที่การสืบค้น WHOIS ได้ส่งกลับมาให้สำหรับโดเมน example.com บวกกับ admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com และ webmaster@server.example.com

อีเมลพิเศษห้าอีเมลนั้นมีการสร้างขึ้นให้แตกต่างกันสำหรับชื่อโดเมนที่ขึ้นต้นด้วย "www" หรือชื่อ Wildcard ที่ขึ้นต้นด้วยเครื่องหมายดอกจัน (*) ACM จะลบ "www" หรือเครื่องหมายดอกจันที่นำหน้าออกแล้วส่งอีเมลไปยังที่อยู่ด้านงานดูแลระบบที่สร้างขึ้นโดยการนำ admin@, administrator@, hostmaster@, postmaster@ และ webmaster@ มาวางไว้ด้านหน้าของส่วนที่เหลือของชื่อโดเมน ตัวอย่างเช่น หากคุณขอใบรับรองสำหรับ www.example.com ระบบจะส่งอีเมลไปยังผู้ติดต่อ WHOIS ตามที่อธิบายไว้ก่อนหน้า บวกกับ admin@example.com แทนการส่งไปที่ admin@www.example.com ที่อยู่อีเมลพิเศษอีกสี่อีเมลที่เหลือก็มีรูปแบบคล้ายกัน

หลังจากขอใบรับรอง คุณจะสามารถแสดงรายชื่อที่อยู่อีเมลซึ่งระบบได้ส่งอีเมลโดยใช้ ACM Console, AWS CLI หรือ API ไปหาเกี่ยวกับแต่ละโดเมน

ถาม: ฉันสามารถกำหนดค่าที่อยู่อีเมลให้กับคำขออนุมัติใบรับรองที่ส่งออกไปได้หรือไม่

ไม่ได้ แต่คุณสามารถกำหนดค่าชื่อโดเมนพื้นฐานแก่โดเมนที่คุณต้องการให้ส่งอีเมลยืนยันได้ ชื่อโดเมนพื้นฐานต้องเป็นซูเปอร์โดเมนของชื่อโดเมนในคำขอใบรับรอง ตัวอย่างเช่น หากคุณต้องการขอใบรับรองสำหรับ server.domain.example.com แต่ต้องการให้ส่งอีเมลอนุมัติตรงไปยัง admin@domain.example.com คุณสามารถทำเช่นนั้นได้โดยใช้ AWS CLI หรือ API โปรดดูรายละเอียดเพิ่มเติมที่ข้อมูลอ้างอิง ACM CLI และข้อมูลอ้างอิง ACM API

ถาม: ฉันสามารถใช้โดเมนที่มีข้อมูลการติดต่อพร็อกซี่ (เช่น Privacy Guard หรือ WhoisGuard) ได้หรือไม่

ได้ แต่การจัดส่งอีเมลอาจล่าช้าเนื่องจากพร็อกซี อีเมลที่ส่งผ่านพร็อกซีอาจไปเข้าที่โฟลเดอร์สแปม โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

ถาม: ACM สามารถยืนยันข้อมูลประจำตัวของฉันโดยใช้ผู้ติดต่อด้านเทคนิคสำหรับบัญชี AWS ได้หรือไม่

ไม่ได้ ขั้นตอนและนโยบายสำหรับการยืนยันข้อมูลประจำตัวของเจ้าของโดเมนเข้มงวดมากและได้รับการกำหนดโดย CA/ฟอรัมเบราว์เซอร์ ซึ่งกำหนดมาตรฐานของนโยบายสำหรับผู้ออกใบรับรองที่น่าเชื่อถือต่อสาธารณชน หากต้องการเรียนรู้เพิ่มเติม โปรดดู Amazon Trust Services Certification Practices Statement ล่าสุดใน Amazon Trust Services Repository

ถาม: ฉันควรทำอย่างไรหากไม่ได้รับอีเมลอนุมัติ

โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

การป้องกันคีย์ส่วนตัว

ถาม: คีย์ส่วนตัวของใบรับรองที่ออกให้โดย ACM มีการจัดการอย่างไร

ACM ให้คู่คีย์ที่สร้างขึ้นสำหรับใบรับรองแต่ละใบ AWS Certificate Manager ออกแบบมาเพื่อป้องกันและจัดการคีย์ส่วนตัวที่ใช้กับใบรับรอง SSL/TLS แนวทางปฏิบัติที่ดีที่สุดในการเข้ารหัสที่แน่นหนาและการจัดการคีย์จะใช้ในการปกป้องและจัดเก็บคีย์ส่วนตัว

ถาม: ACM ทำสำเนาใบรับรองข้ามภูมิภาค AWS ได้หรือไม่

ไม่ได้ คีย์ส่วนตัวของใบรับรองจาก ACM แต่ละใบได้รับการจัดเก็บไว้ในภูมิภาคที่คุณขอใบรับรองนั้น ตัวอย่างเช่น เมื่อคุณได้รับใบรับรองใหม่ในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM จะจัดเก็บคีย์ส่วนตัวไว้ในภูมิภาคเวอร์จิเนียเหนือ ทั้งนี้จะสามารถทำสำเนา ACM Certificates ข้ามภูมิภาคได้เมื่อใบรับรองนั้นเชื่อมโยงกับการกระจายของ CloudFront เท่านั้น ในกรณีดังกล่าว CloudFront จะกระจายใบรับรองของ ACM ไปยังสถานที่ตั้งทางภูมิศาสตร์ที่กำหนดค่าไว้สำหรับการกระจายของคุณ

ถาม: ฉันสามารถตรวจสอบการใช้งานคีย์ส่วนตัวของใบรับรองได้หรือไม่

ได้ การใช้ AWS CloudTrail ช่วยให้คุณสามารถตรวจสอบบันทึกที่แจ้งเวลาการใช้งานคีย์ส่วนตัวของใบรับรองให้คุณทราบได้

การเรียกเก็บเงิน

ถาม: จะคิดค่าบริการและเรียกเก็บเงินสำหรับการใช้ ACM Certificates อย่างไร

ไม่ต้องเสียค่าใช้จ่ายสำหรับใบรับรองสาธารณะและใบรับรองส่วนตัวที่มีการเตรียมใช้งานผ่าน AWS Certificate Manager เพื่อนำไปใช้กับบริการที่ผสานรวมกับ ACM เช่น บริการ Elastic Load Balancing, Amazon CloudFront และ Amazon API Gateway คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ AWS Certificate Manager Private Certificate Authority มีราคาแบบเก็บค่าบริการที่ใช้ตามจริง คุณจ่ายค่าบริการรายเดือนสำหรับการดำเนินงานของ ACM Private CA แต่ละรายการไปจนกระทั่งคุณลบรายการนั้นออก นอกจากนี้คุณยังจ่ายค่าใบรับรองส่วนตัวที่คุณสร้างและส่งออกจาก ACM เช่น ใบรับรองที่ใช้กับ EC2 หรือเซิร์ฟเวอร์ในองค์กร หรือใบรับรองที่คุณออกโดยตรงจาก CA ส่วนตัวโดยการสร้างคีย์ส่วนตัวด้วยตัวเอง โปรดดูรายละเอียดและตัวอย่างเพิ่มเติมที่หน้าราคา

รายละเอียด

ถาม: ฉันสามารถใช้ใบรับรองใบเดียวกันกับโหลดบาลานเซอร์ของ Elastic Load Balancing หลายตัวและการกระจายของ CloudFront จำนวนมากได้หรือไม่

ได้

ถาม: ฉันสามารถใช้ใบรับรองสาธารณะสำหรับโหลดบาลานเซอร์ของ Elastic Load Balancing ภายในองค์กรโดยที่ไม่มีการเข้าถึงอินเทอร์เน็ตสาธารณะได้หรือไม่

ได้ หรือคุณอาจพิจารณาการใช้ CA ส่วนตัวของ ACM เพื่อออกใบรับรองส่วนตัวที่ ACM สามารถต่ออายุได้โดยไม่ต้องมีการยืนยันได้ด้วยเช่นกัน โปรดดูการต่ออายุและการปรับใช้ที่มีการจัดการเพื่อดูรายละเอียดเกี่ยวกับวิธีที่ ACM จัดการต่ออายุใบรับรองสาธารณะที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตและใบรับรองส่วนตัว

ถาม: ใบรับรองสำหรับ www.example.com จะยังคงทำงานร่วมกับ example.com ได้หรือไม่

ไม่ได้ หากคุณต้องการให้เว็บไซต์สามารถอ้างอิงชื่อโดเมนได้ทั้งสองชื่อ (www.example.com หรือ example.com) คุณต้องขอใบรับรองที่ระบุทั้งสองชื่อนั้น

ถาม: ฉันสามารถนำเข้าใบรับรองจากบริษัทที่สามและใช้ใบรับรองนั้นกับบริการของ AWS ได้หรือไม่

ได้ หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือ Amazon API Gateway คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้ AWS Management Console, AWS CLI หรือ ACM API ACM ไม่ดำเนินการต่ออายุให้กับใบรับรองที่นำเข้า คุณสามารถใช้ AWS Management Console ตรวจสอบวันหมดอายุของใบรับรองที่นำเข้า แล้วนำเข้าใบรับรองจากบริษัทอื่นใบใหม่เพื่อแทนใบที่หมดอายุ

ถาม: ACM สามารถช่วยให้องค์กรปฏบัติตามข้อกำหนดได้อย่างไร

การใช้ ACM ช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้โดยอำนวยความสะดวกสำหรับการเชื่อมต่อที่ปลอดภัย ซึ่งเป็นข้อกำหนดทั่วไปของโปรแกรมการปฏิบัติตามข้อกำหนดหลายๆ อย่าง เช่น PCI, FedRAMP และ HIPAA โปรดดูข้อมูลเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนดที่ http://aws.amazon.com/compliance

ถาม: ACM มีข้อตกลงระดับการให้บริการ (SLA) หรือไม่

ACM ไม่มี SLA แต่ผู้ออกใบรับรองส่วนตัวของ ACM ที่จัดการบริการ CA ส่วนตัวมี SLA 

ถาม: ACM ให้ตราเว็บไซต์ปลอดภัยหรือโลโก้แสดงความน่าเชื่อถือที่ฉันสามารถแสดงไว้บนเว็บไซต์หรือไม่

ไม่มี หากคุณต้องการใช้ตราเว็บไซต์ปลอดภัย คุณสามารถขอรับได้จากผู้จัดจำหน่ายของบริษัทอื่น เราขอแนะนำให้เลือกผู้จัดจำหน่ายที่ประเมินและยืนยันความปลอดภัยของเว็บไซต์หรือแนวทางการดำเนินธุรกิจของคุณหรือทั้งสองอย่าง

ถาม: Amazon อนุญาตให้ใช้เครื่องหมายการค้าหรือโลโก้ของตนเป็นป้ายรับรอง ตราเว็บไซต์ปลอดภัย หรือโลโก้แสดงความน่าเชื่อถือหรือไม่

ไม่ได้ ตราและป้ายประเภทนี้สามารถถูกคัดลอกไปยังเว็บไซต์ที่ไม่ได้ใช้บริการ ACM และนำไปใช้เพื่อสร้างความเชื่อใจภายใต้การหลอกลวงอย่างไม่เหมาะสมได้ เพื่อปกป้องลูกค้าของเราและชื่อเสียงของ Amazon เราจึงไม่อนุญาตให้นำโลโก้ของเราไปใช้ในลักษณะนี้

การบันทึก

ถาม: สามารถใช้ข้อมูลการบันทึกใดได้จาก AWS CloudTrail

คุณสามารถระบุผู้ใช้และบัญชีที่เรียกใช้ AWS API สำหรับบริการที่รองรับ AWS CloudTrail ตลอดจนที่อยู่ IP ต้นทางที่มีการเรียกใช้ และเวลาที่เรียกใช้ ตัวอย่างเช่น คุณสามารถระบุผู้ใช้ที่เรียกใช้ API เพื่อเชื่อมโยงกับใบรับรองที่ ACM ออกให้โดยใช้ Elastic Load Balancer และเมื่อบริการ Elastic Load Balancing ถอดรหัสคีย์ด้วยการเรียก KMS API

การต่ออายุและการปรับใช้ที่มีการจัดการ

ถาม: การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM คืออะไร

การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM จะจัดการกระบวนการต่ออายุ SSL/TLS ACM Certificates และปรับใช้ใบรับรองหลังจากต่ออายุแล้ว

ถาม: การใช้การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM มีประโยชน์อย่างไร

ACM สามารถจัดการต่ออายุและปรับใช้ใบรับรอง SSL/TLS สำหรับคุณได้ ACM ช่วยให้การกำหนดค่าและดูแลรักษา SSL/TLS สำหรับบริการบนเว็บหรือแอปพลิเคชันมีความปลอดภัยในการดำเนินงานมากกว่ากระบวนการที่ทำด้วยตนเอง ซึ่งมีโอกาสเกิดข้อผิดพลาดได้ การต่ออายุและการปรับใช้ที่มีการจัดการช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองหมดอายุได้ ACM ทำงานในฐานะบริการที่ผสานรวมกับบริการอื่นๆ ของ AWS นั่นหมายความว่าคุณสามารถจัดการและปรับใช้ใบรับรองบนแพลตฟอร์ม AWS โดยใช้ AWS Management Console, AWS CLI หรือ API ได้จากส่วนกลาง ACM Private CA ช่วยให้คุณสามารถสร้างใบรับรองส่วนตัวและส่งออกใบรับรองดังกล่าวได้ ACM ต่ออายุใบรับรองที่ส่งออก ซึ่งช่วยให้โค้ดสำหรับการทำงานอัตโนมัติฝั่งไคลเอ็นต์ของคุณเองสามารถดาวน์โหลดและปรับใช้ใบรับรองดังกล่าวได้ 

ถาม: สามารถต่ออายุและปรับใช้ ACM Certificates ประเภทใดได้โดยอัตโนมัติ

ใบรับรองสาธารณะ

ACM สามารถต่ออายุและปรับใช้ ACM Certificates แบบสาธารณะ ได้โดยไม่ต้องมีการยืนยันเพิ่มเติมจากเจ้าของโดเมน หากไม่สามารถต่ออายุใบรับรองได้โดยไม่ต้องมีการยืนยันเพิ่มเติม ACM จะจัดการกระบวนการต่ออายุโดยยืนยันความเป็นเจ้าของหรือการควบคุมโดเมนนั้นสำหรับชื่อโดเมนแต่ละชื่อในใบรับรอง หลังจากยืนยันชื่อโดเมนแต่ละชื่อในใบรับรองแล้ว ACM จะต่ออายุใบรับรองและปรับใช้ใบรับรองนั้นกับทรัพยากร AWS ของคุณโดยอัตโนมัติ หาก ACM ไม่สามารถยืนยันความเป็นเจ้าของโดเมน เราจะแจ้งให้คุณ (เจ้าของบัญชี AWS) ทราบ

หากคุณเลือกการยืนยัน DNS ในคำขอใบรับรองของคุณ ACM จะสามารถต่ออายุใบรับรองได้อย่างไม่มีกำหนด โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติมได้นานเท่าที่มีใบรับรองนั้นใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่ หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรอง คุณจะสามารถปรับปรุงความสามารถของ ACM เพื่อต่ออายุหรือปรับใช้ใบรับรอง ACM ได้อย่างอัตโนมัติ โดยตรวจสอบให้แน่ใจว่ามีการใช้ใบรับรองนั้นอยู่ ว่าชื่อโดเมนทั้งหมดที่ระบุไว้ในใบรับรองสามารถนำทางมาที่เว็บไซต์ของคุณ และชื่อโดเมนทั้งหมดสามารถเข้าถึงได้จากอินเทอร์เน็ต

ใบรับรองส่วนตัว

ACM มีสามตัวเลือกในการจัดการใบรับรองส่วนตัวที่ออกโดยใช้ ACM Private CA ACM มีความสามารถในการต่ออายุและปรับใช้ที่แตกต่างกันไป โดยขึ้นอยู่กับวิธีที่คุณใช้จัดการใบรับรองส่วนตัวของคุณ คุณสามารถเลือกตัวเลือกการจัดการที่ดีที่สุดสำหรับใบรับรองส่วนตัวแต่ละใบที่คุณออกได้

1) ACM สามารถต่ออายุและปรับใช้ใบรับรองที่ออกโดยใช้ ACM Private CA และใช้กับบริการที่ผสานรวมกับ ACM เช่น Elastic Load Balancing และ API Gateway ได้โดยอัตโนมัติ ACM สามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่มีการสร้างขึ้นและจัดการใน ACM ได้นานเท่าที่ CA ส่วนตัวซึ่งออกใบรับรองดังกล่าวยังคงอยู่ในสถานะกำลังใช้งาน
2) สำหรับใบรับรองส่วนตัวที่คุณส่งออกจาก ACM สำหรับใช้กับทรัพยากรในองค์กร, อินสแตนซ์ EC2 และอุปกรณ์ IoT นั้น ACM Private CA จะต่ออายุใบรับรองของคุณโดยอัตโนมัติ คุณต้องเรียกใช้ใบรับรองกับคีย์ส่วนตัวใหม่แล้วปรับใช้กับแอปพลิเคชันของคุณเอง
3) หากคุณออกใบรับรองโดยตรงจาก ACM Private CA และจัดการคีย์กับใบรับรองด้วยตัวเองโดยไม่ใช้ ACM สำหรับการจัดการใบรับรอง ACM จะไม่ต่ออายุใบรับรองของคุณ คุณต้องต่ออายุและปรับใช้ใบรับรองส่วนตัวเหล่านี้เอง

ถาม: ACM ต่ออายุใบรับรองเมื่อใด

ACM เริ่มกระบวนการต่ออายุก่อนใบรับรองหมดอายุล่วงหน้าสูงสุด 60 วัน ปัจจุบัน ACM Certificates มีระยะเวลาที่ใช้ได้นาน 13 เดือน โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการต่ออายุที่มีการจัดการที่คู่มือผู้ใช้ ACM

ถาม: ฉันจะได้รับแจ้งก่อนมีการต่ออายุใบรับรองและปรับใช้ใบรับรองใหม่หรือไม่

ไม่มี ACM อาจต่ออายุหรือออกคีย์ใหม่ให้ใบรับรอง แล้วแทนที่ใบรับรองเก่าโดยไม่แจ้งล่วงหน้า

ถาม: ACM สามารถต่ออายุใบรับรองสาธารณะที่มีแบร์โดเมน เช่น “example.com” (หรือเรียกว่า Zone Apex หรือโดเมนเปล่า) หรือไม่

หากคุณเลือกการยืนยัน DNS ในคำขอใบรับรองสำหรับใบรับรองสาธารณะของคุณ หลังจากนั้น ACM จะสามารถต่ออายุใบรับรองได้โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติมได้นานเท่าที่มีใบรับรองนั้นใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่

หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรองสาธารณะโดยใช้แบร์โดเมน ตรวจสอบให้แน่ใจว่า DNS ค้นหาแบร์โดเมนที่แยกไปยังทรัพยากร AWS ซึ่งเชื่อมโยงกับใบรับรองนั้น การแยกแบร์โดเมนไปยังทรัพยากร AWS อาจยากลำบาก เว้นแต่ว่าคุณจะใช้ Route 53 หรือผู้ให้บริการ DNS รายอื่นที่รองรับบันทึกทรัพยากรนามแฝง (หรือที่เทียบเท่า) สำหรับการแมปแบร์โดเมนไปยังทรัพยากร AWS โปรดดูข้อมูลเพิ่มเติมที่คู่มือ Route 53 สำหรับนักพัฒนา

ถาม: เว็บไซต์ของฉันจะยุติการเชื่อมต่อที่มีอยู่เมื่อ ACM ปรับใช้ใบรับรองที่ต่ออายุหรือไม่

ไม่ การเชื่อมต่อที่สร้างขึ้นหลังจากการปรับใช้ใบรับรองใหม่จะใช้ใบรับรองใหม่ ซึ่งไม่มีผลกระทบกับการเชื่อมต่อที่มีอยู่

เรียนรู้เพิ่มเติมเกี่ยวกับราคา AWS Certificate Manager

ไปที่หน้าราคา
พร้อมสร้างหรือยัง
เริ่มต้นใช้งาน AWS Certificate Manager
มีคำถามเพิ่มเติมไหม
ติดต่อเรา