ทั่วไป

ถาม: AWS Certificate Manager (ACM) คืออะไร

AWS Certificate Manager (ACM) เป็นบริการที่ช่วยให้คุณสามารถจัดเตรียม จัดการ และปรับใช้ใบรับรอง Secure Sockets Layer/Transport Layer Security (SSL/TLS) แบบสาธารณะหรือแบบส่วนตัวเพื่อใช้กับบริการ AWS และทรัพยากรที่เชื่อมต่อภายในของคุณ ใบรับรอง SSL/TLS จะใช้ในการรักษาความปลอดภัยการสื่อสารผ่านเครือข่ายและสร้างข้อมูลประจำตัวของเว็บไซต์ผ่านทางอินเทอร์เน็ตซึ่งรวมถึงแหล่งข้อมูลบนเครือข่ายส่วนตัวด้วย ACM จะช่วยขจัดกระบวนการที่ต้องทำด้วยตนเองซึ่งใช้เวลานาน เช่น การซื้อ การอัปโหลด และการต่ออายุใบรับรอง SSL/TLS AWS Certificate Manager ช่วยให้คุณสามารถขอใบรับรองได้อย่างรวดเร็ว ปรับใช้ใบรับรองนั้นกับทรัพยากร AWS เช่น Elastic Load Balancer, การกระจายของ Amazon CloudFront และ API บนเกตเวย์ของ API รวมทั้งช่วยให้ ACM สามารถจัดการต่ออายุใบรับรองได้ นอกจากนี้ยังช่วยให้คุณสามารถสร้างใบรับรองส่วนตัวสำหรับทรัพยากรภายในและจัดการรอบการใช้งานของใบรับรองจากส่วนกลางได้ ไม่ต้องเสียค่าใช้จ่ายสำหรับใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวที่มีการจัดเตรียมผ่าน ACM และนำไปใช้เฉพาะสำหรับบริการที่ผสานกับ ACM เช่น Elastic Load Balancing, Amazon CloudFront และเกตเวย์ของ Amazon API คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ คุณชำระค่าบริการรายเดือนสำหรับการดำเนินงานของ CA ส่วนตัวแต่ละรายการไปจนกว่าคุณจะลบรายการนั้นออก และชำระค่าใบรับรองส่วนตัวที่คุณออกแต่ไม่ได้นำไปใช้เฉพาะสำหรับบริการที่ผสานรวมกับ ACM

ถาม: ใบรับรอง SSL/TLS คืออะไร

ใบรับรอง SSL/TLS ช่วยให้เว็บเบราว์เซอร์สามารถระบุและสร้างการเชื่อมต่อเครือข่ายที่มีการเข้ารหัสไปยังเว็บไซต์ที่ใช้โปรโตคอล Secure Sockets Layer/Transport Layer Security (SSL/TLS) ใบรับรองจะถูกนำไปใช้ในระบบการเข้ารหัสลับที่เรียกว่าโครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) PKI เป็นวิธีหนึ่งที่ช่วยให้ฝ่ายหนึ่งสามารถสร้างข้อมูลประจำตัวของอีกฝ่ายหนึ่งได้โดยใช้ใบรับรอง หากทั้งสองฝ่ายต่างเชื่อถือบริษัทอื่นที่เรียกว่าผู้ออกใบรับรอง คุณสามารถเยี่ยมชมหัวข้อแนวคิดในคู่มือผู้ใช้ ACM เพื่อดูข้อมูลและคำจำกัดความเพิ่มเติมได้

ถาม: ใบรับรองส่วนตัวคืออะไร

ใบรับรองส่วนตัวจะระบุทรัพยากรภายในองค์กร เช่น แอปพลิเคชัน บริการ อุปกรณ์ และผู้ใช้ ในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ให้ปลอดภัย จะมีการนำใบรับรองและเทคนิคการเข้ารหัสลับมาใช้ที่ตำแหน่งข้อมูลแต่ละจุดเพื่อพิสูจน์ข้อมูลประจำตัวให้กับตำแหน่งข้อมูลอีกจุดหนึ่ง ตำแหน่งข้อมูล API ภายใน, เว็บเซิร์ฟเวอร์, ผู้ใช้ VPN, อุปกรณ์ IoT และแอปพลิเคชันอื่นๆ อีกมากมายจะใช้ใบรับรองส่วนตัวในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ซึ่งจำเป็นต่อการดำเนินการที่ปลอดภัยของตน

ถาม: ใบรับรองส่วนตัวและใบรับรองสาธารณะแตกต่างกันอย่างไร

ใบรับรองสาธารณะและใบรับรองส่วนตัวจะช่วยลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้เหมือนกัน ใบรับรองสาธารณะจะระบุทรัพยากรบนอินเทอร์เน็ตสาธารณะในขณะที่ใบรับรองส่วนตัวก็ทำสิ่งเดียวกันบนเครือข่ายส่วนตัว ความแตกต่างที่สำคัญข้อหนึ่งคือแอปพลิเคชันและเบราว์เซอร์จะเชื่อถือใบรับรองสาธารณะโดยอัตโนมัติตามค่าเริ่มต้น ในขณะที่สำหรับใบรับรองส่วนตัว ผู้ดูแลระบบต้องกำหนดค่าแอปพลิเคชันโดยชัดแจ้งว่าให้เชื่อถือ CA สาธารณะเป็นหน่วยงานออกใบรับรองสาธารณะ ต้องทำตามกฎอย่างเคร่งครัด มีการแสดงผลการดำเนินงาน และเป็นไปตามมาตรฐานการรักษาความปลอดภัยที่ผู้จัดจำหน่ายเบราว์เซอร์และระบบปฏิบัติการซึ่งเป็นผู้ที่ตัดสินใจว่าจะให้เบราว์เซอร์และระบบปฏิบัติการของตนเชื่อถือ CA ใดโดยอัตโนมัติได้กำหนดไว้ CA ส่วนตัวได้รับการจัดการโดยองค์กรภาคเอกชน ดังนั้น ผู้ดูแลระบบของ CA ส่วนตัวจะสามารถสร้างกฎสำหรับการออกใบรับรองส่วนตัว รวมถึงแนวทางปฏิบัติสำหรับการออกใบรับรองและข้อมูลที่จะระบุลงในใบรับรองนั้นเองได้ 

ถาม: ข้อดีของการใช้ AWS Certificate Manager (ACM) มีอะไรบ้าง

ACM ทำให้เปิดใช้งาน SSL/TLS สำหรับเว็บไซต์หรือแอปพลิเคชันบนแพลตฟอร์ม AWS ได้ง่ายยิ่งขึ้น ACM ช่วยขจัดกระบวนการต่างๆ ที่ก่อนหน้านี้ต้องทำด้วยตนเองเกี่ยวกับการใช้และการจัดการใบรับรอง SSL/TLS นอกจากนี้ ACM ยังจัดการต่ออายุ ซึ่งช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองมีการกำหนดค่าผิด ถูกเพิกถอน หรือหมดอายุลงได้ คุณได้รับการป้องกัน SSL/TLS และการจัดการใบรับรองที่ง่ายดาย การเปิดใช้งาน SSL/TLS สำหรับเว็บไซต์แบบเข้าถึงผ่านอินเทอร์เน็ตจะช่วยปรับปรุงอันดับการค้นหาเว็บไซต์ให้ดีขึ้นและช่วยให้คุณปฏิบัติตามข้อกำหนดสำหรับการเข้ารหัสข้อมูลระหว่างจัดส่ง

เมื่อคุณใช้ ACM เพื่อจัดการใบรับรอง ระบบจะปกป้องและจัดเก็บคีย์ส่วนตัวของใบรับรองให้ปลอดภัยโดยใช้แนวปฏิบัติที่ดีที่สุดในการเข้ารหัสที่แน่นหนาและการจัดการคีย์ ACM ช่วยให้คุณสามารถใช้คอนโซลการจัดการของ AWS, AWS CLI หรือ ACM API เพื่อจัดการใบรับรอง SSL/TLS ACM ทั้งหมดใน AWS Region จากส่วนกลาง ACM มีการผสานเข้ากับบริการอื่นๆ ของ AWS ดังนั้นคุณสามารถขอใบรับรอง SSL/TLS และจัดเตรียมใบรับรองนั้นด้วย Load Balancer ของ Elastic Load Balancing หรือการกระจายของ Amazon CloudFront จากคอนโซลการจัดการของ AWS ผ่านคำสั่ง AWS CLI หรือด้วยการเรียกใช้ API

ถาม: ฉันสามารถใช้ ACM จัดการใบรับรองประเภทใดได้บ้าง

ACM ช่วยให้คุณสามารถจัดการรอบการใช้งานของใบรับรองสาธารณะและใบรับรองส่วนตัวได้ ความสามารถของ ACM ขึ้นอยู่กับใบรับรองว่าเป็นแบบสาธารณะหรือแบบส่วนตัว วิธีการได้รับใบรับรอง และที่ที่ปรับใช้ใบรับรองนั้น

ใบรับรองสาธารณะ - คุณสามารถขอใบรับรองสาธารณะที่ออกโดย Amazon ไดใน ACM ACM จัดการต่ออายุและปรับใช้ใบรับรองสาธารณะที่ใช้กับบริการที่ผสานกับ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และเกตเวย์ของ Amazon API

ใบรับรองส่วนตัว – คุณสามารถเลือกที่จะมอบหมายการจัดการใบรับรองส่วนตัวไปยัง ACM ได้ เมื่อใช้วิธีนี้ ACM จะสามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่ใช้กับบริการที่ผสานรวมกับ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และเกตเวย์ของ Amazon API คุณสามารถปรับใช้ใบรับรองส่วนตัวเหล่านี้ได้อย่างง่ายดายโดยใช้คอนโซลการจัดการของ AWS, API และอินเทอร์เฟซบรรทัดคำสั่ง (CLI) คุณสามารถส่งออกใบรับรองส่วนตัวได้จาก ACM และใช้ใบรับรองดังกล่าวกับอินสแตนซ์ EC2, คอนเทนเนอร์, เซิร์ฟเวอร์ในองค์กร และอุปกรณ์ IoT AWS Private CA จะต่ออายุใบรับรองเหล่านี้และส่งการแจ้งเตือนของ Amazon CloudWatch โดยอัตโนมัติเมื่อต่ออายุเสร็จแล้ว คุณสามารถเขียนโค้ดฝั่งไคลเอ็นต์เพื่อดาวน์โหลดใบรับรองที่ต่ออายุแล้วและคีย์ส่วนตัวได้ จากนั้นปรับใช้กับแอปพลิเคชันของคุณ

ใบรับรองที่นำเข้า – หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือเกตเวย์ของ Amazon API คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้คอนโซลการจัดการของ AWS, AWS CLI หรือ ACM API ACM ไม่สามารถต่ออายุใบรับรองที่นำเข้าได้ แต่สามารถช่วยจัดการกระบวนการต่ออายุได้ คุณต้องตรวจสอบวันหมดอายุของใบรับรองที่นำเข้าและต่ออายุก่อนที่ใบรับรองนั้นจะหมดอายุลง คุณสามารถใช้ตัววัด ACM CloudWatch ตรวจสอบวันหมดอายุของใบรับรองที่นำเข้า แล้วนำเข้าใบรับรองใบใหม่จากบริษัทอื่นเพื่อแทนใบที่หมดอายุ

ถาม: ฉันจะเริ่มต้นใช้งาน ACM ได้อย่างไร

หากต้องการเริ่มต้นใช้งาน ACM ให้ไปที่ Certificate Manager ในคอนโซลการจัดการของ AWS แล้วใช้ตัวช่วยเพื่อขอใบรับรอง SSL/TLS หากคุณสร้าง Private CA แล้ว คุณสามารถเลือกได้ว่าต้องการใบรับรองสาธารณะหรือใบรับรองส่วนตัว จากนั้นระบุชื่อของเว็บไซต์ นอกจากนี้คุณยังสามารถขอใบรับรองโดยใช้ AWS CLI หรือ API หลังจากออกใบรับรองแล้ว คุณสามารถใช้ใบรับรองนั้นกับบริการอื่นๆ ของ AWS ซึ่งมีการผสานรวมกับ ACM สำหรับแต่ละบริการที่มีการผสานรวมเข้าด้วยกัน คุณเพียงเลือกใบรับรอง SSL/TLS ที่ต้องการจากรายการดรอปดาวน์ใน AWS Management Console หรืออีกทางเลือกหนึ่ง คุณสามารถดำเนินการกับคำสั่ง AWS CLI หรือเรียกใช้ AWS API เพื่อเชื่อมโยงใบรับรองกับทรัพยากรของคุณได้ จากนั้นบริการที่ผสานเข้าด้วยกันจะปรับใช้ใบรับรองกับทรัพยากรที่คุณเลือกไว้  ดูข้อมูลเพิ่มเติมเกี่ยวกับการขอและการใช้ใบรับรองที่ให้โดย ACM ได้ในคู่มือผู้ใช้ ACM นอกเหนือจากการใช้ใบรับรองส่วนตัวกับบริการที่ผสานกับ ACM คุณยังสามารถส่งออกใบรับรองส่วนตัวเพื่อใช้ในอินสแตนซ์ EC2, คอนเทนเนอร์ ECS หรือที่ใดก็ได้

ถาม: ฉันสามารถใช้ใบรับรอง ACM กับบริการใดของ AWS ได้บ้าง

• คุณสามารถใช้ใบรับรอง ACM ทั้งแบบสาธารณะและแบบส่วนตัวได้กับบริการดังต่อไปนี้ของ AWS
• Elastic Load Balancing – โปรดดูที่เอกสารประกอบ Elastic Load Balancing
• Amazon CloudFront – โปรดดูที่เอกสารประกอบ CloudFront
• เกตเวย์ของ Amazon API – โปรดดูที่เอกสารประกอบเกตเวย์ของ API
• AWS CloudFormation – ปัจจุบันรองรับเฉพาะใบรับรองสาธารณะและส่วนตัวที่ออกโดย ACM โปรดดูที่เอกสารประกอบ AWS CloudFormation
• AWS Elastic Beanstalk – โปรดดูที่เอกสารประกอบ AWS Elastic Beanstalk
• AWS Nitro Enclaves – โปรดดูเอกสารประกอบของ AWS Nitro Enclaves

ถาม: ACM มีให้ใช้บริการใน Region ใดบ้าง

โปรดไปที่หน้าโครงสร้างพื้นฐานส่วนกลางของ AWS เพื่อดูการให้บริการใน Region ปัจจุบันสำหรับบริการของ AWS หากต้องการใช้ใบรับรองจาก ACM กับ Amazon CloudFront คุณต้องขอหรือนำเข้าใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM Certificates ในภูมิภาคนี้ที่เชื่อมโยงกับ Distribution ของ CloudFront จะถูกกระจายออกไปยังตำแหน่งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับ Distribution นั้น

ACM Certificates

ถาม: ACM จัดการใบรับรองประเภทใดได้บ้าง

ACM จัดการใบรับรองสาธารณะ ใบรับรองส่วนตัว และใบรับรองที่นำเข้า เรียนรู้เพิ่มเติมเกี่ยวกับความสามารถของ ACM ในเอกสารประกอบเกี่ยวกับการออกและการจัดการใบรับรอง

ถาม: ACM สามารถให้ใบรับรองที่มีชื่อโดเมนหลายชื่อได้หรือไม่

ได้ ใบรับรองแต่ละใบต้องระบุชื่อโดเมนอย่างน้อยหนึ่งชื่อ และหากต้องการ คุณก็สามารถใส่ชื่อเพิ่มเติมลงในใบรับรองได้อีก ตัวอย่างเช่น คุณสามารถใส่ชื่อ “www.example.net” ลงในใบรับรองสำหรับ “www.example.com” หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่อใดชื่อหนึ่ง คุณต้องเป็นเจ้าของหรือควบคุมทุกชื่อที่ระบุไว้ในคำขอใบรับรอง 

ถาม: Wildcard Domain Name คืออะไร

Wildcard Domain Name จะจับคู่กับโดเมนย่อยระดับแรกหรือชื่อโฮสต์ในโดเมน โดเมนย่อยระดับแรกคือป้ายชื่อโดเมนเดียวที่ไม่มีมหัพภาค (เครื่องหมายจุด) ตัวอย่างเช่น คุณสามารถใช้ชื่อ *.example.com เพื่อปกป้อง www.example.com, images.example.com และชื่อโฮสต์อื่นๆ หรือโดเมนย่อยระดับแรกที่ลงท้ายด้วย .example.com เรียนรู้เพิ่มเติมได้ในคู่มือผู้ใช้ ACM

ถาม: ACM สามารถให้ใบรับรองที่มี Wildcard Domain Name ได้หรือไม่

ได้

ถาม: ACM ให้ใบรับรองนอก SSL/TLS หรือไม่

ไม่

ถาม: ฉันสามารถใช้ใบรับรอง ACM สำหรับการลงชื่อโค้ดหรือการเข้ารหัสอีเมลได้หรือไม่

ไม่ได้

ถาม: ACM ให้ใบรับรองที่ใช้ในการลงชื่อและเข้ารหัสอีเมล (ใบรับรอง S/MIME) หรือไม่

ไม่

ถาม: ใบรับรอง ACM มีระยะเวลาที่ใช้ได้นานเท่าใด

ใบรับรองที่ออกผ่าน ACM ใช้ได้นาน 13 เดือน (395 วัน) หากคุณออกใบรับรองส่วนตัวโดยตรงจาก Private CA และจัดการคีย์กับใบรับรองโดยไม่ใช้ ACM สำหรับการจัดการใบรับรอง คุณจะสามารถเลือกระยะเวลาที่ใช้ได้ รวมถึงวันที่สิ้นสุดแน่นอน หรือเวลาที่สัมพันธ์กัน นั่นคือวัน เดือน หรือปี โดยนับจากเวลาปัจจุบัน

ถาม: ใบรับรองที่ออกโดย ACM ใช้อัลกอริธึมใด

ตามค่าเริ่มต้นแล้ว ใบรับรองที่ออกโดย ACM จะใช้คีย์ RSA ที่มี Modulus 2048 บิตและ SHA-256 นอกจากนั้น คุณสามารถขอใบรับรอง Elliptic Curve Digital Signature Algorithm (ECDSA) ด้วย P-256 หรือ P-384 เรียนรู้เพิ่มเติมเกี่ยวกับอัลกอริทึมในคู่มือผู้ใช้ ACM

ถาม: ฉันจะเพิกถอนใบรับรองได้อย่างไร

คุณสามารถขอ ACM ให้เพิกถอนใบรับรองสาธารณะได้โดยไปที่ AWS Support Center แล้วสร้างเคส หากต้องการเพิกถอนใบรับรองส่วนตัวที่ออกโดย AWS Private CA โปรดดูที่คู่มือผู้ใช้ AWS Private CA

ถาม: ฉันสามารถใช้ใบรับรอง ACM ใบเดียวกันใน AWS Region มากกว่า 1 แห่งได้หรือไม่

ไม่ได้ ใบรับรอง ACM ต้องอยู่ใน Region เดียวกับทรัพยากรที่ใช้ใบรับรองเหล่านั้น ข้อยกเว้นเพียงอย่างเดียวคือ Amazon CloudFront ซึ่งเป็นบริการระดับโลกที่ต้องมีใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียฝั่งเหนือ) ACM Certificates ในภูมิภาคนี้ที่เชื่อมโยงกับ Distribution ของ CloudFront จะถูกกระจายออกไปยังตำแหน่งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับ Distribution นั้น

ถาม: ฉันสามารถเตรียมใช้งานใบรับรองกับ ACM ได้หรือไม่ ในกรณีที่มีใบรับรองสำหรับชื่อโดเมนเดียวกันจากผู้ให้บริการรายอื่นอยู่แล้ว

ได้

ถาม: ฉันสามารถใช้ใบรับรองบนอินสแตนซ์ Amazon EC2 หรือบนเซิร์ฟเวอร์ของฉันเองได้หรือไม่

ใบรับรองส่วนตัวที่ออกโดย ACM Private CA สามารถใช้กับอินสแตนซ์ EC2 คอนเทนเนอร์ และเซิร์ฟเวอร์ของคุณเองได้ ในขณะนี้ ใบรับรอง ACM แบบสาธารณะสามารถใช้ได้กับบางบริการของ AWS เท่านั้น รวมถึง AWS Nitro Enclaves ดูการผสานบริการ ACM

ถาม: ACM อนุญาตให้ใช้อักขระในภาษาท้องถิ่นกับชื่อโดเมนหรือที่เรียกว่าชื่อโดเมนภาษาท้องถิ่น (IDN) หรือไม่

ACM ไม่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ Unicode แต่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ ASCII เป็นชื่อโดเมนได้

ถาม: ACM อนุญาตให้ใช้ป้ายชื่อโดเมนในรูปแบบใด

ACM อนุญาตให้ใช้ ASCII ที่มีการเข้ารหัสแบบ UTF-8 รวมถึงป้ายที่มี “xn—” โดยเรียกกันทั่วไปว่า Punycode สำหรับชื่อโดเมน ACM ไม่ยอมรับอินพุต Unicode (u-label) เป็นชื่อโดเมน

ถาม: ฉันสามารถนำเข้าใบรับรองจากบริษัทที่สามและใช้ใบรับรองนั้นกับบริการของ AWS ได้หรือไม่

ได้ หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือ Amazon API Gateway คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้ AWS Management Console, AWS CLI หรือ ACM API ACM ไม่ดำเนินการต่ออายุให้กับใบรับรองที่นำเข้า คุณสามารถใช้คอนโซลการจัดการของ AWS ตรวจสอบวันหมดอายุของใบรับรองที่นำเข้า แล้วนำเข้าใบรับรองจากบริษัทอื่นใบใหม่เพื่อแทนใบที่หมดอายุ

ACM Public Certificates

ถาม: ใบรับรองสาธารณะคืออะไร

ใบรับรองสาธารณะและใบรับรองส่วนตัวจะช่วยลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้เหมือนกัน ใบรับรองสาธารณะจะระบุทรัพยากรบนอินเทอร์เน็ต

ถาม: ACM ให้ใบรับรองสาธารณะประเภทใด

ACM ให้ใบรับรองสาธารณะประเภทยืนยันความเป็นเจ้าของโดเมน (DV) สำหรับใช้กับเว็บไซต์และแอปพลิเคชันที่ยกเลิกใช้ SSL/TLS โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับ ACM Certificates ที่คุณลักษณะของใบรับรอง

ถาม: เบราว์เซอร์ ระบบปฏิบัติการ และอุปกรณ์เคลื่อนที่เชื่อถือ ACM Public Certificates หรือไม่

เบราว์เซอร์ ระบบปฏิบัติการ และอุปกรณ์เคลื่อนที่สมัยใหม่ส่วนใหญ่เชื่อถือใบรับรองสาธารณะจาก ACM ใบรับรองที่ ACM จัดให้ 99% จะมีอยู่ทั่วไปสำหรับเบราว์เซอร์และระบบปฏิบัติการ รวมถึง Windows XP SP3 กับ Java 6 และใหม่กว่า

ถาม: ฉันจะตรวจสอบได้อย่างไรว่าเบราว์เซอร์เชื่อถือ ACM Public Certificates

เบราว์เซอร์ที่เชื่อถือ ACM Certificates จะแสดงไอคอนรูปล็อกและไม่ออกคำเตือนใบรับรองเมื่อเชื่อมต่อกับเว็บไซต์ที่ใช้ ACM Certificates ผ่าน SSL/TLS ตัวอย่างเช่น การใช้ HTTPS

ACM Certificates แบบสาธารณะได้รับการยืนยันโดยผู้ออกใบรับรอง (CA) ของ Amazon เบราว์เซอร์ แอปพลิเคชัน หรือ OS รวมถึง Amazon Root CA 1, Starfield Services Root Certificate Authority - G2 หรือ Starfield Class 2 Certification Authority เชื่อถือ ACM Certificates

ถาม: ACM ให้ใบรับรองสาธารณะประเภทตรวจสอบตัวตนขององค์กร (OV) หรือตรวจสอบองค์กรอย่างละเอียด (EV) หรือไม่

ไม่

ถาม: Amazon อธิบายนโยบายและแนวทางปฏิบัติสำหรับการออกใบรับรองสาธารณะไว้ที่ใด

มีการอธิบายเรื่องดังกล่าวไว้ในเอกสารเกี่ยวกับนโยบายของ Amazon Trust Services Certificate และ Amazon Trust Services Certification Practices Statement โปรดดูเวอร์ชันล่าสุดที่ Amazon Trust Services repository

ถาม: ใบรับรองสำหรับ www.example.com จะยังคงทำงานร่วมกับ example.com ได้หรือไม่

ไม่ได้ หากคุณต้องการให้เว็บไซต์สามารถอ้างอิงชื่อโดเมนได้ทั้งสองชื่อ (www.example.com หรือ example.com) คุณต้องขอใบรับรองที่ระบุทั้งสองชื่อนั้น

ถาม: ACM สามารถช่วยให้องค์กรปฏบัติตามข้อกำหนดได้อย่างไร

การใช้ ACM ช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้โดยอำนวยความสะดวกสำหรับการเชื่อมต่อที่ปลอดภัย ซึ่งเป็นข้อกำหนดทั่วไปของโปรแกรมการปฏิบัติตามข้อกำหนดหลายๆ อย่าง เช่น PCI, FedRAMP และ HIPAA โปรดดูข้อมูลเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนดที่ http://aws.amazon.com/compliance

ถาม: ACM มีข้อตกลงระดับการให้บริการ (SLA) หรือไม่

ไม่ ACM ไม่มี SLA 

ถาม: ACM ให้ตราเว็บไซต์ปลอดภัยหรือโลโก้แสดงความน่าเชื่อถือที่ฉันสามารถแสดงไว้บนเว็บไซต์หรือไม่

ไม่มี หากคุณต้องการใช้ตราเว็บไซต์ปลอดภัย คุณสามารถขอรับได้จากผู้จัดจำหน่ายของบริษัทอื่น เราขอแนะนำให้เลือกผู้จัดจำหน่ายที่ประเมินและยืนยันความปลอดภัยของเว็บไซต์หรือแนวทางการดำเนินธุรกิจของคุณหรือทั้งสองอย่าง

ถาม: Amazon อนุญาตให้ใช้เครื่องหมายการค้าหรือโลโก้ของตนเป็นป้ายรับรอง ตราเว็บไซต์ปลอดภัย หรือโลโก้แสดงความน่าเชื่อถือหรือไม่

ไม่ได้ ตราและป้ายประเภทนี้สามารถถูกคัดลอกไปยังเว็บไซต์ที่ไม่ได้ใช้บริการ ACM และนำไปใช้เพื่อสร้างความเชื่อใจภายใต้การหลอกลวงอย่างไม่เหมาะสมได้ เพื่อปกป้องลูกค้าของเราและชื่อเสียงของ Amazon เราจึงไม่อนุญาตให้นำโลโก้ของเราไปใช้ในลักษณะนี้

 

Provision Public Certificates

ถาม: ฉันจะเตรียมใช้งานใบรับรองสาธารณะจาก ACM ได้อย่างไร

คุณสามารถใช้ AWS Management Console, AWS CLI หรือ ACM API/SDK หากต้องการใช้ AWS Management Console ให้ไปที่ Certificate Manager เลือก Request a certificate (ขอใบรับรอง) เลือก Request a public certificate (ขอใบรับรองสาธารณะ) ระบุชื่อโดเมนสำหรับเว็บไซต์ และทำตามคำแนะนำบนหน้าจอเพื่อกรอกคำขอ คุณสามารถใส่ชื่อโดเมนเพิ่มเติมลงในคำขอได้อีก หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่ออื่น ก่อนที่ ACM จะออกใบรับรองได้ ระบบต้องยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอใบรับรองของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS จะให้คุณเขียนบันทึกการกำหนดค่า DNS สาธารณะสำหรับโดเมนเพื่อกำหนดว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้น หลังจากใช้การยืนยัน DNS หนึ่งครั้งเพื่อสร้างการควบคุมโดเมนแล้ว คุณจะสามารถรับใบรับรองเพิ่มเติมและให้ ACM ต่ออายุใบรับรองที่มีอยู่สำหรับโดเมนนั้นได้นานเท่าที่ยังคงมีบันทึกดังกล่าวและยังคงใช้งานใบรับรองนั้นอยู่ คุณไม่จำเป็นต้องยืนยันการควบคุมโดเมนนั้นอีกครั้ง หากคุณเลือกการยืนยันทางอีเมลแทนการเลือกการยืนยัน DNS ระบบจะส่งอีเมลไปยังเจ้าของโดเมนที่ขออนุมัติการออกใบรับรอง หลังจากยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนแต่ละชื่อในคำขอแล้ว ระบบจะออกใบรับรองที่พร้อมเตรียมใช้งานกับบริการอื่นๆ ของ AWS เช่น Elastic Load Balancing หรือ Amazon CloudFront โปรดดูรายละเอียดที่เอกสารประกอบ ACM

ถาม: ทำไม ACM ต้องยืนยันความเป็นเจ้าของโดเมนสำหรับใบรับรองสาธารณะ

ใบรับรองจะใช้ในการสร้างข้อมูลประจำตัวของเว็บไซต์และการเชื่อมต่อที่ปลอดภัยระหว่างเบราว์เซอร์กับแอปพลิเคชันและเว็บไซต์ของคุณ ในการออกใบรับรองที่น่าเชื่อถือแบบเป็นสาธารณะ Amazon ต้องยืนยันว่าผู้ขอใบรับรองมีสิทธิ์ควบคุมชื่อโดเมนในคำขอใบรับรองนั้น

ถาม: ACM ยืนยันความเป็นเจ้าของโดเมนก่อนออกใบรับรองสาธารณะสำหรับโดเมนนั้นอย่างไร

ก่อนออกใบรับรอง ACM จะยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอใบรับรองของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ โปรดดูรายละเอียดเพิ่มเติมที่การยืนยัน DNS หากคุณไม่มีความสามารถในการเขียนบันทึกลงในการกำหนดค่า DNS สาธารณะสำหรับโดเมน คุณสามารถใช้การยืนยันทางอีเมลแทนการยืนยัน DNS ได้ การยืนยันทางอีเมลช่วยให้ ACM สามารถส่งอีเมลไปยังเจ้าของโดเมนที่ลงทะเบียนไว้ จากนั้นเจ้าของหรือตัวแทนที่ได้รับอนุญาตจะสามารถอนุมัติการออกชื่อโดเมนแต่ละชื่อในคำขอใบรับรองนั้น โปรดดูรายละเอียดเพิ่มเติมที่การยืนยันทางอีเมล

ถาม: ฉันควรใช้วิธีการยืนยันแบบใดกับใบรับรองสาธารณะของฉัน: DNS หรืออีเมล

เราขอแนะนำให้คุณใช้การยืนยัน DNS หากคุณมีความสามารถที่จะเปลี่ยนการกำหนดค่า DNS สำหรับโดเมน ลูกค้าที่ไม่สามารถรับอีเมลยืนยันจาก ACM และลูกค้าที่ใช้หน่วยงานจดทะเบียนชื่อโดเมนที่ไม่เปิดเผยข้อมูลติดต่อทางอีเมลของเจ้าของโดเมนใน WHOIS ควรใช้การยืนยัน DNS หากคุณไม่สามารถแก้ไขการกำหนดค่า DNS คุณควรใช้การยืนยันทางอีเมล

ถาม: ฉันสามารถเปลี่ยนการยืนยันทางอีเมลของใบรับรองสาธารณะที่มีอยู่ให้เป็นการยืนยัน DNS ได้หรือไม่

ไม่ได้ แต่คุณสามารถขอใบรับรองฟรีใบใหม่จาก ACM และเลือกการยืนยัน DNS สำหรับใบรับรองใหม่ได้

ถาม: การออกใบรับรองสาธารณะใช้เวลานานเท่าใด

การออกใบรับรองอาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอใบรับรองแล้ว

ถาม: จะเกิดอะไรขึ้นเมื่อฉันขอใบรับรองสาธารณะ

ACM พยายามยืนยันความเป็นเจ้าของหรือการควบคุมชื่อโดเมนแต่ละชื่อในคำขอใบรับรองของคุณตามวิธีการยืนยันที่คุณเลือกเมื่อส่งคำขอ ไม่ว่าจะเป็น DNS หรืออีเมล ขณะที่ ACM พยายามยืนยันว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้นอยู่ คำขอใบรับรองจะมีสถานะเป็นอยู่ระหว่างการตรวจสอบ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับขั้นตอนการยืนยันที่ส่วนการยืนยัน DNS หรือการยืนยันทางอีเมลที่ด้านล่าง หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอใบรับรองแล้ว การออกใบรับรองอาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น เมื่อออกใบรับรองแล้ว สถานะคำขอใบรับรองจะเปลี่ยนเป็นออกแล้วและคุณสามารถเริ่มใช้ใบรับรองนั้นกับบริการอื่นๆ ของ AWS ที่ผสานรวมกับ ACM ได้

ถาม: ACM ตรวจสอบบันทึก Certificate Authority Authorization (CAA) ของ DNS ก่อนที่จะออกใบรับรองสาธารณะหรือไม่

ได้ บันทึก Certificate Authority Authorization (CAA) ของ DNS ช่วยให้เจ้าของโดเมนสามารถระบุผู้ออกใบรับรองที่ได้รับอนุญาตให้ออกใบรับรองโดเมนของตน AWS Certificate Manager จะค้นหาบันทึก CAA ในการกำหนดค่าโซน DNS สำหรับโดเมน เมื่อคุณขอใบรับรองจาก ACM หากไม่มีบันทึก CAA นั้นอยู่ Amazon ก็สามารถออกใบรับรองสำหรับโดเมนของคุณได้ ลูกค้าส่วนใหญ่อยู่ในหมวดหมู่นี้

Amazon จะออกใบรับรองสำหรับโดเมนของคุณได้ในกรณีที่การกำหนดค่า DNS ของคุณมีบันทึก CAA ซึ่งบันทึกนั้นต้องระบุ CA รายการใดรายการหนึ่งดังต่อไปนี้เสียก่อน: amazon.com, amazontrust.com, awstrust.com หรือ amazonaws.com โปรดดูข้อมูลเพิ่มเติมที่กำหนดค่าบันทึก CAA หรือการแก้ไขปัญหา CAA ในคู่มือผู้ใช้ AWS Certificate Manager

ถาม: ACM รองรับวิธีการอื่นๆ สำหรับการยืนยันโดเมนหรือไม่

ยังใช้ไม่ได้ในขณะนี้

การยืนยัน DNS

ถาม: การยืนยัน DNS คืออะไร

การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ การยืนยัน DNS ทำให้สามารถกำหนดได้อย่างง่ายดายว่าคุณเป็นเจ้าของโดเมน เมื่อขอใบรับรอง SSL/TLS สาธารณะจาก ACM

ถาม: การยืนยัน DNS มีประโยชน์อย่างไร

การยืนยัน DNS ทำให้สามารถยืนยันได้อย่างง่ายดายว่าคุณเป็นเจ้าของหรือควบคุมโดเมน เพื่อให้คุณได้รับใบรับรอง SSL/TLS เมื่อใช้การยืนยัน DNS คุณเพียงเขียนบันทึก CNAME ลงในการกำหนดค่า DNS เพื่อกำหนดการควบคุมชื่อโดเมนของคุณ หากต้องการให้ขั้นตอนการยืนยัน DNS ง่ายขึ้น ACM Management Console ก็สามารถกำหนดค่าบันทึก DNS แก่คุณได้ หากคุณจัดการบันทึก DNS ของคุณโดยใช้ Amazon Route 53 วิธีนี้ทำให้สามารถกำหนดการควบคุมชื่อโดเมนของคุณได้อย่างง่ายดายด้วยการคลิกเมาส์ไม่กี่ครั้ง เมื่อกำหนดค่าบันทึก CNAME แล้ว ACM จะต่ออายุใบรับรองที่ใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) โดยอัตโนมัติได้นานเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่ การต่ออายุเป็นไปโดยอัตโนมัติและไม่ต้องทำสิ่งใดเลย

ถาม: ใครควรใช้การยืนยัน DNS บ้าง

ทุกคนที่ขอใบรับรองผ่าน ACM และมีความสามารถที่จะเปลี่ยนการกำหนดค่า DNS สำหรับโดเมนที่ตนกำลังขออยู่ควรพิจารณาการใช้การยืนยัน DNS

ถาม: ACM ยังคงรองรับการยืนยันทางอีเมลหรือไม่

ได้ ACM ยังคงรองรับการยืนยันทางอีเมลต่อไปสำหรับลูกค้าที่ไม่สามารถเปลี่ยนการกำหนดค่า DNS ของตนได้

ถาม: ฉันต้องเพิ่มบันทึกใดลงในการกำหนดค่า DNS เพื่อยืนยันโดเมน

คุณต้องเพิ่มบันทึก CNAME สำหรับโดเมนที่คุณต้องการยืนยัน ตัวอย่างเช่น หากต้องการยืนยันชื่อ www.example.com ให้คุณเพิ่มบันทึก CNAME ลงในโซนสำหรับ example.com บันทึกที่คุณเพิ่มนั้นมีโทเค็นแบบไม่ซ้ำกันที่ ACM สร้างขึ้นมาเพื่อโดเมนและบัญชี AWS ของคุณโดยเฉพาะ คุณจะได้รับบันทึก CNAME สองส่วน (ชื่อและป้าย) จาก ACM โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

ถาม: ฉันจะเพิ่มหรือแก้ไขบันทึก DNS สำหรับโดเมนของฉันได้อย่างไร

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีเพิ่มหรือแก้ไขบันทึก DNS ควรสอบถามผู้ให้บริการ DNS ของคุณ เอกสารประกอบ DNS ของ Amazon Route 53 ให้ข้อมูลเพิ่มเติมแก่ลูกค้าที่ใช้ DNS ของ Amazon Route 53

ถาม: ACM สามารถทำให้การยืนยัน DNS สำหรับลูกค้า DNS ของ Amazon Route 53 ง่ายขึ้นได้หรือไม่

ได้ สำหรับลูกค้าที่ใช้ DNS ของ Amazon Route 53 เพื่อจัดการบันทึก DNS ACM Console สามารถเพิ่มบันทึกลงในการกำหนดค่า DNS แก่คุณได้เมื่อคุณขอใบรับรอง โซนที่โฮสต์ DNS ของ Route 53 สำหรับโดเมนของคุณต้องได้รับการกำหนดค่าในบัญชี AWS เดียวกันกับบัญชีที่คุณใช้ส่งคำขอและคุณต้องมีสิทธิ์เพียงพอที่จะเปลี่ยนการกำหนดค่า Amazon Route 53 ของคุณได้ โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

ถาม: ฉันต้องใช้ผู้ให้บริการ DNS ที่เฉพาะเจาะจงเพื่อยืนยัน DNS หรือไม่

ไม่ต้อง คุณสามารถใช้การยืนยัน DNS กับผู้ให้บริการ DNS ทุกรายตราบใดที่ผู้ให้บริการรายนั้นอนุญาตให้คุณเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ

ถาม: ฉันต้องมีบันทึก DNS กี่รายการ หากต้องการให้โดเมนเดียวกันมีใบรับรองมากกว่าหนึ่งใบ

หนึ่งรายการ คุณสามารถขอรับใบรับรองหลายใบสำหรับชื่อโดเมนชื่อเดียวกันในบัญชี AWS เดียวกันได้โดยใช้บันทึก CNAME ตัวอย่างเช่น หากคุณส่งคำขอใบรับรอง 2 รายการสำหรับโดเมนชื่อเดียวกันจากบัญชี AWS เดียวกัน คุณจำเป็นต้องใช้บันทึก CNAME สำหรับ DNS เพียง 1 รายการ

ถาม: ฉันสามารถยืนยันโดเมนได้หลายชื่อโดยใช้บันทึก CNAME เดียวกันได้หรือไม่

ไม่ได้ แต่ละชื่อโดเมนต้องมีบันทึก CNAME ที่ไม่ซ้ำกัน

ถาม: ฉันสามารถยืนยัน Wildcard Domain Name ได้โดยใช้การยืนยัน DNS หรือไม่

ได้

ถาม: ACM สร้างบันทึก CNAME ได้อย่างไร

บันทึก CNAME ของ DNS มีสององค์ประกอบ: ชื่อและป้าย องค์ประกอบชื่อของ CNAME ที่ ACM สร้างขึ้นนั้นประกอบด้วยเครื่องหมายสัญประกาศ (_) ตามด้วยโทเค็น ซึ่งเป็นสตริงที่ไม่ซ้ำกันที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของคุณเพื่อสร้างองค์ประกอบชื่อ ACM สร้างป้ายขึ้นจากเครื่องหมายสัญประกาศที่แนบเข้ากับโทเค็นต่างๆ ที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของ DNS ที่ AWS ใช้สำหรับการยืนยัน: acm-validations.aws ตัวอย่างด้านล่างแสดงรูปแบบของ CNAME สำหรับ www.example.com, subdomain.example.com และ *.example.com

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

โปรดทราบว่า ACM จะลบป้าย Wildcard (*) ออกเมื่อมีการสร้างบันทึก CNAME สำหรับชื่อ Wildcard ด้วยเหตุนี้บันทึก CNAME ที่ ACM สร้างขึ้นสำหรับชื่อ Wildcard (เช่น *.example.com) จึงเป็นบันทึกเดียวกันกับที่มีการส่งคืนไปให้ชื่อโดเมนที่ไม่มีป้าย Wildcard (example.com)

ถาม: ฉันสามารถยืนยันโดเมนย่อยทั้งหมดของโดเมนที่ใช้บันทึก CNAME เดียวได้หรือไม่

ไม่ได้ ชื่อโดเมนแต่ละชื่อ รวมถึงชื่อโฮสต์และชื่อโดเมนย่อยต้องมีการยืนยันแยกกัน เนื่องจากแต่ละชื่อมีบันทึก CNAME ไม่ซ้ำกัน

ถาม: ทำไม ACM ใช้บันทึก CNAME สำหรับการยืนยัน DNS แทนบันทึก TXT

การใช้บันทึก CNAME ช่วยให้ ACM สามารถต่ออายุใบรับรองได้นานเท่าที่มีบันทึก CNAME นั้นอยู่ บันทึก CNAME จะนำทางไปยังบันทึก TXT ในโดเมนของ AWS (acm-validations.aws) ซึ่ง ACM สามารถอัปเดตได้ตามความจำเป็นเพื่อยืนยันชื่อโดเมนหรือยืนยันซ้ำอีกครั้งโดยคุณไม่ต้องทำอะไรเลย

ถาม: การยืนยัน DNS ทำงานข้ามภูมิภาค AWS ได้หรือไม่

ได้ คุณสามารถสร้างบันทึก CNAME ของ DNS รายการเดียวแล้วใช้บันทึกนั้นรับใบรับรองในบัญชี AWS เดียวกันในภูมิภาค AWS ใดก็ได้ที่มี ACM ให้บริการอยู่ กำหนดค่าบันทึก CNAME ครั้งเดียวแล้วคุณจะได้รับใบรับรองที่ ACM ออกและต่ออายุให้สำหรับชื่อนั้นโดยไม่ต้องสร้างบันทึกอื่นอีก

ถาม: ฉันสามารถเลือกวิธีการยืนยันที่แตกต่างกันให้กับใบรับรองใบเดียวกันได้หรือไม่

ไม่ได้ ใบรับรองแต่ละใบมีการยืนยันได้วิธีเดียวเท่านั้น

ถาม: ฉันจะต่ออายุใบรับรองที่ยืนยันแล้วด้วยการยืนยัน DNS ได้อย่างไร

ACM จะต่ออายุใบรับรองที่ใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) โดยอัตโนมัติได้นานเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่

ถาม: ฉันสามารถเพิกถอนสิทธิ์การออกใบรับรองสำหรับโดเมนของฉันได้หรือไม่

ได้ เพียงลบบันทึก CNAME ออก ACM จะไม่ออกหรือต่ออายุใบรับรองสำหรับโดเมนที่ใช้การยืนยัน DNS หลังจากคุณลบบันทึก CNAME ออกแล้วและมีการกระจายการเปลี่ยนแปลงผ่าน DNS เวลาเผยแพร่การลบบันทึกจะขึ้นอยู่กับผู้ให้บริการ DNS ของคุณ

ถาม: จะเกิดอะไรขึ้นหากฉันลบบันทึก CNAME

ACM จะไม่สามารถออกหรือต่ออายุใบรับรองสำหรับโดเมนที่ใช้การยืนยัน DNS ได้หากคุณลบบันทึก CNAME

การยืนยันทางอีเมล

ถาม: การยืนยันทางอีเมลคืออะไร

การยืนยันทางอีเมลช่วยให้สามารถส่งอีเมลคำขออนุมัติไปยังเจ้าของโดเมนที่ลงทะเบียนไว้สำหรับชื่อโดเมนแต่ละชื่อในคำขอใบรับรอง เจ้าของโดเมนหรือตัวแทนที่ได้รับอนุญาต (ผู้อนุมัติ) สามารถอนุมัติคำขอใบรับรองได้โดยการทำตามคำแนะนำในอีเมล คำแนะนำแจ้งให้ผู้อนุมัติไปยังเว็บไซต์สำหรับอนุมัติแล้วคลิกลิงก์ในอีเมลหรือวางลิงก์จากอีเมลนั้นลงในเบราว์เซอร์เพื่อไปยังเว็บไซต์สำหรับอนุมัติ ผู้อนุมัติยืนยันข้อมูลที่เกี่ยวข้องกับคำขอใบรับรอง เช่น ชื่อโดเมน รหัสใบรับรอง (ARN) และรหัสบัญชี AWS ที่ใช้เริ่มต้นคำขอและอนุมัติคำขอนั้นหากข้อมูลถูกต้อง

ถาม: เมื่อฉันขอใบรับรองและเลือกการยืนยันทางอีเมล ระบบจะส่งคำขออนุมัติใบรับรองไปยังอีเมลใด

เมื่อคุณขอใบรับรองโดยใช้การยืนยันทางอีเมล WHOIS จะค้นหาชื่อโดเมนแต่ละชื่อในคำขอใบรับรองที่นำมาใช้เรียกดูข้อมูลผู้ติดต่อสำหรับโดเมนนั้น ระบบจะส่งอีเมลไปยังผู้ลงทะเบียนโดเมน ผู้ติดต่อด้านงานดูแลระบบ และผู้ติดต่อด้านเทคนิคที่ระบุไว้สำหรับโดเมนนั้น นอกจากนี้ยังมีการส่งอีเมลไปยังที่อยู่อีเมลพิเศษห้าอีเมลซึ่งสร้างขึ้นโดยการแนบ admin@, administrator@, hostmaster@, webmaster@ และ postmaster@ เข้ากับชื่อโดเมนที่คุณกำลังขอ ตัวอย่างเช่น หากคุณขอใบรับรองสำหรับ server.example.com ระบบจะส่งอีเมลไปยังผู้ลงทะเบียนโดเมน ผู้ติดต่อด้านเทคนิค และผู้ติดต่อด้านงานดูแลระบบ โดยใช้ข้อมูลผู้ติดต่อที่การสืบค้น WHOIS ได้ส่งกลับมาให้สำหรับโดเมน example.com บวกกับ admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com และ webmaster@server.example.com

อีเมลพิเศษห้าอีเมลนั้นมีการสร้างขึ้นให้แตกต่างกันสำหรับชื่อโดเมนที่ขึ้นต้นด้วย "www" หรือชื่อ Wildcard ที่ขึ้นต้นด้วยเครื่องหมายดอกจัน (*) ACM จะลบ "www" หรือเครื่องหมายดอกจันที่นำหน้าออกแล้วส่งอีเมลไปยังที่อยู่ด้านงานดูแลระบบที่สร้างขึ้นโดยการนำ admin@, administrator@, hostmaster@, postmaster@ และ webmaster@ มาวางไว้ด้านหน้าของส่วนที่เหลือของชื่อโดเมน ตัวอย่างเช่น หากคุณขอใบรับรองสำหรับ www.example.com ระบบจะส่งอีเมลไปยังผู้ติดต่อ WHOIS ตามที่อธิบายไว้ก่อนหน้า บวกกับ admin@example.com แทนการส่งไปที่ admin@www.example.com ที่อยู่อีเมลพิเศษอีกสี่อีเมลที่เหลือก็มีรูปแบบคล้ายกัน

หลังจากขอใบรับรอง คุณจะสามารถแสดงรายชื่อที่อยู่อีเมลซึ่งระบบได้ส่งอีเมลโดยใช้ ACM Console, AWS CLI หรือ API ไปหาเกี่ยวกับแต่ละโดเมน

ถาม: ฉันสามารถกำหนดค่าที่อยู่อีเมลให้กับคำขออนุมัติใบรับรองที่ส่งออกไปได้หรือไม่

ไม่ได้ แต่คุณสามารถกำหนดค่าชื่อโดเมนพื้นฐานแก่โดเมนที่คุณต้องการให้ส่งอีเมลยืนยันได้ ชื่อโดเมนพื้นฐานต้องเป็นซูเปอร์โดเมนของชื่อโดเมนในคำขอใบรับรอง ตัวอย่างเช่น หากคุณต้องการขอใบรับรองสำหรับ server.domain.example.com แต่ต้องการให้ส่งอีเมลอนุมัติตรงไปยัง admin@domain.example.com คุณสามารถทำเช่นนั้นได้โดยใช้ AWS CLI หรือ API โปรดดูรายละเอียดเพิ่มเติมที่ข้อมูลอ้างอิง ACM CLI และข้อมูลอ้างอิง ACM API

ถาม: ฉันสามารถใช้โดเมนที่มีข้อมูลการติดต่อพร็อกซี่ (เช่น Privacy Guard หรือ WhoisGuard) ได้หรือไม่

ได้ แต่การจัดส่งอีเมลอาจล่าช้าเนื่องจากพร็อกซี อีเมลที่ส่งผ่านพร็อกซีอาจไปเข้าที่โฟลเดอร์สแปม โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

ถาม: ACM สามารถยืนยันข้อมูลประจำตัวของฉันโดยใช้ผู้ติดต่อด้านเทคนิคสำหรับบัญชี AWS ได้หรือไม่

ไม่ได้ ขั้นตอนและนโยบายสำหรับการยืนยันข้อมูลประจำตัวของเจ้าของโดเมนเข้มงวดมากและได้รับการกำหนดโดย CA/ฟอรัมเบราว์เซอร์ ซึ่งกำหนดมาตรฐานของนโยบายสำหรับผู้ออกใบรับรองที่น่าเชื่อถือต่อสาธารณชน หากต้องการเรียนรู้เพิ่มเติม โปรดดู Amazon Trust Services Certification Practices Statement ล่าสุดใน Amazon Trust Services Repository

ถาม: ฉันควรทำอย่างไรหากไม่ได้รับอีเมลอนุมัติ

โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

การป้องกันคีย์ส่วนตัว

ถาม: คีย์ส่วนตัวของใบรับรองที่ออกให้โดย ACM มีการจัดการอย่างไร

คู่คีย์จะถูกสร้างขึ้นสำหรับใบรับรองแต่ละใบที่ออกให้โดย ACM ACM ออกแบบมาเพื่อปกป้องและจัดการคีย์ส่วนตัวที่ใช้กับใบรับรอง SSL/TLS แนวปฏิบัติที่ดีที่สุดในการเข้ารหัสที่แน่นหนาและการจัดการคีย์จะใช้ในการปกป้องและจัดเก็บคีย์ส่วนตัว

ถาม: ACM ทำสำเนาใบรับรองข้ามภูมิภาค AWS ได้หรือไม่

ไม่ได้ คีย์ส่วนตัวของใบรับรองจาก ACM แต่ละใบได้รับการจัดเก็บไว้ในภูมิภาคที่คุณขอใบรับรองนั้น ตัวอย่างเช่น เมื่อคุณได้รับใบรับรองใหม่ในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM จะจัดเก็บคีย์ส่วนตัวไว้ในภูมิภาคเวอร์จิเนียเหนือ ทั้งนี้จะสามารถทำสำเนา ACM Certificates ข้ามภูมิภาคได้เมื่อใบรับรองนั้นเชื่อมโยงกับการกระจายของ CloudFront เท่านั้น ในกรณีดังกล่าว CloudFront จะกระจายใบรับรองของ ACM ไปยังสถานที่ตั้งทางภูมิศาสตร์ที่กำหนดค่าไว้สำหรับการกระจายของคุณ

การต่ออายุและการปรับใช้ที่มีการจัดการ

ถาม: การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM คืออะไร

การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM จะจัดการกระบวนการต่ออายุ SSL/TLS ACM Certificates และปรับใช้ใบรับรองหลังจากต่ออายุแล้ว

ถาม: การใช้การต่ออายุและการปรับใช้ที่มีการจัดการจาก ACM มีประโยชน์อย่างไร

ACM สามารถจัดการต่ออายุและปรับใช้ใบรับรอง SSL/TLS สำหรับคุณได้ ACM ช่วยให้การกำหนดค่าและดูแลรักษา SSL/TLS สำหรับบริการบนเว็บหรือแอปพลิเคชันมีความปลอดภัยในการดำเนินงานมากกว่ากระบวนการที่ทำด้วยตนเอง ซึ่งมีโอกาสเกิดข้อผิดพลาดได้ การต่ออายุและการปรับใช้ที่มีการจัดการช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองหมดอายุได้ ACM ทำงานในฐานะบริการที่ผสานรวมกับบริการอื่นๆ ของ AWS นั่นหมายความว่าคุณสามารถจัดการและปรับใช้ใบรับรองบนแพลตฟอร์ม AWS โดยใช้คอนโซลการจัดการของ AWS CLI หรือ API ได้จากส่วนกลาง ACM Private CA ช่วยให้คุณสามารถสร้างใบรับรองส่วนตัวและส่งออกใบรับรองดังกล่าวได้ ACM ต่ออายุใบรับรองที่ส่งออก ซึ่งช่วยให้โค้ดสำหรับการทำงานอัตโนมัติฝั่งไคลเอ็นต์ของคุณเองสามารถดาวน์โหลดและปรับใช้ใบรับรองดังกล่าวได้ 

ถาม: สามารถต่ออายุและปรับใช้ ACM Certificates ประเภทใดได้โดยอัตโนมัติ

ใบรับรองสาธารณะ

ACM สามารถต่ออายุและปรับใช้ ACM Certificates แบบสาธารณะ ได้โดยไม่ต้องมีการยืนยันเพิ่มเติมจากเจ้าของโดเมน หากไม่สามารถต่ออายุใบรับรองได้โดยไม่ต้องมีการยืนยันเพิ่มเติม ACM จะจัดการกระบวนการต่ออายุโดยยืนยันความเป็นเจ้าของหรือการควบคุมโดเมนนั้นสำหรับชื่อโดเมนแต่ละชื่อในใบรับรอง หลังจากยืนยันชื่อโดเมนแต่ละชื่อในใบรับรองแล้ว ACM จะต่ออายุใบรับรองและปรับใช้ใบรับรองนั้นกับทรัพยากร AWS ของคุณโดยอัตโนมัติ หาก ACM ไม่สามารถยืนยันความเป็นเจ้าของโดเมน เราจะแจ้งให้คุณ (เจ้าของบัญชี AWS) ทราบ

หากคุณเลือกการยืนยัน DNS ในคำขอใบรับรองของคุณ ACM จะสามารถต่ออายุใบรับรองได้อย่างไม่มีกำหนด โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติมได้นานเท่าที่มีใบรับรองนั้นใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่ หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรอง คุณจะสามารถปรับปรุงความสามารถของ ACM เพื่อต่ออายุหรือปรับใช้ใบรับรอง ACM ได้อย่างอัตโนมัติ โดยตรวจสอบให้แน่ใจว่ามีการใช้ใบรับรองนั้นอยู่ ว่าชื่อโดเมนทั้งหมดที่ระบุไว้ในใบรับรองสามารถนำทางมาที่เว็บไซต์ของคุณ และชื่อโดเมนทั้งหมดสามารถเข้าถึงได้จากอินเทอร์เน็ต

ใบรับรองส่วนตัว

ACM ให้ 2 ตัวเลือกในการจัดการใบรับรองส่วนตัวที่ออกโดยใช้ AWS Private CA ACM มีความสามารถในการต่ออายุที่แตกต่างกันไป โดยขึ้นอยู่กับวิธีที่คุณใช้จัดการใบรับรองส่วนตัวของคุณ คุณสามารถเลือกตัวเลือกการจัดการที่ดีที่สุดสำหรับใบรับรองส่วนตัวแต่ละใบที่คุณออกได้

1) ACM สามารถต่ออายุและปรับใช้ใบรับรองที่ออกด้วย AWS Private CA และใช้กับบริการที่ผสานกับ ACM เช่น Elastic Load Balancing และเกตเวย์ของ API ได้โดยอัตโนมัติ ACM สามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่ออกผ่าน ACM ได้ ตราบเท่าที่ CA ส่วนตัวซึ่งออกใบรับรองดังกล่าวยังคงอยู่ในสถานะกำลังใช้งาน
2) สำหรับใบรับรองส่วนตัวที่คุณส่งออกจาก ACM สำหรับใช้กับทรัพยากรในองค์กร, อินสแตนซ์ EC2 และอุปกรณ์ IoT นั้น ACM จะต่ออายุใบรับรองของคุณโดยอัตโนมัติ คุณต้องเรียกใช้ใบรับรองกับคีย์ส่วนตัวใหม่แล้วปรับใช้กับแอปพลิเคชันของคุณเอง

ถาม: ACM ต่ออายุใบรับรองเมื่อใด

ACM เริ่มกระบวนการต่ออายุก่อนใบรับรองหมดอายุล่วงหน้าสูงสุด 60 วัน ปัจจุบัน ACM Certificates มีระยะเวลาที่ใช้ได้นาน 13 เดือน (395 วัน) โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการต่ออายุที่มีการจัดการที่คู่มือผู้ใช้ ACM

ถาม: ฉันจะได้รับแจ้งก่อนมีการต่ออายุใบรับรองและปรับใช้ใบรับรองใหม่หรือไม่

ไม่มี ACM อาจต่ออายุหรือออกคีย์ใหม่ให้ใบรับรอง แล้วแทนที่ใบรับรองเก่าโดยไม่แจ้งล่วงหน้า

ถาม: ACM สามารถต่ออายุใบรับรองสาธารณะที่มีแบร์โดเมน เช่น “example.com” (หรือเรียกว่า Zone Apex หรือโดเมนเปล่า) หรือไม่

หากคุณเลือกการยืนยัน DNS ในคำขอใบรับรองสำหรับใบรับรองสาธารณะของคุณ หลังจากนั้น ACM จะสามารถต่ออายุใบรับรองได้โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติมได้นานเท่าที่มีใบรับรองนั้นใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่

หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรองสาธารณะโดยใช้แบร์โดเมน ตรวจสอบให้แน่ใจว่า DNS ค้นหาแบร์โดเมนที่แยกไปยังทรัพยากร AWS ซึ่งเชื่อมโยงกับใบรับรองนั้น การแยกแบร์โดเมนไปยังทรัพยากร AWS อาจยากลำบาก เว้นแต่ว่าคุณจะใช้ Route 53 หรือผู้ให้บริการ DNS รายอื่นที่รองรับบันทึกทรัพยากรนามแฝง (หรือที่เทียบเท่า) สำหรับการแมปแบร์โดเมนไปยังทรัพยากร AWS โปรดดูข้อมูลเพิ่มเติมที่คู่มือ Route 53 สำหรับนักพัฒนา

ถาม: เว็บไซต์ของฉันจะยุติการเชื่อมต่อที่มีอยู่เมื่อ ACM ปรับใช้ใบรับรองที่ต่ออายุหรือไม่

ไม่ การเชื่อมต่อที่สร้างขึ้นหลังจากการปรับใช้ใบรับรองใหม่จะใช้ใบรับรองใหม่ ซึ่งไม่มีผลกระทบกับการเชื่อมต่อที่มีอยู่

ถาม: ฉันสามารถใช้ใบรับรองใบเดียวกันกับ Load Balancer ของ Elastic Load Balancing หลายตัวและการกระจายของ CloudFront จำนวนมากได้หรือไม่

ได้

ถาม: ฉันสามารถใช้ใบรับรองสาธารณะสำหรับ Load Balancer ของ Elastic Load Balancing ภายในโดยที่ไม่มีการเข้าถึงอินเทอร์เน็ตสาธารณะได้หรือไม่

ได้ หรือคุณอาจพิจารณาการใช้ AWS Private CA เพื่อออกใบรับรองส่วนตัวที่ ACM สามารถต่ออายุได้โดยไม่ต้องมีการยืนยันได้ด้วยเช่นกัน โปรดดูการต่ออายุและการปรับใช้ที่มีการจัดการเพื่อดูรายละเอียดเกี่ยวกับวิธีที่ ACM จัดการต่ออายุใบรับรองสาธารณะที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตและใบรับรองส่วนตัว

การบันทึกข้อมูล

ถาม: ฉันสามารถตรวจสอบการใช้งานคีย์ส่วนตัวของใบรับรองได้หรือไม่

รองรับ การใช้ AWS CloudTrail ช่วยให้คุณสามารถตรวจสอบข้อมูลบันทึกที่แจ้งเวลาการใช้งานคีย์ส่วนตัวของใบรับรองให้คุณทราบได้

ถาม: สามารถใช้ข้อมูลการบันทึกใดได้จาก AWS CloudTrail

คุณสามารถระบุผู้ใช้และบัญชีที่เรียกใช้ AWS API สำหรับบริการที่รองรับ AWS CloudTrail ตลอดจนที่อยู่ IP ต้นทางที่มีการเรียกใช้ และเวลาที่เรียกใช้ ตัวอย่างเช่น คุณสามารถระบุผู้ใช้ที่เรียกใช้ API เพื่อเชื่อมโยงกับใบรับรองที่ ACM ออกให้โดยใช้ Elastic Load Balancer และเมื่อบริการ Elastic Load Balancing ถอดรหัสคีย์ด้วยการเรียก KMS API

การเรียกเก็บเงิน

ถาม: จะคิดค่าบริการและเรียกเก็บเงินสำหรับการใช้ ACM Certificates อย่างไร

ไม่ต้องเสียค่าใช้จ่ายสำหรับใบรับรองสาธารณะและใบรับรองส่วนตัวที่มีการเตรียมใช้งานผ่าน AWS Certificate Manager เพื่อนำไปใช้กับบริการที่ผสานรวมกับ ACM เช่น บริการ Elastic Load Balancing, Amazon CloudFront และเกตเวย์ของ Amazon API คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ AWS Private CA คิดราคาแบบจ่ายเงินตามที่คุณใช้งาน ไปที่หน้าราคา AWS Private CA สำหรับรายละเอียดและตัวอย่างเพิ่มเติม

AWS Private Certificate Authority

ถาม: ฉันจะหาข้อมูลเกี่ยวกับ AWS Private CA ได้จากที่ใด

กรุณาดูที่หน้า AWS Private CA FAQs สำหรับคำถามเกี่ยวกับการใช้งาน AWS Private CA

เรียนรู้เกี่ยวกับ AWS Certificate Manager Private Certificate Authority

ไปที่หน้าเว็บ

เรียนรู้เพิ่มเติม 
ลงชื่อสมัครใช้บัญชีฟรี

รับสิทธิ์การเข้าถึง AWS Free Tier ได้ทันที 

ลงชื่อสมัครใช้งาน 
เริ่มต้นสร้างใน Console

เริ่มต้นการสร้างด้วย AWS Certificate Manager ใน AWS Management Console

ลงชื่อเข้าใช้