Genel

S: AWS Certificate Manager (ACM) nedir?

AWS Certificate Manager, AWS hizmetleriyle ve dahili bağlantılı kaynaklarınızla kullanmak üzere genel ve özel Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) sertifikalarını kolayca tedarik etmenize, yönetmenize ve dağıtmanıza olanak sağlayan bir hizmettir. SSL/TLS sertifikaları, ağ iletişimlerinin güvenliğini sağlamak ve özel ağlar üzerindeki kaynakların yanı sıra İnternet üzerinden web sitelerinin kimliğini oluşturmak için de kullanılır. AWS Certificate Manager, kullanıcının kendisinin yaptığı zaman alıcı SSL/TLS sertifikası satın alma, karşıya yükleme ve yenileme işlemlerini ortadan kaldırır. AWS Certificate Manager ile hızlı şekilde bir sertifika isteyebilir, API Gateway üzerindeki API'ler, Amazon CloudFront dağıtımları ve Elastic Load Balancer’lar gibi AWS kaynaklarında sertifikayı dağıtabilir, AWS Certificate Manager'ın sertifika yenileme işlemlerini gerçekleştirmesini sağlayabilirsiniz. Aynı zamanda, dahili kaynaklarınız için özel sertifikalar oluşturmanıza ve sertifika yaşam döngüsünü merkezi olarak yönetmenize de olanak sağlar. AWS Certificate Manager üzerinden tedarik edilen ve özel olarak Elastic Load Balancing, Amazon CloudFront ve Amazon API Gateway gibi ACM ile entegre hizmetlerle kullanılan genel ve özel SSL/TLS sertifikaları ücretsizdir. Uygulamanızı çalıştırmak amacıyla oluşturduğunuz AWS kaynakları için ödeme yaparsınız. Her özel CA’nın çalıştırılması için (CA’yı silene kadar), ayrıca kendi düzenlediğiniz ve yalnızca ACM ile entegre hizmetler ile kullanılmayan özel sertifikalar için aylık bir ücret ödersiniz.

S: SSL/TLS sertifikası nedir?

SSL/TLS sertifikaları, web tarayıcılarının Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) protokolü kullanarak web sitelerine şifrelenmiş ağ bağlantıları tanımlamasını ve kurmasını sağlar. Sertifikalar, genel anahtar altyapısı (PKI) olarak bilinen bir şifreleme sisteminde kullanılır. PKI, her ikisi de sertifika yetkilisi olarak bilinen bir üçüncü partiye güvenen iki parti arasında, bir partinin sertifikaları kullanarak diğer partinin kimliğini oluşturması için bir yol sağlar. ACM Kullanıcı Kılavuzu’ndaki Kavramlar konusunda, daha fazla arka plan bilgisi ve açıklama bulabilirsiniz.

S: Özel sertifikalar nedir?

Özel sertifikalar bir kuruluştaki uygulamalar, hizmetler ve kullanıcılar gibi kaynakları tanımlar. Kurulan güvenli şifrelenmiş bir iletişim kanalıyla, her uç nokta diğer uç noktaya kimliğini kanıtlamak için bir sertifika ve şifreleme teknikleri kullanır. Dahili API uç noktaları, web sunucuları, VPN kullanıcıları, IoT cihazları ve başka birçok uygulama, güvenli işlemleri için gerekli olan şifrelenmiş iletişim kanalları oluşturmak amacıyla özel sertifikalar kullanır.

S: Genel ve özel sertifikalar arasındaki farklar nelerdir?

Hem genel hem de özel sertifikalar, müşterilerin ağlardaki kaynakları tanımlamasına ve bu kaynaklar arasındaki iletişimi güvenli hale getirmesine yardımcı olur. Genel sertifikalar genel İnternet üzerindeki kaynakları tanımlarken, özel sertifikalar özel ağlardaki kaynakları tanımlar. Temel farkları, uygulamalarla tarayıcıların varsayılan olarak genel sertifikalara güvenmelerine karşın, uygulamaların özel sertifikalara güvenmeleri için bir yöneticinin özel olarak bunu yapılandırmasının gerekmesidir. Genel sertifikaları veren kuruluşlar olan genel CA’lar; sıkı kurallara uymalı, işlemsel görünürlük sağlamalı ve kendi tarayıcı ve işletim sistemlerinin hangi CA’lara otomatik olarak güveneceğine karar veren tarayıcı ve işletim sistemi satıcılarının belirlediği güvenlik standartlarına uymalıdır. Özel CA’lar özel kuruluşlar tarafından yönetilir ve özel CA yöneticileri özel sertifikalar verirken kendi kurallarını oluşturabilir. Örneğin, sertifika verme uygulamalarını ve sertifikanın hangi bilgileri içereceğini belirleyebilir. Özel sertifikalar ve özel CA’lar hakkında daha fazla bilgi edinmek için aşağıdaki ACM Özel Sertifika Yetkilisi bölümüne bakın.

S: AWS Certificate Manager (ACM) ve ACM Özel Sertifika Yetkilisi (CA) kullanmanın avantajları nelerdir?

ACM, AWS platformundaki bir web sitesi veya uygulama için SSL/TLS’yi etkinleştirmeyi kolaylaştırır. ACM, daha önce manuel olarak gerçekleştirilen SSL/TLS sertifikaları kullanma ve yönetmeyle ilişkili birçok işlemi ortadan kaldırır. Ayrıca ACM, yenileme işlemlerini yöneterek yanlış yapılandırılmış, iptal edilmiş veya süresi dolmuş sertifikalardan kaynaklanan kesinti sürelerinden kaçınmanıza yardımcı olabilir. SSL/TLS koruması ve kolay sertifika yönetimi özelliklerine sahip olursunuz. İnternete dönük sitelerde SSL/TLS’nin etkinleştirilmesi, sitenizin arama sıralamasını geliştirmeye katkıda bulunabilir ve taşınma sırasında verilerinizi şifrelemek için yasal düzenleme uyumluluğu gerekliliklerini karşılamanıza yardımcı olabilir.

Sertifikaları yönetmek için ACM kullandığınızda, sertifika özel anahtarları güçlü şifreleme ve anahtar yönetimine yönelik en iyi uygulamalar kullanılarak güvenli bir biçimde korunur ve depolanır. ACM, bir AWS Bölgesindeki SSL/TLC ACM sertifikalarının tümünü merkezi olarak yönetmek için AWS Management Console, AWS CLI veya AWS Certificate Manager API’lerini kullanmanızı sağlar. ACM, diğer AWS hizmetleriyle entegre edilmiştir; dolayısıyla bir SSL/TLC sertifikası isteyebilir ve bunu AWS Management Console’dan Elastic Load Balancing yük dengeleyici veya Amazon CloudFront dağıtımı ile AWS CLI komutları ya da API çağrılarıyla tedarik edebilirsiniz.

ACM Özel Sertifika Yetkilisi, özel sertifikalarınızın yaşam döngüsünü kolay ve güvenli bir biçimde yönetmenize yardımcı olan bir yönetilen özel CA hizmetidir. ACM Özel Sertifika Yetkilisi, peşin yatırım ve kendi özel sertifika yetkilinizin işletimi için devam eden bakım maliyetleri olmadan yüksek düzeyde erişilebilir özel bir sertifika yetkilisi hizmeti sunar. ACM Özel Sertifika Yetkilisi, ACM'nin sertifika yönetimi yeteneklerini özel sertifikalara genişleterek genel ve özel sertifikaları merkezi olarak yönetmenize olanak sağlar. ACM Özel Sertifika Yetkilisi, yazılım geliştiricilere programlama yoluyla özel sertifikalar oluşturma ve dağıtma API'leri sunarak yazılım geliştiricilerin daha çevik olmasını sağlar. Ayrıca özel sertifika yaşam süreleri veya kaynak adları gerektiren uygulamalar için özel sertifikalar oluşturma esnekliğine de sahip olursunuz. ACM Özel Sertifika Yetkilisi sayesinde bağlı kaynaklarınızın özel sertifikalarını tek bir yerden güvenli, kullandıkça ödenen, yönetilen özel CA hizmetiyle oluşturabilir, yönetebilir ve izleyebilirsiniz.

S: ACM ile ne tür sertifikalar oluşturup yönetebilirim?

ACM, genel ve özel sertifikalarınızın yaşam döngüsünü yönetmenizi sağlar. ACM’nin özellikleri, sertifikanın genel veya özel olmasına, sertifikayı nasıl aldığınıza ve nereye dağıttığınıza bağlıdır. Genel sertifikalar hakkında daha fazla bilgi edinmek için ACM Genel Sertifikalar’a ve özel sertifikalar ile özel CA’lar hakkında daha fazla bilgi için aşağıdaki ACM Özel Sertifika Yetkilisi bölümüne bakın.

Genel sertifikalar – ACM; Amazon CloudFront, Elastic Load Balancing ve Amazon API Gateway’in dahil olduğu ACM ile entegre hizmetlerle kullanılan genel sertifikaların yenilenmesini ve dağıtımını yönetir.

Özel sertifikalar – ACM Özel Sertifika Yetkilisi, özel sertifikaları oluşturmak ve yönetmek için üç yöntem sağlar. 1) Özel sertifika yönetimini ACM’ye devretmeyi seçebilirsiniz. Bu şekilde kullanıldığında ACM otomatik olarak Amazon CloudFront, Elastic Load Balancing ve Amazon API Gateway gibi ACM ile entegre hizmetlerle kullanılan özel sertifikaları yenileyebilir ve dağıtabilir. Bu özel sertifikaları, AWS Management Console, API’ler ve komut satırı arabirimini (CLI) kullanarak kolayca dağıtabilirsiniz. 2) Özel sertifikaları ACM’den dışa aktarabilir ve bunları EC2 bulut sunucuları, container’lar, şirket içi sunucular ve IoT cihazlarıyla kullanabilirsiniz. ACM Özel Sertifika Yetkilisi bu sertifikaları otomatik olarak yeniler ve yenileme tamamlandığında bir Amazon CloudWatch bildirimi gönderir. Yenilenmiş sertifikalarla özel anahtarları indirmek için istemci tarafı kodu yazabilir ve bunları uygulamanıza dağıtabilirsiniz. 3) ACM Özel Sertifika Yetkilisi; kendi özel anahtarlarınızı oluşturma, sertifika imzalama isteği (CSR) oluşturma, ACM Özel Sertifika Yetkilinizden özel sertifikalar verme ve anahtarlarla sertifikaları kendi kendinize yönetme esnekliği getirir. Bu özel sertifikaların yenilenmesi ve dağıtımı sizin sorumluluğunuzdadır.

İçe aktarılan sertifikalar – Amazon CloudFront, Elastic Load Balancing veya Amazon API Gateway ile üçüncü parti sertifikası kullanmak istiyorsanız, AWS Management Console, AWS CLI veya ACM API’lerini kullanarak bu sertifikayı ACM’ye aktarabilirsiniz. ACM, içe aktarılan sertifikaların yenileme işlemini yönetmez. İçe aktardığınız sertifikaların sona erme tarihini izlemek ve süreleri dolmadan önce bunları yenilemek sizin sorumluluğunuzdadır. AWS Management Console’u kullanarak içe aktarılan sertifikaların sona erme tarihlerini izleyebilir ve süresi dolan sertifikanın yerine yeni bir üçüncü parti sertifikasını içe aktarabilirsiniz.

S: ACM’yi kullanmaya nasıl başlayabilirim?

AWS Certificate Manager’ı kullanmaya başlamak için, AWS Management Console’da Certificate Manager’a gidin ve sihirbazı kullanarak bir SSL/TLS sertifikası isteyin. Zaten bir ACM Özel Sertifika Yetkilisi oluşturduysanız, genel sertifika mı yoksa özel sertifika mı istediğinizi seçebilir ve ardından sitenizin adını girebilirsiniz. Hangi tür sertifikaya ihtiyacınız olduğunu saptamak ve ACM Özel Sertifika Yetkilisi hakkında daha fazla bilgi edinmek için aşağıdaki ACM Özel Sertifika Yetkilisi ve ACM Genel Sertifikaları bölümüne bakın. Ayrıca sertifika isteğinde bulunmak için AWS CLI veya API de kullanabilirsiniz. Sertifika verildikten sonra, bu sertifikayı ACM ile entegre edilmiş diğer AWS hizmetleriyle de kullanabilirsiniz. Her entegre hizmet için, AWS Management Console'daki bir açılır listeden istediğiniz SSL/TLS sertifikasını seçmeniz yeterlidir. Alternatif olarak, sertifikayı kaynağınızla ilişkilendirmek için bir AWS CLI komutu yürütebilir veya AWS API'sini çağırabilirsiniz. Ardından, entegre hizmet sertifikayı sizin seçtiğiniz kaynağa dağıtır. AWS Certificate Manager tarafından sağlanan sertifikaları istemek ve kullanmak için, AWS Certificate Manager Kullanıcı Kılavuzu’nun Kullanmaya Başlama bölümüne bakın. Özel sertifikaları ACM ile entegre hizmetlerin yanı sıra, EC2 bulut sunucularında, ECS container’larında veya başka herhangi bir yerde de kullanabilirsiniz. Diğer ayrıntılar için Özel Sertifikalar konusuna bakın.

S: ACM sertifikalarını hangi AWS hizmetleriyle kullanabilirim?

Genel ve özel ACM sertifikalarını şu AWS hizmetleriyle kullanabilirsiniz:
• Elastic Load Balancing – Elastic Load Balancing belgelerine bakın
• Amazon CloudFront – CloudFront belgelerine bakın
• Amazon API Gateway – API Gateway belgelerine bakın
• AWS Elastic Beanstalk – AWS Elastic Beanstalk belgelerine bakın
• AWS CloudFormation – Destek şu anda e-posta doğrulaması kullanan genel sertifikalarla sınırlıdır. AWS CloudFormation belgelerine bakın

Bunlara ek olarak, ACM Özel Sertifika Yetkilisi ile verilen özel sertifikaları EC2 bulut sunucularıyla, container’larla, IoT cihazlarıyla ve kendi sunucularınızda da kullanabilirsiniz.

S: ACM hangi Bölgelerde kullanılabilir?

AWS hizmetlerinin güncel Bölge kullanılabilirliğini görmek için lütfen AWS Küresel Altyapısı sayfalarını ziyaret edin. ACM sertifikasını Amazon CloudFront ile kullanmak için, sertifikayı ABD Doğu (K. Virginia) bölgesinde istemeniz veya içe aktarmanız gerekir. Bu bölgede CloudFront dağıtımıyla ilişkilendirilmiş ACM sertifikaları, söz konusu dağıtım için yapılandırılmış tüm coğrafi konumlara dağıtılır.

ACM Özel Sertifika Yetkilisi

S: ACM Özel Sertifika Yetkilisi nedir?

Sunucular, mobil cihazlar, IoT cihazları ve uygulamalar gibi özel ağlar üzerinde yer alan bağlantılı kaynaklar arasındaki iletişimi belirlemek ve iletişimin güvenliğini sağlamak için özel sertifikalar kullanılır. ACM Özel Sertifika Yetkilisi, özel sertifikalarınızın yaşam döngüsünü kolay ve güvenli bir biçimde yönetmenize yardımcı olan bir yönetilen özel CA hizmetidir. ACM Özel Sertifika Yetkilisi, peşin yatırım ve kendi özel sertifika yetkilinizin işletimi için devam eden bakım maliyetleri olmadan yüksek düzeyde erişilebilir özel bir sertifika yetkilisi hizmeti sunar. ACM Özel Sertifika Yetkilisi, ACM'nin sertifika yönetimi yeteneklerini özel sertifikalara genişleterek genel ve özel sertifikaları merkezi olarak oluşturmanıza ve yönetmenize olanak sağlar. AWS Management Console’u veya ACM API’sini kullanarak AWS kaynaklarınız için özel sertifikaları kolayca oluşturabilir ve dağıtabilirsiniz. EC2 bulut sunucuları, container’lar, IoT cihazları ve şirket içi kaynaklar için, özel sertifikaları kolayca oluşturup izleyebilir ve bunların dağıtımında kendi istemci tarafı otomasyon kodunuzu kullanabilirsiniz. Ayrıca özel sertifika yaşam süreleri, anahtar algoritmaları veya kaynak adları gerektiren uygulamalar için özel sertifikalar oluşturma ve bunları kendi kendinize yönetme esnekliğine de sahip olursunuz. ACM Özel Sertifika Yetkilisi hakkında daha fazla bilgi edinin. 

S: Özel sertifikalar nedir?

Özel sertifikalar bir kuruluştaki uygulamalar, hizmetler ve kullanıcılar gibi kaynakları tanımlar. Kurulan güvenli şifrelenmiş bir iletişim kanalıyla, her uç nokta diğer uç noktaya kimliğini kanıtlamak için bir sertifika ve şifreleme teknikleri kullanır. Dahili API uç noktaları, web sunucuları, VPN kullanıcıları, IoT cihazları ve başka birçok uygulama, güvenli işlemleri için gerekli olan şifrelenmiş iletişim kanalları oluşturmak amacıyla özel sertifikalar kullanır. 

S: Özel sertifika yetkilisi (CA) nedir?

Özel sertifika yetkilisi, özel bir ağ içinde (genel İnternet değil) özel sertifikaları verme, doğrulama ve iptal etme işlemlerini üstlenir. İki önemli bileşenden oluşur: İlki, sertifikalar verilerken temel oluşturabilecek bir şifreleme yapı taşı olan CA sertifikasıdır. İkincisi, Sertifika İptal Listesi’nde (CRL) iptal bilgilerini tutmaya yönelik bir dizi çalışma zamanı hizmetidir. Birbirleriyle bağlantı kurma girişiminde bulunan kaynaklar, her varlığın sunduğu sertifikaların durumu için CRL’yi denetler. Sertifikalar geçerliyse, kaynaklar arasında her varlığın kimliğini şifreli olarak diğerlerine kanıtlayan bir anlaşma yapılır ve aralarında şifreli iletişim kanalı (TLS/SSL) oluşturulur.

Özel sertifikalar ve özel CA’ların genel sertifika ve genel CA’lardan farkı nedir?

Özel CA’nın bileşenleri genel CA’nınkilerle aynıdır. Bununla birlikte, genel CA’ların kaynaklar için sertifikaları genel İnternette vermesi ve doğrulaması gerekirken, özel CA’lar aynı işlemleri özel ağlarda gerçekleştirir. Temel farkları, uygulamalarla tarayıcıların varsayılan olarak genel sertifikalara güvenmelerine karşın, uygulamaların özel CA’lar tarafından verilen sertifikalara güvenmeleri için bir yöneticinin özel olarak bunu yapılandırmasının gerekmesidir. Genel CA’lar sıkı kurallara uymalı, işlemsel görünürlük sağlamalı, kendi tarayıcıları ile işletim sistemlerinin hangi CA’lara otomatik olarak güveneceğine karar veren tarayıcı ve işletim sistemi satıcılarının belirlediği güvenlik standartlarına uymalıdır. Özel CA yöneticileri özel sertifikalar verirken kendi kurallarını oluşturabilir. Örneğin sertifika verme uygulamalarını ve sertifikanın hangi bilgileri içereceğini belirleyebilirler.

S: Kuruluşlar neden genel sertifikalar yerine özel sertifikalar kullanır?

Özel sertifikalar, adını genele açıklamadan kuruluştaki hemen her şeyi tanımlama esnekliğine sahiptir. Özel sertifikalarda kullanılabilecek adlara örnek olarak Wiki.internal, IP adresi 192.168.1.1, yangın-sensörü-123 ve kullanıcı123 verilebilir. Buna karşılık, genel sertifikalarda kaynakları DNS adlarıyla (www.example.com gibi) tanımlamaya yönelik katı bir kısıtlama vardır. Özel sertifikalar, genel sertifikalarda yasaklanmış bilgileri içerebilir. Bazı kurumsal uygulamalar, özel sertifikalara fazladan bilgi ekleme özelliğinden yararlanmıştır ve bu nedenle genel sertifikalarla çalışamaz.

S: Otomatik olarak imzalanan sertifikalar nedir ve kuruluşlar neden bunun yerine özel CA’ların sertifikalarını kullanmalıdır?

Otomatik olarak imzalanan sertifikalar, CA olmadan verilen sertifikalardır. CA’nın bakımını yaptığı güvenli bir kökten verilen sertifikalardan farklı olarak, otomatik olarak imzalanan sertifikalar kendi kökleri olarak işlev görür ve bunun sonucunda önemli sınırlandırmaları vardır: Kablolu bağlantıda şifreleme için kullanılabilir ama kimliği doğrulamak için kullanılamaz ve bu sertifikalar iptal edilemez. Bu sertifikalar güvenlik açısından kabul edilebilir değildir, ama kuruluşlar yine de bunları kullanır çünkü kolayca oluşturulabilir, uzmanlık veya altyapı gerektirmez ve birçok uygulama bunları kabul eder. Otomatik olarak imzalanan sertifika verme işlemi için hiçbir denetim belirlenmemiştir. Bu sertifikaların süre sonu tarihlerini izlemenin hiçbir yolu olmadığından, bunları kullanan kuruluşlarda sertifika süresinin dolmasından kaynaklanan kesinti riskleri daha yüksektir. ACM Özel Sertifika Yetkilisi bu sorunlara çözüm getirir.

S: ACM Özel Sertifika Yetkilisi kullanmaya nasıl başlayabilirim?

ACM Özel Sertifika Yetkilisi kullanmaya başlamak için, AWS Management Console’da Certificate Manager’a gidin ve ekranın sol tarafından Özel CA’lar öğesini seçin. Özel sertifika yetkilisi oluşturmaya başlamak için Kullanmaya başlayın öğesini seçin. Daha fazla bilgi edinmek için ACM Özel Sertifika Yetkilisi Kullanıcı Kılavuzu’nda Kullanmaya Başlama bölümüne bakın.

S: ACM Özel Sertifika Yetkilisi hakkında nereden daha fazla bilgi edinebilirim?

Daha fazla bilgi edinmek için ACM Özel Sertifika Yetkilisi Ayrıntıları sayfasına, ACM Özel Sertifika Yetkilisi Kullanıcı Kılavuzu’na, ACM Özel Sertifika Yetkilisi API Başvurusu’na ve AWS CLI’de ACM Başvurusu’na bakın.

ACM Sertifikaları

S: ACM hangi tür sertifikaları yönetir?

ACM genel, özel ve içe aktarılmış sertifikaları yönetir. Her sertifika türünde ACM’nin yönetim özellikleriyle ilgili ayrıntılar için [S: ACM ile sertifikaları nasıl yönetebilirim?] sorusuna bakın.

S: ACM birden fazla etki alanı adı içeren sertifikalar sağlayabilir mi?

Evet. Her sertifikanın en az bir etki alanı adı içermesi gerekir ve isterseniz sertifikaya başka adlar da ekleyebilirsiniz. Örneğin, kullanıcılar sitenize iki adla da erişebiliyorsa “www.example.com” sertifikasına “www.example.net” adını da ekleyebilirsiniz. Sertifika isteğinize eklenen adların tümüne sahip olmalı veya tümünü denetlemelisiniz. 

S: Joker etki alanı adı nedir?

Joker etki alanı adı, bir etki alanındaki birinci düzey alt etki alanları veya konak adlarının tümüyle eşleşir. Birinci düzey alt etki alanı, nokta (.) içermeyen tek bir etki alanı adı etiketidir. Örneğin, www.example.com, images.example.com ve .example.com ile biten diğer tüm konak adlarını veya birinci düzey alt etki alanlarını korumak için *.example.com adını kullanabilirsiniz. Diğer ayrıntıları öğrenmek için ACM Kullanıcı Kılavuzu'na başvurun.

S: ACM joker etki alanı adları içeren sertifikalar sağlayabilir mi?

Evet.

S: ACM SSL/TLS dışındaki protokoller için sertifika sağlayabilir mi?

ACM’de yönetilen sertifikaların SSL/TLS ile kullanılması hedeflenmiştir. Doğrudan bir ACM Özel Sertifika Yetkilisinden özel sertifikalar verirseniz ve anahtarlarla sertifikaları ACM sertifika yönetimini kullanmadan yönetirseniz, bu özel sertifikaların konusunu, geçerlilik dönemini, anahtar algoritmasını ve imza algoritmasını yapılandırabilir, bunları SSL/TLS ile ve diğer uygulamalarla kullanabilirsiniz.

S: ACM sertifikalarını kod imzalama veya e-posta şifreleme amacıyla kullanabilir miyim?

Hayır.

S: ACM e-posta imzalamak ve şifrelemek için kullanılan sertifikalar (S/MIME sertifikaları) sağlıyor mu?

Şu anda değil.

S: ACM sertifikalarının geçerlilik süresi nedir?

ACM aracılığıyla verilen sertifikalar 13 ay süreyle geçerlidir. Doğrudan bir ACM Özel Sertifika Yetkilisinden özel sertifikalar verirseniz ve anahtarlarla sertifikaları ACM sertifika yönetimini kullanmadan yönetirseniz, mutlak bitiş tarihi veya güncel tarihten sonra geçecek gün, ay ve yıl sayısını belirterek göreli bir tarih de dahil olmak üzere bir geçerlilik süresi seçebilirsiniz.

S: ACM sertifikaları hangi algoritmaları kullanır?

ACM’de yönetilen sertifikalar 2048 bit modu ve SHA-256 ile RSA anahtarlarını kullanır. Doğrudan bir ACM Özel Sertifika Yetkilisinden özel sertifikalar verirseniz ve anahtarlarla sertifikaları ACM sertifika yönetimini kullanmadan yönetirseniz, eliptik eğri (ECDSA) sertifikalarını da verebilir ve kullanabilirsiniz. ACM’de şu anda bu sertifikaları yönetme özelliği yoktur.

S: Sertifikayı nasıl iptal edebilirim?

AWS Support Merkezi’ni ziyaret edip bir destek talebi oluşturarak ACM’den genel sertifikanın iptalini isteyebilirsiniz. ACM Özel Sertifika Yetkiliniz tarafından verilmiş bir özel sertifikayı iptal etmek için, ACM Özel Sertifika Yetkilisi Kullanıcı Kılavuzu’na bakın. 

S: Bir sertifikayı AWS Bölgeleri arasında kopyalayabilir miyim?

Şu anda ACM tarafından yönetilen sertifikaları bölgeler arasında kopyalayamazsınız. Sertifika ve özel anahtar yönetiminde ACM’yi kullanmadan, ACM’den dışa aktardığınız özel sertifikaları ve doğrudan ACM Özel Sertifika Yetkilinizden verdiğiniz sertifikaları kopyalayabilirsiniz.

S: Aynı AWS sertifikasını birden çok AWS Bölgesinde kullanabilir miyim?

Elastic Load Balancing mi yoksa Amazon CloudFront mu kullandığınıza bağlıdır. Farklı Bölgede yer alan aynı site için (tam etki alanı adı veya FQDN değeri veya FQDN kümesi aynı) Elastic Load Balancing ile bir sertifika kullanmak için, kullanmayı planladığınız her Bölgeye yeni bir sertifika istemelisiniz. ACM sertifikasını Amazon CloudFront ile kullanmak için, sertifikayı ABD Doğu (K. Virginia) bölgesinde istemeniz gerekir. Bu bölgede CloudFront dağıtımıyla ilişkilendirilmiş ACM sertifikaları, söz konusu dağıtım için yapılandırılmış tüm coğrafi konumlara dağıtılır.

S: Bir etki alanı adı için zaten başka bir sağlayıcıdan sertifikam varsa, bu etki alanına ACM ile sertifika tedarik edebilir miyim?

Evet.

S: Sertifikaları Amazon EC2 bulut sunucularında veya kendi sunucularımda kullanabilir miyim?

ACM Özel Sertifika Yetkilisi ile verilen özel sertifikaları EC2 bulut sunucularıyla, container’larla ve kendi sunucularınızda da kullanabilirsiniz. Şu anda, genel ACM sertifikaları yalnızca belirli AWS hizmetleriyle kullanılabilir. Bkz. ACM sertifikalarını hangi AWS hizmetleriyle kullanabilirim?

S: ACM etki alanı adlarında yerel dil karakterlerine, başka bir deyişle Uluslararası Etki Alanı Adlarına (IDN) izin veriyor mu?

ACM Unicode kodlamalı yerel dil karakterlerine izin vermez; öte yandan, ACM etki alanı adlarında ASCII kodlamalı yerel dil karakterlerine izin verir.

S: ACM hangi etki alanı ad etiketi biçimlerine izin verir?

ACM, etki alanları için yalnızca yaygın olarak Zayıf Kod olarak bilinen “xn—” içeren etiketler de dahil olmak üzere UTF-8 kodlamalı ASCII’ye izin verir. ACM, etki alanı adlarında Unicode girişine (u etiketleri) izin vermez.

ACM Genel Sertifikaları

S: Genel sertifikalar nedir?

Hem genel hem de özel sertifikalar, müşterilerin ağlardaki kaynakları tanımlamasına ve bu kaynaklar arasındaki iletişimi güvenli hale getirmesine yardımcı olur. Genel sertifikalar İnternetteki kaynakları tanımlar.

Q: ACM ne tür genel sertifikalar sağlar?

ACM, SSL/TLS ile sonlandırılan web siteleri ve uygulamalarla kullanmak üzere Etki Alanında Doğrulanan (DV) genel sertifikalar sağlar. ACM sertifikaları hakkındaki diğer ayrıntılar için bkz. Sertifika Özellikleri.

S: Tarayıcılar, işletim sistemleri ve mobil cihazlar ACM genel sertifikalarına güveniyor mu?

Modern tarayıcıların, işletim sistemlerinin ve mobil cihazların çoğu ACM genel sertifikalarına güvenir. ACM tarafından sağlanan sertifikaların Windows XP SP3 ile Java 6 ve üstü de dahil olmak üzere tarayıcılar ve işletim sistemlerinde %99 oranında aynı anda bulunma özelliğine sahiptir.

S: Tarayıcımın ACM genel sertifikalarına güvendiğini nasıl onaylayabilirim?

ACM sertifikalarına güvenen tarayıcılarda bir kilit simgesi gösterilir ve SSL/TLS üzerinden ACM sertifikası kullanan sitelere (örneğin HTTPS kullanarak) bağlandığında sertifika uyarıları gösterilmez.

Genel ACM sertifikaları Amazon’un sertifika yetkilisi (CA) tarafından doğrulanır. Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 veya Starfield Class 2 Certification Authority içeren tüm tarayıcı, uygulama veya işletim sistemleri ACM sertifikalarına güvenir.

S: ACM genel Kurumsal Doğrulama (OV) veya Genişletilmiş Doğrulama (EV) sertifikaları sağlıyor mu?

Şu anda değil.

S: Amazon genel sertifika verme politikalarını ve uygulamalarını nerede açıklıyor?

Bunlar, Amazon Trust Services Sertifika Politikaları ve Amazon Trust Services Sertifika Uygulamaları Bildirimi belgelerinde açıklanır. En son sürümler için Amazon Mutemetlik Hizmetleri deposuna bakın.

S: Genel sertifikadaki bilgiler değiştiğinde bu durumu AWS’ye nasıl bildirebilirim?

validation-questions[at]amazon.com adresine e-posta göndererek AWS’ye bildirebilirsiniz.

ACM Genel Sertifikalarının Tedariği

S: ACM’den genel sertifikayı nasıl tedarik edebilirim?

AWS Management Console’u, AWS CLI’yi veya ACM API’lerini/SDK’larını kullanabilirsiniz. AWS Management Console’u kullanmak için Certificate Manager’a gidin, Sertifika iste’yi seçin, Genel sertifika iste’yi seçin, sitenizin etki alanı adını girin ve ekrandaki yönergeleri izleyerek isteğinizi tamamlayın. Kullanıcılar sitenize başka adlarla ulaşabiliyorsa, isteğinize başka etki alanı adları da ekleyebilirsiniz. ACM, sertifika verebilmek için önce sertifika isteğinizdeki etki alanı adlarının sahibi olduğunuzu veya bu adları denetlediğinizi doğrular. Sertifika isteğinde bulunurken DNS doğrulamasını veya e-posta doğrulamasını seçebilirsiniz. DNS doğrulamasıyla, etki alanınızın sahibi olduğunuzu veya denetlediğinizi belirtmek üzere etki alanı için genel DNS yapılandırmasına bir kayıt yazarsınız. Etki alanınızın denetimini almak için bir kez DNS doğrulamasını kullandıktan sonra, kayıt yerinde kaldığı ve sertifika kullanımda olduğu sürece etki alanı için ek sertifikalar alabilir ve ACM’nin mevcut sertifikaları yenilemesini sağlayabilirsiniz. Etki alanının denetimini yeniden doğrulamanız gerekmez. DNS doğrulaması yerine e-posta doğrulamasını seçerseniz, e-postalar sertifika vermek için onay isteyen etki alanı sahibine gönderilir. İsteğinizdeki tüm etki alanı adları için sahibi veya denetleyebilir durumda olduğunuzu doğruladıktan sonra, sertifika verilir ve Elastic Load Balancing veya Amazon CloudFront gibi diğer AWS hizmetlerinde tedarik edilmeye hazır olur. Ayrıntılar için ACM Belgelerine bakın.

S: ACM, genel sertifikalar için etki alanı sahipliğini neden doğruluyor?

Sertifikalar, sitenizin kimliğini belirlemek, tarayıcılar ve uygulamalarla siteniz arasındaki bağlantıların güvenliğini sağlamak için kullanılır. Amazon genel olarak güvenilen bir sertifika vermek için, sertifika isteğinde bulunanın sertifika isteğindeki etki alanı üzerinde denetim sahibi olduğunu doğrulamak zorundadır.

S: ACM etki alanı için genel sertifika vermeden önce etki alanı sahipliğini nasıl doğrular?

ACM sertifika vermeden önce sertifika isteğinizdeki etki alanı adlarının sahibi olduğunuzu veya bu adları denetlediğinizi doğrular. Sertifika isteğinde bulunurken DNS doğrulamasını veya e-posta doğrulamasını seçebilirsiniz. DNS doğrulamasıyla, DNS yapılandırmanıza bir CNAME kaydı ekleyerek etki alanı sahipliğinizi doğrularsınız. Diğer ayrıntılar için DNS doğrulaması konusuna bakın. Etki alanınız için genel DNS yapılandırmasına kayıt yazamıyorsanız, DNS doğrulaması yerine e-posta doğrulamasını kullanabilirsiniz. E-posta doğrulamasıyla, ACM kayıtlı etki alanı sahibine e-postalar gönderir ve sahip veya yetkili temsilci sertifika isteğindeki her etki alanı adı için sertifika vermeyi onaylayabilir. Diğer ayrıntılar için E-posta doğrulaması konusuna bakın.

S: Genel sertifikam için hangi doğrulama yöntemini kullanmalıyım: DNS mi yoksa e-posta mı?

Etki alanınızın DNS yapılandırmasını değiştirebiliyorsanız, DNS doğrulamasını kullanmanızı öneririz. ACM’den doğrulama e-postaları alamayan ve WHOIS ile etki alanı sahibi e-posta iletişim bilgileri yayımlanmayan bir etki alanı kayıt yetkilisi kullanan müşteriler, DNS doğrulaması kullanmalıdır. DNS yapılandırmanızda değişiklik yapamıyorsanız, e-posta doğrulaması kullanmalısınız.

S: Mevcut genel sertifikam için e-posta doğrulamasından DNS doğrulamasına geçebilir miyim?

Hayır, ama ACM’den yeni, ücretsiz bir sertifika isteyebilir ve bu yeni sertifika için DNS doğrulamasını seçebilirsiniz.

S: Genel sertifikanın verilmesi ne kadar sürer?

Sertifika isteğindeki tüm etki alanı adları doğrulandıktan sonra sertifikanın verilmesi için gereken süre birkaç saat veya biraz daha uzundur.

S: Genel sertifika istediğimde ne olur?

ACM, istekte bulunurken seçtiğiniz doğrulama yöntemine göre (DNS veya e-posta) sertifika isteğinizdeki her etki alanı adının sahipliğini veya denetimini doğrulamaya çalışır. ACM etki alanının sahibi olduğunuzu veya denetlediğinizi doğrulamaya çalışırken, sertifika isteği Doğrulama bekliyor durumunda olur. Doğrulama işlemi hakkında daha fazla bilgi için aşağıdaki DNS doğrulaması ve E-posta doğrulaması bölümlerine bakın. Sertifika isteğindeki tüm etki alanı adları doğrulandıktan sonra sertifikanın verilmesi için gereken süre birkaç saat veya biraz daha uzun olabilir. Sertifika verildiğinde, sertifika isteğinin durumu Verildi olarak değişir ve bu sertifikayı ACM ile entegre edilmiş diğer AWS hizmetlerinde kullanmaya başlayabilirsiniz.

S: ACM genel sertifikaları vermeden önce DNS Sertifika Yetkilisi Yetkilendirme (CAA) kayıtlarını denetler mi?

Evet. DNS Sertifika Yetkilisi Yetkilendirme (CAA) kayıtları, etki alanı sahiplerinin kendi etki alanları için sertifika vermeye yetkili olan sertifika yetkililerini belirtmelerine olanak tanır. Bir ACM Sertifikası istediğinizde, AWS Certificate Manager etki alanınızın DNS bölgesi yapılandırmasında CAA kaydı arar. CAA kaydı yoksa, Amazon etki alanınız için sertifika verebilir. Müşterilerin çoğu bu kategoriye girer.

DNS yapılandırmanız CAA kaydı içeriyorsa, Amazon’un etki alanınıza sertifika verebilmesi için önce bu kaydın şu CA’lardan birini belirtiyor olması gerekir: amazon.com, amazontrust.com, awstrust.com veya amazonaws.com. Daha fazla bilgi için AWS Certificate Manager Kullanıcı Kılavuzu’nda CAA Kaydı Yapılandırma veya CAA Sorunlarını Giderme bölümüne bakın.

S: ACM etki alanını doğrulamak için başka yöntemleri destekliyor mu?

Şu anda değil.

DNS Doğrulaması (Genel Sertifikalar)

S: DNS doğrulaması nedir?

DNS doğrulamasıyla, DNS yapılandırmanıza bir CNAME kaydı ekleyerek etki alanı sahipliğinizi doğrularsınız. DNS Doğrulaması, ACM’den SSL/TLS sertifikaları istersen etki alanının sahibi olduğunuzu belirlemenizi kolaylaştırır.

S: DNS doğrulamasının avantajları nelerdir?

DNS doğrulaması, SSL/TLS sertifikası alabilmek için etki alanının sahibi olduğunuzu veya onu denetlediğinizi doğrulamanızı kolaylaştırır. DNS doğrulamasıyla, etki alanı adınızın denetimini oluşturmak için DNS yapılandırmanıza bir CNAME kaydı yazmanız yeterli olur. DNS doğrulama işlemini basitleştirmek için, DNS kayıtlarınızı Amazon Route 53 ile yönetiyorsanız ACM Management Console sizin için DNS kayıtlarını yapılandırabilir. Böylece, birkaç fare tıklamasıyla etki alanınızın denetimini kolayca oluşturabilirsiniz. CNAME kaydı yapılandırıldıktan sonra, DNS doğrulama kaydı yerinde kaldığı sürece ACM kullanımda olan (diğer AWS kaynaklarıyla ilişkilendirilmiş) sertifikaları otomatik olarak yeniler. Yenileme tamamen otomatik ve temassız bir işlemdir.

S: Kimler DNS doğrulaması kullanmalı?

ACM aracılığıyla sertifika isteğinde bulunan ve istekte bulunulan etki alanına ait DNS yapılandırmasını değiştirebilen herkes, DNS doğrulaması kullanmayı düşünmelidir.

S: ACM yine de e-posta doğrulamasını destekler mi?

Evet. ACM, DNS yapılandırmasını değiştiremeyen müşteriler için e-posta doğrulamasını desteklemeye devam ediyor.

S: Etki alanını doğrulamak için DNS yapılandırmama hangi kayıtları eklemem gerekiyor?

Doğrulamak istediğiniz etki alanı için CNAME kaydı eklemelisiniz. Örneğin, www.example.com adını doğrulamak için example.com bölgesine CNAME kaydı eklersiniz. Eklediğiniz kayıt ACM’nin etki alanınız ve AWS hesabınız için özel olarak oluşturduğu rastgele bir belirteç içerir. CNAME kaydının iki parçasını (ad ve etiket) ACM’den alabilirsiniz. Diğer yönergeler için ACM Kullanıcı Kılavuzu’na bakın.

S: Etki alanım için DNS kayıtlarını nasıl ekleyebilirim veya değiştirebilirim?

DNS kayıtlarını ekleme veya değiştirme hakkında ek bilgi için, DNS sağlayıcınıza danışın. Amazon Route 53 DNS belgelerinde, Amazon Route 53 DNS kullanan müşteriler için ek bilgiler sağlanır.

S: ACM, Amazon Route 53 DNS müşterileri için DNS doğrulamasını basitleştirebilir mi?

Evet. DNS kayıtlarını Amazon Route 53 DNS kullanarak yöneten müşteriler için, sertifika isteğinde bulunduğunuzda ACM konsolu sizin için DNS yapılandırmanıza kayıtları ekleyebilir. Etki alanınız için Route 53 DNS barındırılan bölgeniz, istekte bulunurken kullandığınız AWS hesabıyla yapılandırılmalıdır ve Amazon Route 53 yapılandırmanızda değişiklik yapmak için yeterli izinleriniz olmalıdır. Diğer yönergeler için ACM Kullanıcı Kılavuzu’na bakın.

S: DNS Doğrulaması belirli bir DNS sağlayıcısı kullanmamı gerektiriyor mu?

Hayır. DNS sağlayıcısı DNS yapılandırmanıza CNAME kaydı eklemenize izin verdiği sürece, herhangi bir DNS sağlayıcısıyla DNS doğrulamasını kullanabilirsiniz.

S: Aynı etki alanı için birden çok sertifika istersem kaç DNS kaydına ihtiyacım olur?

Bir. CNAME kaydını kullanarak aynı AWS hesabında aynı etki alanı adı için birden çok sertifika alabilirsiniz. Örneğin, aynı AWS hesabından aynı etki alanı adı için 2 sertifika isteğinde bulunursanız, tek bir DNS CNAME kaydına ihtiyacınız olur.

S: Aynı CNAME kaydıyla birden çok etki alanı adını doğrulayabilir miyim?

Hayır. Her etki alanının benzersiz bir CNAME kaydı olmalıdır.

S: DNS doğrulamasını kullanarak bir joker etki alanı adını doğrulayabilir miyim?

Evet.

S: ACM, CNAME kayıtlarını nasıl oluşturur?

DNS CNAME kayıtlarının iki bileşeni vardır: ad ve etiket. ACM tarafından oluşturulan CNAME kaydının ad bileşeni bir alt çizgi karakteriyle (_) bunu izleyen ve AWS hesabınızla etki alanı adınıza bağlı benzersiz bir dize olan belirteçten oluşturulur. ACM, ad bileşenini oluşturmak için alt çizgiyle belirteci etki alanı adınızın önüne ekler. ACM, etiketi başka bir belirtecin önüne alt çizgi karakteri ekleyerek oluşturur. Bu belirteç de AWS hesabınıza ve etki alanı adınıza bağlıdır. ACM, alt çizgiyi ve belirteci doğrulamalar için AWS tarafından kullanılan DNS etki alanı adının önüne ekler: acm-validations.aws. Aşağıdaki örneklerde www.example.com, subdomain.example.com ve *.example.com için CNAME kayıtlarının biçimlendirmesi gösterilmektedir.

_BELİRTEÇ1.www.example.com         CNAME     _BELİRTEÇ2.acm-validations.aws
_BELİRTEÇ3.subdomain.example.com CNAME     _BELİRTEÇ4.acm-validations.aws
_BELİRTEÇ5.example.com                 CNAME      _BELİRTEÇ6.acm-validations.aws

ACM’nin joker adlar için CNAME kayıtları oluştururken joker karakter etiketini (*) kaldırdığına dikkat edin. Sonuç olarak, *.example.com gibi bir joker ad için ACM tarafından oluşturulan CNAME kaydı, joker karakter etiketi olmayan etki alanı adı için (example.com) döndürülen kayıtla aynı olur.

S: Tek CNAME kaydını kullanarak etki alanının tüm alt etki alanlarını doğrulayabilir miyim?

Hayır. konak adları ve alt etki alanı adları da dahil olmak üzere, her etki alanı adının benzersiz bir CNAME kaydıyla ayrı olarak doğrulanması gerekir.

S: ACM, DNS doğrulaması için TXT kayıtları yerine neden CNAME kayıtlarını kullanıyor?

CNAME kaydının kullanılması ACM’nin CNAME kaydı var olduğu sürece sertifikaları yenilemesine olanak sağlar. CNAME kaydı, sizin hiçbir işlem yapmanız gerekmeden ACM’nin etki alanı adını doğrulamak veya yeniden doğrulamak için güncelleyebileceği bir AWS etki alanında (acm-validations.aws) TXT kaydına yönlendirilir.

S: DNS doğrulaması AWS Bölgeleri arasında çalışır mı?

Evet. Bir DNS CNAME kaydı oluşturabilir ve bu kaydı ACM’nin sunulduğu herhangi bir AWS Bölgesinde aynı AWS hesabı için sertifikalar alırken kullanabilirsiniz. CNAME kaydını bir kez yapılandırdığınızda, başka bir kayıt oluşturmadan ACM’den bu ad için verilen ve yenilenen sertifikalar alabilirsiniz.

S: Aynı sertifikada farklı doğrulama yöntemleri seçebilir miyim?

Hayır. Her sertifikanın tek bir doğrulama yöntemi olabilir.

S: DNS doğrulaması kullanılarak doğrulanan bir sertifikayı nasıl yenileyebilirim?

DNS doğrulama kaydı yerinde kaldığı sürece ACM kullanımda olan (diğer AWS kaynaklarıyla ilişkilendirilmiş) sertifikaları otomatik olarak yeniler.

S: Etki alanım için sertifika verme iznini iptal edebilir miyim?

Evet. CNAME kaydını kaldırmanız yeterli olur. CNAME kaydını kaldırdıktan ve bu değişiklik DNS aracılığıyla dağıtıldıktan sonra, ACM DNS doğrulamasını kullanarak etki alanınız için sertifika vermez veya sertifikaları yenilemez. Kayıt kaldırma işleminin yayılma süresi DNS sağlayıcınıza bağlıdır.

S: CNAME kaydını kaldırırsam ne olur?

CNAME kaydını kaldırırsanız ACM, DNS doğrulaması kullanarak etki alanınız için sertifika veremez veya yenileyemez.

E-posta Doğrulaması (Genel Sertifikalar)

S: E-posta doğrulaması nedir?

E-posta doğrulamasıyla, sertifika isteğindeki her etki alanı adı için kayıtlı etki alanı sahibine bir onay isteği e-postası gönderilir. Etki alanı sahibi veya yetkili temsilcisi (onaylayan), e-postadaki yönergeleri izleyerek sertifika isteğini onaylayabilir. Yönergeler, onaylayanı onay web sitesine gitmeye ve e-postadaki bağlantıya tıklamaya veya onay web sitesine gitmek üzere bağlantıyı e-postadan tarayıcıya yapıştırmaya yönlendirir. Onaylayan, sertifika isteğiyle ilişkilendirilmiş etki alanı adı, sertifika kimliği (ARN) ve isteği başlatan AWS hesap kimliği gibi bilgileri doğrular ve bilgiler doğruysa isteği onaylar.

S: Sertifika isteğinde bulunduğumda ve e-posta doğrulamasını seçtiğimde, sertifika onay isteği hangi e-posta adreslerine gönderilir?

E-posta doğrulamasını kullanarak bir sertifika isteğinde bulunduğunuzda, sertifika isteğindeki her etki alanı adı için bir WHOIS araması kullanılarak etki alanının iletişim bilgileri alınır. Etki alanı için listelenen etki alanı kayıt yetkilisine, yönetim ilgili kişisine ve teknik ilgili kişisine e-posta gönderilir. Ayrıca, istediğiniz etki alanı adının başına admin@, administrator@, hostmaster@, webmaster@ ve postmaster@ eklenerek oluşturulan beş özel e-posta adresine de e-posta gönderilir. Örneğin, server.example.com için sertifika isteğinde bulunursanız, example.com etki alanı için WHOIS sorgusundan döndürülen iletişim bilgileri kullanılarak etki alanı kayıt yetkilisine, yönetim ilgili kişisine ve teknik ilgili kişisine e-posta gönderildiği gibi, admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com ve webmaster@server.example.com adreslerine de gönderilir.

"www" ile başlayan etki alanı adları ve yıldız (*) ile başlayan joker adlar için beş özel e-posta adresi farklı oluşturulur. ACM baştaki "www" ifadesini veya yıldız işaretini kaldırır ve etki alanının kalan bölümünün önüne admin@, administrator@, hostmaster@, postmaster@ ve webmaster@ ekleyerek oluşturulan yönetim adreslerine e-posta gönderir. Örneğin, www.example.com için sertifika isteğinde bulunursanız, daha önce açıklandığı gibi WHOIS ile bulunan kişilerin yanı sıra admin@www.example.com yerine admin@example.com adresine e-posta gönderilir. Diğer dört özel e-posta adresi de benzer biçimde oluşturulur.

Sertifika isteğinde bulunduktan sonra, ACM konsolunun, AWS CLI’yi veya API’leri kullanarak her etki alanı için e-posta gönderilen e-posta adreslerinin listesini görüntüleyebilirsiniz.

S: Sertifika onay isteğinin gönderildiği e-posta adreslerini yapılandırabilir miyim?

Hayır, ama doğrulama e-postasının gönderilmesini istediğiniz temel etki alanı adını yapılandırabilirsiniz. Temel etki alanı adı, sertifika isteğindeki etki alanının üst etki alanı olmalıdır. Örneğin, server.domain.example.com için sertifika isteğinde bulunmak istiyorsanız ama onay e-postasını admin@domain.example.com adresine yönlendirmeyi tercih ediyorsanız, AWS CLI veya API kullanarak bunu yapabilirsiniz. Diğer ayrıntılar için bkz. ACM CLI Başvurusu ve ACM API Başvurusu.

S: Proxy iletişim bilgileri olan (Privacy Guard veya WhoisGuard gibi) etki alanları kullanabilir miyim?

Evet, ancak proxy olduğu için e-posta teslimi gecikebilir. Proxy üzerinden gönderilen e-posta gereksiz posta klasörünüze gidebilir. Sorun giderme önerileri için ACM Kullanıcı Kılavuzu’na bakın.

S: ACM, AWS hesabının teknik ilgili kişisini kullanarak kimliğimi doğrulayabilir mi?

Hayır. Etki alanı sahibinin kimliğini doğrulama yordamları ve politikaları çok sıkıdır ve genel olarak güvenilen sertifika yetkililerine yönelik politika standartlarını ayarlayan CA/Tarayıcı Forumu tarafından belirlenmiştir. Daha fazla bilgi edinmek için lütfen Amazon Mutemetlik Hizmetleri Deposu’ndaki en son Amazon Mutemetlik Hizmetleri Sertifika Uygulamaları Bildirimi’ne bakın.

S: Onay e-postasını almazsam ne yapmalıyım?

Sorun giderme önerileri için ACM Kullanıcı Kılavuzu’na bakın.

Özel Anahtar Koruması

S: ACM tarafından sağlanan sertifikaların özel anahtarları nasıl yönetilir?

ACM tarafından sağlanan her sertifika için bir anahtar çifti oluşturulur. AWS Certificate Manager, SSL/TLS sertifikalarıyla kullanılan özel anahtarları korumak ve yönetmek için tasarlanmıştır. Özel anahtarlar korunurken ve depolanırken en iyi güçlü şifreleme ve anahtar yönetimi uygulamaları kullanılır.

S: ACM, sertifikaları AWS Bölgeleri arasında kopyalar mı?

Hayır. Her ACM sertifikasının özel anahtarı, sertifikayı istediğiniz Bölgede depolanır. Örneğin, ABD Doğru (K. Virginia) Bölgesinde yeni bir sertifika aldığınızda, ACM özel anahtarı K. Virginia Bölgesinde depolar. ACM sertifikaları yalnızca sertifika bir CloudFront dağıtımıyla ilişkilendirildiğinde Bölgeler arasında kopyalanır. Bu durumda, CloudFront ACM sertifikasını dağıtımınız için yapılandırılmış coğrafi konumlara dağıtır.

S: Sertifika özel anahtarlarının kullanımını denetleyebilir miyim?

Evet. AWS CloudTrail’i kullanarak, sertifika özel anahtarının ne zaman kullanıldığını size bildiren günlükleri gözden geçirebilirsiniz.

Faturalandırma

S: ACM sertifikaları kullanımım için hangi ücretleri öderim ve nasıl faturalandırılırım?

AWS Certificate Manager üzerinden tedarik edilen ve Elastic Load Balancing, Amazon CloudFront ve Amazon API Gateway hizmetleri gibi ACM ile entegre hizmetlerle kullanıma yönelik olan genel ve özel sertifikalar ücretsizdir. Uygulamanızı çalıştırmak amacıyla oluşturduğunuz AWS kaynakları için ödeme yaparsınız. AWS Certificate Manager Özel Sertifika Yetkilisi için kullandıkça öde fiyatlandırması geçerlidir. Her CM Özel Sertifika Yetkilisinin çalışmasına karşılık (bunu silene kadar) aylık ücret ödersiniz. Ayrıca, EC2 veya şirket içi sunucularda kullanılan veya kendiniz özel anahtar oluşturmak yoluyla doğrudan Özel Sertifika Yetkilisinden verdiğiniz sertifikalar gibi, ACM’de oluşturduğunuz ve dışa aktardığınız özel sertifikalar için de ödeme yaparsınız. Diğer ayrıntılar ve örnekler için Fiyatlandırma sayfasına bakın.

Ayrıntılar

S: Birden çok Elastic Load Balancing yük dengeleyicisi ve birden çok CloudFront dağıtımı için aynı sertifikayı kullanabilir miyim?

Evet.

S: Genel İnternet erişimi olmayan dahili Elastic Load Balancing yük dengeleyicileri için genel sertifikaları kullanabilir miyim?

Evet, ama ACM’nin doğrulama gerektirmeden yenileyebildiği özel sertifikalar vermek için ACM Özel Sertifika Yetkilisini kullanmayı da göz önünde bulundurabilirsiniz. ACM’nin İnternetten ulaşılamayan genel sertifikalar ve özel sertifikalarda yenilemeleri nasıl işlediğine ilişkin ayrıntılar için bkz. Yönetilen Yenileme ve Dağıtım.

S: www.example.com için verilen sertifika example.com için de kullanılabilir mi?

Hayır. Sitenize her iki etki alanı adıyla da (www.example.com ve example.com) başvurulmasını istiyorsanız, her iki adı da içeren bir sertifika istemelisiniz.

S: Bir üçüncü parti sertifikasını içe aktarıp AWS hizmetleriyle kullanabilir miyim?

Evet. Amazon CloudFront, Elastic Load Balancing veya Amazon API Gateway ile üçüncü parti sertifikası kullanmak istiyorsanız, AWS Management Console, AWS CLI veya ACM API’lerini kullanarak bu sertifikayı ACM’ye aktarabilirsiniz. ACM, içe aktarılan sertifikaların yenileme işlemini yönetmez. AWS Management Console’u kullanarak içe aktarılan sertifikaların sona erme tarihlerini izleyebilir ve süresi dolan sertifikanın yerine yeni bir üçüncü parti sertifikasını içe aktarabilirsiniz.

S: ACM kuruluşumun uyumluluk gereksinimlerini karşılamasına nasıl yardımcı olabilir?

ACM’nin kullanılması, PCI, FedRAMP ve HIPAA gibi birçok uyumluluk programının ortak bir gereksinimi olan güvenli bağlantıları kolaylaştırma olanağı sağlayarak, yasal düzenlemelere uymanıza yardımcı olur. Mevzuat uyumluluğu ile ilgili bilgi için lütfen http://aws.amazon.com/compliance adresine bakın.

S: ACM’nin bir hizmet düzeyi sözleşmesi (SLA) var mı?

Şu anda yok.

S: ACM web sitemde görüntüleyebileceğim bir güvenli site mührü veya güven logosu sağlıyor mu?

Hayır. bir site mührü kullanmak isterseniz, üçüncü parti bir satıcıdan alabilirsiniz. Sitenizin veya iş uygulamalarınızın (ya da her ikisinin) güvenliğini değerlendiren bir satıcı seçmenizi öneririz.

S: Amazon ticari markalarının veya logosunun sertifika rozeti, site mührü veya güven logosu olarak kullanılmasına izin veriyor mu?

Hayır. Bu tür mühürler ve rozetler ACM hizmetini kullanmayan sitelere kopyalanabilir ve yanlış beyanda bulunarak güven oluşturmak amacıyla uygunsuz kullanılabilir. Müşterilerimizi ve Amazon’un adını korumak için, logomuzun bu şekilde kullanılmasına izin vermiyoruz.

Günlük Kaydı

S: AWS CloudTrail’den hangi günlük bilgileri sağlanır?

AWS Cloudtrail’i destekleyen hizmetler için AWS API’lerine hangi kullanıcıların ve hesapların çağrı yaptığını, çağrıların hangi kaynak IP adresinden yapıldığını ve ne zaman gerçekleştiğini belirleyebilirsiniz. Örneğin, ACM tarafından sağlanan bir sertifikayı Elastic Load Balancer ile ilişkilendirmek için hangi kullanıcının API çağrısı yaptığını ve Elastic Load Balancing hizmetinin KMS API çağrısıyla ne zaman anahtarın şifresini çözdüğünü belirleyebilirsiniz.

Yönetilen Yenileme ve Dağıtım

S: ACM yönetilen yenileme ve dağıtım nedir?

ACM yönetilen yenileme ve dağıtım, SSL/TLS ACM sertifikalarını yenileme ve yenilendikten sonra sertifikaları dağıtma işlemlerini yönetir.

S: ACM yönetilen yenileme ve dağıtımı kullanmanın avantajları nelerdir?

ACM, sizin için SSL/TLS sertifikalarının yenileme ve dağıtım işlemlerini yönetebilir. ACM, web hizmetleri ve uygulamalar için SSL/TLS yapılandırmasını ve bakımını, hataya açık manuel işlemlere göre işletimsel olarak daha anlamlı hale getirir. Yönetilen yenileme ve dağıtım, süresi dolan sertifikaların neden olduğu kapalı kalma sürelerinden kaçınmaya yardımcı olur. ACM, diğer AWS hizmetleriyle entegre bir hizmet olarak çalışır. Bunun anlamı, sertifikaları AWS Management Console’u, AWS CLI’yi veya API’leri kullanarak AWS platformu üzerinde merkezi olarak yönetebileceğinizdir. ACM Özel Sertifika Yetkilisi ile özel sertifikalar oluşturabilir ve bunları dışa aktarabilirsiniz. ACM dışa aktarılan sertifikaları yeniler ve bu sayede istemci tarafı otomasyon kodunuz bunları indirip dağıtabilir. 

S: Hangi ACM sertifikaları otomatik olarak yenilenebilir ve dağıtılabilir?

Genel Sertifikalar

ACM, etki alanı sahibinin ek doğrulamasına gerek kalmadan genel ACM sertifikalarını yenileyebilir ve dağıtabilir. Bir sertifika ek doğrulama olmadan yenilenemiyorsa, ACM sertifikadaki her etki alanı adı için etki alanı sahipliğini veya denetimini doğrulayarak yenileme işlemini yönetir. Sertifikadaki her etki alanı adı doğrulandıktan sonra, ACM sertifikayı yeniler ve AWS kaynaklarınızla otomatik olarak dağıtır. ACM etki alanı sahipliğini doğrulayamazsa, bunu size (AWS hesap sahibine) bildiririz.

Sertifika isteğinizde DNS doğrulamasını seçtiyseniz, sertifika kullanımda (diğer AWS kaynaklarıyla ilişkili) olduğu ve CNAME kaydınız durduğu sürece başka hiçbir işlem yapmanıza gerek kalmadan ACM, sertifikanızı süresiz olarak yenileyebilir. Sertifika isterken e-posta doğrulamasını seçtiyseniz, sertifikanın kullanımda olmasını, sertifikadaki tüm etki alanı adlarının sitenize çözümlenebilmesini ve tüm etki alanı adlarına İnternetten erişilebilmesini sağlayarak ACM’nin ACM sertifikalarını otomatik yenileme ve dağıtma özelliğini geliştirebilirsiniz.

Özel Sertifikalar

ACM tarafından ACM Özel Sertifika Yetkilileri ile verilen özel sertifikaların yönetimi için üç seçenek sağlanır. ACM, özel sertifikalarınızı nasıl yönettiğinize bağlı olarak farklı yenileme ve dağıtma özellikleri sağlar. Verdiğiniz her özel sertifika için en iyi yönetim seçeneğini kullanabilirsiniz.

1) ACM, ACM Özel Sertifika Yetkililerinizle verilen ve Elastic Load Balancing ve API Gateway gibi ACM ile entegre hizmetlerde kullanılan sertifikaların yenileme ve dağıtımını tümüyle otomatik hale getirebilir. ACM, sertifikayı veren Özel Sertifika Yetkilisi Etkin durumda kaldığı sürece ACM’de oluşturulan ve yönetilen özel sertifikaları yenileyebilir ve dağıtabilir.
2) Şirket içi kaynaklarda, EC2 bulut sunucularında ve IoT cihazlarında kullanılmak üzere ACM’den dışa aktardığınız özel sertifikalar için, ACM Özel Sertifika yetkilisi sertifikanızı otomatik olarak yeniler. Yeni sertifika ile özel anahtarı almak ve bunları uygulamanıza dağıtmak sizin sorumluluğunuzdadır.
3) Doğrudan bir ACM Özel Sertifika Yetkilisinden sertifikalar verirseniz ve anahtarlarla sertifikaları ACM sertifika yönetimini kullanmadan kendiniz yönetirseniz, ACM sertifikanızı yenilemez. Bu özel sertifikaların yenilenmesi ve dağıtımı sizin sorumluluğunuzdadır.

S: ACM sertifikaları ne zaman yeniler?

ACM, sertifikanın süre sonu tarihinden 60 gün önce yenileme işlemine başlar. ACM sertifikalarının geçerlilik süresi şu anda 13 aydır. Yönetilen yenileme hakkında daha fazla bilgi için ACM Kullanıcı Kılavuzu’na bakın.

S: Sertifikam yenilenmeden ve yeni sertifika dağıtılmadan önce bana haber verilecek mi?

Hayır. ACM önceden bildirmeden sertifikayı yenileyebilir, anahtarını değiştirebilir ve bunu eski sertifikanın yerine koyabilir.

S: ACM “example.com” gibi boş etki alanları (kök etki alanı veya çıplak etki alanı olarak da bilinir) içeren genel sertifikaları yenileyebilir mi?

Genel sertifika için sertifika isteğinizde DNS doğrulamasını seçtiyseniz, sertifika kullanımda (diğer AWS kaynaklarıyla ilişkili) olduğu ve CNAME kaydınız durduğu sürece başka hiçbir işlem yapmanıza gerek kalmadan ACM sertifikanızı yenileyebilir.

Boş etki alanı içeren bir genel sertifika isteğinde e-posta doğrulamasını seçtiyseniz, boş etki alanı için yapılan DNS aramasının sertifikayla ilişkilendirilmiş AWS kaynağına çözümlendiğinden emin olun. Route 53 veya boş etki alanlarını AWS kaynaklarına eşlemek için diğer ad kaynak kayıtlarını (veya eşdeğerini) destekleyen başka bir DNS sağlayıcısı kullanmadığınız sürece, boş etki alanını AWS kaynağına çözümlemek zor olabilir. Daha fazla bilgi için Route 53 Yazılım Geliştirme Kılavuzu’na bakın.

S: ACM yenilenen sertifikayı dağıttığında sitem mevcut bağlantıları bırakıyor mu?

Hayır, yeni sertifika dağıtıldıktan sonra kurulan bağlantılar yeni sertifikayı kullanır ve mevcut bağlantılar bundan etkilenmez.

AWS Certificate Manager fiyatlandırması hakkında daha fazla bilgi edinin

Fiyatlandırma sayfasını ziyaret edin
Oluşturmaya hazır mısınız?
AWS Certificate Manager'ı kullanmaya başlayın
Başka sorunuz mu var?
Bize ulaşın