一般

問:什麼是 AWS Certificate Manager (ACM)?

AWS Certificate Manager 是一種服務,可讓您輕鬆佈建、管理和部署能與 AWS 服務和您的內部連線資源搭配使用的公有與私有 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證。SSL/TLS 憑證可用於保護網路通訊安全,還有為網際網路上的網站和私有網路上的資源建立身分。AWS Certificate Manager 免除了耗時的手動購買、上傳和續約 SSL/TLS 憑證的手動程序。使用 AWS Certificate Manager 可以快速請求憑證、在 Elastic Load Balancer、Amazon CloudFront 分佈和 API Gateway 上的 API 等 AWS 資源進行部署,以及讓 AWS Certificate Manager 處理憑證續約。它也可讓您建立內部資源的私有憑證,以及集中管理憑證生命週期。透過 AWS Certificate Manager 佈建、且專門與 ACM 整合式服務 (例如 Elastic Load Balancing、Amazon CloudFront 及 Amazon API Gateway) 搭配使用的公有與私有 SSL/TLS 憑證無須付費。您必須支付為執行應用程式而建立的 AWS 資源的費用。每個私有 CA 在刪除之前,您每個月都要支付一筆操作費,而您所發行但非專門與 ACM 整合式服務搭配使用的私有憑證,也要支付月費。

問:什麼是 SSL/TLS 憑證?

SSL/TLS 憑證可讓 Web 瀏覽器使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 協定來識別和建立網站的加密網路連接。憑證是在稱為公開金鑰基礎設施 (PKI) 的加密系統內使用。如果雙方都信任第三方 (稱為憑證授權單位),PKI 會使用憑證讓其中一方建立另一方的身分。ACM User Guide 中的 Concepts 主題提供了其他背景資訊和定義。

問:什麼是私有憑證?

私有憑證可識別組織內的資源,例如應用程式、服務、裝置及使用者。在建立安全的加密通訊通道時,每個端點會使用憑證和加密技術向另一個端點證明自己的身分。內部 API 端點、Web 伺服器、VPN 使用者、IoT 裝置及其他多種應用程式會使用私有憑證建立所需的加密通訊通道,以進行安全的操作。

問:公有憑證與私有憑證有何不同?

公有憑證與私有憑證都可協助客戶識別網路上的資源,並能確保這些資源之間的通訊安全。公有憑證可識別公有網際網路上的資源,而私有憑證可識別私有網路上的資源。主要的一項差別在於應用程式和瀏覽器預設會自動信任公有憑證,但管理員必須明確地設定應用程式信任私有憑證。公有 CA (發行公有憑證的實體) 需遵循嚴密的規則、提供操作檢視,並符合瀏覽器和作業系統廠商強制執行的安全標準,這些安全標準決定其瀏覽器和作業系統會自動信任哪些 CA。私有 CA 由私有組織管理,而且私有 CA 管理員可自訂發行私有憑證的規則,包括發行憑證的實務及憑證可包含的資訊。要進一步了解私有憑證與私有 CA,請參閱以下的 ACM Private CA

問:使用 AWS Certificate Manager (ACM) 與 ACM Private Certificate Authority (CA) 有哪些優點?

ACM 可在 AWS 平台上輕鬆啟用網站或應用程式的 SSL/TLS。ACM 免除許多之前與使用 和管理 SSL/TLS 憑證相關的手動程序。ACM 透過管理續約,也可協助您避免因憑證設定錯誤、撤銷或過期而產生的停機時間。您可獲得 SSL/TLS 保護和簡易的憑證管理。為連結網路的網站啟用 SSL/TLS 可協助提升網站的搜尋排名,並協助遵守加密傳輸中資料的合規要求。

當您使用 ACM 管理憑證時,會使用增強式加密和金鑰管理最佳實務來保護和存放憑證私有金鑰。ACM 可讓您使用 AWS 管理主控台、AWS CLI 或 AWS Certificate Manager API 來集中管理 AWS 區域中的所有 SSL/TLS ACM 憑證。ACM 會與其他 AWS 服務整合,因此您可以請求 SSL/TLS 憑證,並使用 AWS 管理主控台、AWS CLI 命令或 API 呼叫,將其佈建到 Elastic Load Balancing 負載平衡器或 Amazon CloudFront 分佈。

ACM Private CA 是受管的私有 CA 服務,可協助您輕鬆且安全地管理私有憑證的生命週期。ACM Private CA 為您提供高可用性的私有 CA 服務,沒有操作私有 CA 所花費的前期投資與持續維護成本。ACM Private CA 將 ACM 的憑證管理功能擴展至私有憑證,讓您可以集中管理公有憑證與私有憑證。ACM Private CA 提供 API 給開發人員,讓他們可以更靈活地以程式設計方式建立和部署私有憑證。您還可彈性地為需要自訂憑證生命週期或資源名稱的應用程式建立私有憑證。使用 ACM Private CA,您就可以利用安全、依用量計費的受管私有 CA 服務,在單一位置建立、管理和追蹤已連線資源的私有憑證。

問:我可以使用 ACM 建立和管理哪些類型的憑證?

ACM 可讓您管理公有憑證與私有憑證的生命週期。ACM 的功能會依公有憑證或私有憑證、憑證取得方式和憑證部署位置而有所不同。要進一步了解公有憑證,請參閱「ACM 公有憑證」,要進一步了解私有憑證和私有 CA,請參閱以下的 ACM Private CA 一節。

公有憑證 – ACM 可管理與 ACM 整合式服務 (包括 Amazon CloudFront、Elastic Load Balancing 及 Amazon API Gateway) 搭配使用的公有憑證續約和部署。

私有憑證 – ACM Private CA 提供三種建立和管理私有憑證的方式。1) 您可選擇將私有憑證交由 ACM 管理。以這種方式使用時,ACM 會自動續約和部署搭配 ACM 整合式服務 (包括 Amazon CloudFront、Elastic Load Balancing 及 Amazon API Gateway) 使用的私有憑證。您可以使用 AWS 管理主控台、API 或命令列界面 (CLI) 輕鬆地部署這些私有憑證。2) 您可以從 ACM 匯出私有憑證,然後將它們用於 EC2 執行個體、容器、現場部署伺服器和 IoT 裝置。ACM Private CA 會自動續約這些憑證,並在續約完成後傳送 Amazon CloudWatch 通知。您可以撰寫用戶端程式碼以下載續約的憑證和私有金鑰,並連同您的應用程式一起部署。3) ACM Private CA 可讓您選擇建立自己的私有金鑰、產生憑證簽署要求 (CSR)、從您的 ACM Private CA 發行私有憑證或自行管理金鑰與憑證。您必須負責續約和部署這些私有憑證。

匯入的憑證 – 如果您要將第三方憑證與 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway 搭配使用,可利用 AWS 管理主控台、AWS CLI 或 ACM API 將該憑證匯入 ACM。ACM 不會管理匯入憑證的續約程序。您要負責監控已匯入憑證的過期日期,並在過期之前續約憑證。您可以透過 AWS 管理主控台來監控已匯入憑證的過期日期,並匯入新的第三方憑證來取代已過期的憑證。

問:如何開始使用 ACM?

要開始使用 AWS Certificate Manager,瀏覽到 AWS 管理主控台中的 Certificate Manager,然後使用精靈來請求 SSL/TLS 憑證。如果您已建立 ACM Private CA,則可選擇要使用公有憑證或私有憑證,然後輸入您的網站名稱。請參閱以下的 ACM Private CA 與「ACM 公有憑證」來判斷您需要何種憑證,並進一步了解 ACM Private CA。您也可以使用 AWS CLI 或 API 來請求憑證。在憑證發行之後,您可將它與 ACM 整合的其他 AWS 服務搭配使用。對於每個整合的服務,只要從 AWS 管理主控台的下拉式清單中選取所需的 SSL/TLS 憑證即可。或者,您可以執行 AWS CLI 命令或呼叫 AWS API 來建立憑證與資源之間的關聯。然後,整合的服務會將憑證部署到您選取的資源。如需請求和使用 AWS Certificate Manager 提供之憑證的詳細資訊,請參閱 AWS Certificate Manager User Guide 中的 Getting Started。除了將私有憑證與 ACM 整合式服務搭配使用之外,也可在 EC2 執行個體、ECS 容器或任何位置使用私有憑證。請參閱「私有憑證」以取得詳細資訊。

問:ACM 憑證可與哪些 AWS 服務搭配使用?

您可將公有與私有 ACM 憑證搭配下列 AWS 服務來使用:
• Elastic Load Balancing – 請參閱 Elastic Load Balancing 文件
• Amazon CloudFront – 請參閱 CloudFront 文件
• Amazon API Gateway – 請參閱 API Gateway 文件
• AWS Elastic Beanstalk – 請參閱 AWS Elastic Beanstalk 文件
• AWS CloudFormation – 目前僅支援使用電子郵件驗證的公有憑證。請參閱 AWS CloudFormation 文件

此外,您還可將使用 ACM Private CA 發行的私有憑證用於 EC2 執行個體、容器、IoT 裝置和您自己的伺服器。

問:哪些區域可以使用 ACM?

請參閱 AWS 全球基礎設施頁面,查看目前可使用 AWS 服務的區域。要將 ACM 憑證與 Amazon CloudFront 搭配使用,您必須請求或匯入美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

ACM Private Certificate Authority

問:什麼是 ACM Private CA?

私有憑證可用於識別私有網路上已連線的資源 (例如伺服器、行動裝置、IoT 裝置及應用程式),並可確保這些資源之間的通訊安全。ACM Private CA 是受管的私有 CA 服務,可協助您輕鬆且安全地管理私有憑證的生命週期。ACM Private CA 為您提供高可用性的私有 CA 服務,沒有操作私有 CA 所花費的前期投資與持續維護成本。ACM Private CA 可將 ACM 的憑證管理功能擴展至私有憑證,讓您集中建立和管理公有憑證與私有憑證。您可以使用 AWS 管理主控台或 ACM API 輕鬆地建立和部署 AWS 資源的私有憑證。針對 EC2 執行個體、容器、IoT 裝置和現場部署資源,您可以輕鬆地建立和追蹤私有憑證,並使用自己的用戶端自動化程式碼來部署這些私有憑證。您還可彈性地為需要自訂憑證生命週期、金鑰演算法或資源名稱的應用程式建立私有憑證,並自行管理這些私有憑證。進一步了解 ACM Private CA。 

問:什麼是私有憑證?

私有憑證可識別組織內的資源,例如應用程式、服務、裝置及使用者。在建立安全的加密通訊通道時,每個端點會使用憑證和加密技術向另一個端點證明自己的身分。內部 API 端點、Web 伺服器、VPN 使用者、IoT 裝置及其他多種應用程式會使用私有憑證建立所需的加密通訊通道,以進行安全的操作。 

問:什麼是私有憑證授權單位 (CA)?

私有 CA 負責私有網路 (也就是非公有網際網路) 內私有憑證的發行、驗證與撤銷。它包含兩個主要元件:其一是 CA 憑證,這是發行憑證所需的加密建置區塊。其二是透過憑證撤銷清單 (CRL) 維護撤銷資訊的一組執行時間服務。當資源嘗試互相連線時,它們會檢查 CRL 以取得每個實體呈現的憑證狀態。如果憑證有效,資源之間的交握就會完成,並以密碼編譯方式來互相證實各實體的身分,然後在它們之間建立加密的通訊通道 (TLS/SSL)。

問:私有憑證與私有 CA 和公有憑證與公有 CA 有何不同?

私有 CA 的元件與公有 CA 的元件相同。不過,公有 CA 必須在公有網際網路上發行和驗證資源的憑證,而私有 CA 是在私有網路上發行和驗證資源的憑證。主要的一項差別在於應用程式和瀏覽器預設會自動信任公有憑證,但管理員必須明確地設定應用程式信任私有 CA 發行的憑證。公有 CA 需遵循嚴密的規則、提供操作檢視,並符合瀏覽器和作業系統廠商強制執行的安全標準,這些安全標準決定其瀏覽器和作業系統會自動信任哪些 CA。私有 CA 管理員可自訂發行私有憑證的規則,包括發行憑證的實務及憑證可包含的資訊。

問:組織為什麼使用私有憑證而非公有憑證?

幾乎組織中的所有資源都可利用私有憑證來識別,而無須公開揭露名稱。Wiki.internal、IP 地址 192.168.1.1、fire-sensor-123 及 user123 都是可在私有憑證中使用的名稱範例。相較之下,公有憑證僅限用於識別具有公有 DNS 名稱 (例如 www.example.com) 的資源。私有憑證可包含公有憑證中禁止的資訊。有些企業應用程式需在私有憑證中加入額外資訊,因而無法使用公有憑證。

問:什麼是自我簽署憑證,為什麼組織應改用私有 CA 發行的憑證?

自我簽署憑證是未透過 CA 發行的憑證。有別於自 CA 維護的安全根所發行的憑證,自我簽署憑證就是自身的根,因此有一些明顯的限制:它們可用於提供線上加密,但無法用於驗證身分,而且無法撤銷。雖然從安全觀點看來難以接受這種憑證,但組織仍使用它們,因為它們易於產生、不需要專門技術或基礎設施,而且許多應用程式都能接受。自我簽署憑證的發行無法控管。由於無法追蹤這種憑證的過期日期,所以使用自我簽署憑證的組織因憑證過期導致服務中斷時間的風險較高。ACM Private CA 可解決這些問題。

問:如何開始使用 ACM Private CA?

要開始使用 ACM Private CA,請導覽到 AWS 管理主控台中的 Certificate Manager,在畫面左側選取 Private CA。選擇 Get started 以開始建立私有憑證授權單位。請參閱 ACM Private CA User Guide 中的 Getting Started 以進一步了解。

問:哪裡可以進一步了解 ACM Private CA?

請參閱 ACM Private CA 詳細資訊頁面ACM Private CA User GuideACM Private CA API 參考AWS CLI 參考中的 ACM 以進一步了解。

ACM 憑證

問:ACM 可管理何種類型的憑證?

ACM 可管理公有、私有和匯入的憑證。有關每種憑證類型專用之 ACM 管理功能的詳細資訊,請參閱 [問:如何使用 ACM 管理憑證?]。

問:ACM 是否可以提供具有多個網域名稱的憑證?

是。每個憑證必須至少包含一個網域名稱,而且您可在需要時新增其他名稱到憑證。例如,如果使用者想要透過以下兩個名稱連到您的網站,則可以在 "www.example.com" 的憑證新增 "www.example.net" 名稱。您必須對憑證請求中包含的全部名稱具備擁有權或控制權。 

問:什麼是萬用字元網域名稱?

萬用字元網域名稱可符合網域中的任何第一層子網域或主機名稱。第一層子網域是不包含句點 (點) 的單一網域名稱標籤。例如,您可以使用 *.example.com 名稱來保護 www.example.com、images.example.com 以及任何以 .example.com 結尾的任何其他主機名稱或第一層子網域。有關詳細資訊,請參閱 ACM User Guide

問:ACM 是否可以提供具有萬用字元網域名稱的憑證?

是。

問:除了 SSL/TLS 之外,ACM 是否提供其他項目的憑證?

ACM 中管理的憑證旨在與 SSL/TLS 搭配使用。如果您直接從 ACM Private CA 發行私有憑證,並且自行管理金鑰與憑證,而不使用 ACM 來管理憑證,您可以設定這些私有憑證的主旨、有效期間、金鑰演算法和簽章演算法,並將它們與 SSL/TLS 和其他應用程式搭配使用。

問:ACM 憑證是否可用於程式碼簽章或電子郵件加密?

否。

問:ACM 是否提供用來簽署和加密電子郵件的憑證 (S/MIME 憑證)?

目前沒有。

問:ACM 憑證的有效期間為何?

透過 ACM 發行之憑證的有效期間是 13 個月。如果您直接從 ACM Private CA 發行私有憑證,並且自行管理金鑰與憑證,而不使用 ACM 來管理憑證,您可以選擇任何有效期間 (包含絕對的結束日期,或自目前日期算起幾天、幾月或幾年內有效的相對時間)。

問:ACM 憑證使用何種演算法?

ACM 中管理的憑證會使用 RSA 金鑰搭配 2048 位元模數與 SHA-256。如果您直接從 ACM Private CA 發行私有憑證,並且自行管理金鑰與憑證,而不使用 ACM 來管理憑證,您也可以發行和使用橢圓曲線 (ECDSA) 憑證。ACM 目前沒有能力管理這些憑證。

問:如何撤銷憑證?

您可以前往 AWS Support Center 建立案例,以請求 ACM 撤銷公有憑證。如果要撤銷您的 ACM Private CA 所發行的私有憑證,請參閱 ACM Private CA User Guide。 

問:我可以在 AWS 區域間複製憑證嗎?

您目前無法在區域間複製 ACM 管理的憑證。您可以複製從 ACM 匯出的私有憑證,還可複製您直接從 ACM Private CA 發行、而不使用 ACM 來管理的憑證,以進行憑證與私有金鑰管理。

問:是否可以在一個以上的 AWS 區域使用相同的 ACM 憑證?

它取決於您是使用 Elastic Load Balancing 或 Amazon CloudFront。若要在不同區域的相同網站 (相同的完整網域名稱或 FQDN 或一組 FQDN) 使用憑證搭配 Elastic Load Balancing,則必須為每個要使用憑證的區域分別請求一個新的憑證。要使用 ACM 憑證搭配 Amazon CloudFront,必須請求美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

問:如果我已經有其他供應商的相同網域名稱的憑證,是否可佈建憑證搭配 ACM?

是。

問:是否可以在 Amazon EC2 執行個體或自己的伺服器上使用憑證?

您可以將 ACM Private CA 發行的私有憑證與 EC2 執行個體、容器和您自己的伺服器搭配使用。公有 ACM 憑證目前只能與特定的 AWS 服務搭配使用。請參閱 ACM 憑證可與哪些 AWS 服務搭配使用?

問:ACM 是否允許在網域名稱中有本地語言字元,這也稱為國際化網域名稱 (IDN)?

ACM 不允許 Unicode 編碼的本地語言字元;然而,ACM 允許網域名稱中有 ASCII 編碼的本地語言字元。

問:ACM 允許何種網域名稱標籤格式?

ACM 只允許 UTF-8 編碼的 ASCII,包括內有 "xn–" 的標籤 (通常稱為 Punycode),作為網域名稱。ACM 不接受 Unicode 輸入 (u-labels) 作為網域名稱。

ACM 公有憑證

問:什麼是公有憑證?

公有憑證與私有憑證都可協助客戶識別網路上的資源,並能確保這些資源之間的通訊安全。公有憑證可識別網際網路上的資源。

問:ACM 提供哪些類型的公有憑證?

ACM 提供網域驗證的 (DV) 公有憑證,以與可終止 SSL/TLS 的網站和應用程式搭配使用。有關 ACM 憑證的更多詳細資訊,請參閱憑證特性

問:ACM 公有憑證是否受瀏覽器、作業系統及行動裝置信任?

ACM 公有憑證受多數現代瀏覽器、作業系統以及行動裝置信任。ACM 提供的憑證可用於 99% 的瀏覽器與作業系統,包含 Windows XP SP3 與 Java 6,以及更新的版本。

問:如何確認我的瀏覽器是否信任 ACM 公有憑證?

信任 ACM 憑證的瀏覽器會顯示一個鎖圖示,而且在經由 SSL/TLS (例如使用 HTTPS) 連接到使用 ACM 憑證的網站時不會發出憑證警告。

公有 ACM 憑證經過 Amazon 的憑證授權單位 (CA) 驗證。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority – G2 或 Starfield Class 2 Certification Authority 的瀏覽器、應用程式或作業系統,一律會信任 ACM 憑證。

問:ACM 是否提供公有組織驗證 (OV) 或延伸驗證 (EV) 憑證?

目前沒有。

問: Amazon 在何處說明公有憑證發行的政策和實務?

相關說明在 Amazon Trust Services 憑證政策與 Amazon Trust Services Certification Practices Statement 文件中描述。請參考 Amazon Trust Services 儲存庫以取得最新版本。

問:如果公有憑證中的資訊有更動要如何通知 AWS?

您可以將電子郵件寄到 validation-questions[at]amazon.com 以通知 AWS。

佈建 ACM 公有憑證

問:如何從 ACM 佈建公有憑證?

您可以使用 AWS 管理主控台、AWS CLI 或 ACM API/SDK。要使用 AWS 管理主控台,請導覽至 Certificate Manager,依序選擇 Request a certificate、Request a public certificate、輸入網站的網域名稱,然後依照畫面上的指示完成您的請求。如果使用者能使用其他名稱存取您的網站,則可以在您的請求中新增其他網域名稱。ACM 發行憑證之前,會先驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。如果使用 DNS 驗證,您要在網域的公有 DNS 組態寫入記錄,以證明您擁有或可控制網域。您使用 DNS 驗證一次並建立對網域的控制之後,只要 DNS 記錄保留在原處而且憑證在使用中,就能取得額外的憑證並讓 ACM 續約現有的網域憑證。無須再次驗證網域的控制權。如果您選擇電子郵件驗證而不是 DNS 驗證,便會傳送電子郵件給網域擁有者,請求核准發行憑證。驗證您擁有或可控制請求中的每個網域名稱之後,就會發行憑證並可在其他 AWS 服務進行佈建,像是 Elastic Load Balancing 或 Amazon CloudFront。請參閱 ACM 文件以取得詳細資訊。

問:為什麼 ACM 要驗證公有憑證的網域擁有權?

憑證可用來建立網站的身分,並保護瀏覽器、應用程式和網站之間的連線安全。若要發行公開信任的憑證,Amazon 必須確定憑證請求者擁有憑證請求中網域名稱的控制權。

問:ACM 如何在發行網域的公有憑證之前驗證網域擁有權?

發行憑證之前,ACM 會驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。請參閱 DNS 驗證取得進一步詳細資訊。如果您無法將記錄寫入網域的公有 DNS 組態,可以使用電子郵件驗證取代 DNS 驗證。使用電子郵件驗證,ACM 會傳送電子郵件給已註冊的網域擁有者,該擁有者或授權代表可以針對憑證請求中的每個網域名稱核准發行憑證。請參閱電子郵件驗證取得進一步詳細資訊。

問:我的公有憑證應使用何種驗證方法:DNS 或電子郵件?

如果您能夠變更網域的 DNS 組態,建議您使用 DNS 驗證。無法收到 ACM 驗證電子郵件的客戶,以及使用網域註冊機構而未在 WHOIS 發布網域擁有者電子郵件聯絡資訊的客戶,應使用 DNS 驗證。如果您無法修改 DNS 組態,則應使用電子郵件驗證。

問:是否可將現有的公有憑證從電子郵件驗證轉換到 DNS 驗證?

否,不過您可以從 ACM 請求一個全新的免費憑證,然後為新的憑證選擇 DNS 驗證。

問:發行公有憑證需要多久的時間?

從驗證憑證請求中所有網域名稱到發行憑證的時間可能需要數小時或更長的時間。

問:請求公有憑證會發生什麼情況?

發出請求時,ACM 會根據您選擇 DNS 或電子郵件驗證方法,嘗試驗證憑證請求中每個網域名稱的擁有權和控制權。在 ACM 嘗試驗證您擁有或可控制網域的這段期間,憑證請求的狀態會是「等待驗證」。如需有關驗證程序的詳細資訊,請參閱下方的 DNS 驗證電子郵件驗證小節。驗證憑證請求中所有網域名稱之後,可能需要數小時或更長的時間才會發行憑證。發行憑證之後,憑證請求的狀態變更為已發行,接著就能將該憑證用在與 ACM 整合的其他 AWS 服務。

問:ACM 發行公有憑證前,是否會檢查 DNS 憑證授權單位授權 (CAA) 記錄?

是。DNS 憑證授權機構授權 (CAA) 記錄允許網域擁有者指定授權哪些憑證授權機構發行其網域憑證。請求 ACM 憑證時,AWS Certificate Manager 會在 DNS 區域組態尋找網域的 CAA 記錄。如果找不到 CAA 記錄,Amazon 可以針對您的網域發行憑證。大部分客戶屬於這一類。

如果您的 DNS 組態包含 CAA 記錄,該記錄必須指定以下其中一個 CA,Amazon 才能發行您網域的憑證:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。如需詳細資訊,請參閱 AWS Certificate Manager User Guide 中的 Configure a CAA RecordTroubleshooting CAA Problems

問:ACM 是否支援其他的驗證網域方法?

目前沒有。

DNS 驗證 (公有憑證)

問:什麼是 DNS 驗證?

使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。從 ACM 請求 SSL/TLS 憑證時,DNS 驗證可讓您輕鬆證明您擁有網域。

問:DNS 驗證有哪些優點?

使用 DNS 驗證可輕鬆驗證您擁有或可控制網域,以便取得 SSL/TLS 憑證。如果使用 DNS 驗證,只要將 CNAME 記錄寫入 DNS 組態就能建立對網域名稱的控制。若要簡化 DNS 驗證程序,如果您使用 Amazon Route 53 管理 DNS 記錄,則 ACM 管理主控台可代您設定 DNS 設定。如此一來,只要按幾下滑鼠即可輕鬆建立對網域名稱的控制。設定好 CNAME 記錄之後,只要 DNS 驗證記錄保留在原處,ACM 就能自動續約使用中的憑證 (與其他 AWS 資源關聯)。續約完全自動,您無須執行任何動作。

問:誰應該使用 DNS 驗證?

透過 ACM 請求憑證和有能力變更請求之網域的 DNS 組態的任何人都應考慮使用 DNS 驗證。

問:ACM 是否仍然支援電子郵件驗證?

是。ACM 持續為無法變更 DNS 組態的客戶支援電子郵件驗證。

問:要將哪些記錄新增到 DNS 組態才能驗證網域?

您必須針對要驗證的網域新增 CNAME 記錄。例如,要驗證 www.example.com 這個名稱,要將 CNAME 記錄新增到 example.com 的區域。您新增的記錄包含 ACM 專為您的網域和 AWS 帳戶產生的隨機字符。您可從 ACM 取得 CNAME 記錄的兩個部分 (名稱和標籤)。如需進一步指示,請參考 ACM User Guide

問:是否可新增或修改網域的 DNS 記錄?

如需如何新增或修改 DNS 記錄的詳細資訊,請洽詢您的 DNS 供應商。Amazon Route 53 DNS 文件為使用 Amazon Route 53 DNS 的客戶提供了進一步的資訊。

問:ACM 是否可簡化 Amazon Route 53 DNS 客戶的 DNS 驗證?

是。如果是使用 Amazon Route 53 DNS 管理 DNS 記錄的客戶,ACM 主控台可在您請求憑證時為您新增記錄到 DNS 組態。網域的 Route 53 DNS 託管區域必須在與發行請求的 AWS 帳戶中設定,而且您必須擁有足夠的許可對 Amazon Route 53 組態進行變更。如需進一步指示,請參考 ACM User Guide

問:DNS 驗證是否需要使用特定的 DNS 供應商?

您可以使用 DNS 驗證搭配任何 DNS 供應商,只要該供應商允許您新增 CNAME 記錄到 DNS 組態即可。

問:如果我希望相同網域有多個憑證,需要有幾個 DNS 記錄?

一個。您可以使用一個 CNAME 記錄,在同一個 AWS 帳戶取得相同網域名稱的多個憑證。例如,如果您從同一個 AWS 帳戶提出 2 個相同網域名稱的憑證請求,只需要 1 個 DNS CNAME 記錄。

問:是否可使用相同的 CNAME 記錄驗證多個網域名稱?

否。每個網域名稱必須有唯一的 CNAME 記錄。

問:是否可使用 DNS 驗證來驗證萬用字元網域名稱?

是。

問:ACM 如何建構 CNAME 記錄?

DNS CNAME 記錄有兩個元件:名稱和標籤。ACM 產生的 CNAME 名稱元件由底線字元 (_) 後接字符建構而成,這是與您 AWS 帳戶和網域名稱關聯的唯一字串。ACM 在您的網域名稱之前加入底線和字符,以建構名稱元件。ACM 從前面加上底線字元的不同字符建構標籤,這也與您 AWS 帳戶和網域名稱關聯。ACM 在 AWS 使用的 DNS 網域名稱前加上底線和字符進行驗證:acm-validations.aws。以下範例說明 www.example.com、subdomain.example.com 和 *.example.com 的 CNAME 格式。

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

請注意,ACM 會在產生萬用字元名稱的 CNAME 記錄時移除萬用字元標籤 (*)。因此,ACM 針對萬用字元名稱 (例如 *.example.com) 產生的 CNAME 記錄和針對沒有萬用字元標籤網域名稱 (example.com) 傳回的記錄相同。

問:是否可使用一個 CNAME 記錄驗證網域的所有子網域?

否。包括主機名稱和子網域名稱在內的每個網域名稱都必須透過唯一的 CNAME 記錄個別驗證。

問:為什麼 ACM 使用 CNAME 記錄而不使用 TXT 記錄進行 DNS 驗證?

使用 CNAME 記錄時,只要 CNAME 記錄存在,ACM 就可以續約憑證。CNAME 記錄會導向 AWS 網域 (acm-validations.aws) 中的 TXT 記錄,ACM 可視需要更新,以驗證或重新驗證網域名稱,您無須執行任何動作。

問:DNS 驗證是否可跨 AWS 區域運作?

是。您可以建立一個 DNS CNAME 記錄,將該記錄用於在提供 ACM 的任何 AWS 區域中的相同 AWS 帳戶以取得憑證。只要設定一次 CNAME 記錄,就可以從 ACM 取得該名稱的憑證發行和續約,無須建立其他記錄。

問:是否可在相同憑證選擇不同的驗證方法?

否。每個憑證只能有一個驗證方法。

問:如何續約透過 DNS 驗證進行驗證的憑證?

只要 DNS 驗證記錄保留在原處,ACM 就會自動續約使用中的憑證 (與其他 AWS 資源關聯)。

問:是否可撤銷針對我的網域發行憑證的許可?

是。只要移除 CNAME 記錄即可。移除 CNAME 記錄之後,ACM 不會使用 DNS 驗證針對您的網域發行或續約憑證,而且此變更會遍及整個 DNS。移除記錄的傳播時間取決於您的 DNS 供應商。

問:如果移除 CNAME 記錄會發生什麼事?

如果移除 CNAME 記錄,ACM 無法使用 DNS 驗證針對您的網域發行或續約憑證。

電子郵件驗證 (公有憑證)

問:什麼是電子郵件驗證?

透過電子郵件驗證,核准請求電子郵件會傳送到憑證請求中每個網域名稱的已註冊網域擁有者。網域擁有者或授權代表 (核准者) 可以依照電子郵件中的指示核准憑證請求。此指示會要求核准者瀏覽到核准網站,按一下電子郵件中的連結或從電子郵件將連結貼到瀏覽器,以瀏覽至核准網站。核准者確認與憑證請求關聯的資訊,如網域名稱、憑證 ID (ARN) 及發行請求的 AWS 帳戶 ID,如果資訊正確,則會核准請求。

問:請求憑證並選擇電子郵件驗證時,憑證核准請求會傳送到哪些電子郵件地址?

當您使用電子郵件驗證請求憑證時,會使用憑證請求中每個網域名稱的 WHOIS 查詢來擷取網域的聯絡資訊。電子郵件會傳送至網域所列的網域註冊申請人、管理聯絡人和技術聯絡人。另外,電子郵件也會傳送至五個特殊電子郵件地址,其格式為在您請求的網域名稱前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@。例如,如果您請求 server.example.com 憑證,則會使用 example.com 網域 WHOIS 查詢傳回的聯絡資訊,將電子郵件傳送至網域申請人、技術聯絡人和管理聯絡人,以及 admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com。

五個特殊電子郵件地址的建構方式不同於與以 "www" 開頭的網域名稱或以星號 (*) 開頭的萬用字元名稱。ACM 會移除開頭的 "www" 或星號,將電子郵件傳送到以網域名稱剩餘部分前面加上 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 所形成的管理地址。例如,如果您請求 www.example.com 的憑證,電子郵件會傳送給 WHOIS 聯絡人,如前所述,地址會變成 admin@example.com 而不是 admin@www.example.com。剩餘的四個特殊電子郵件地址使用類似的格式。

在您請求憑證之後,就可以使用 ACM 主控台、AWS CLI 或 API,針對每個網域顯示傳送電子郵件的電子郵件地址清單。

問:我是否可以設定傳送憑證核准請求的電子郵件地址?

否,但您可以設定傳送驗證電子郵件的基礎網域名稱。基礎網域名稱必須是憑證請求中網域名稱的超級網域。例如,如果您要請求 server.domain.example.com 憑證,但想要將核准電子郵件傳送到 admin@domain.example.com,則可使用 AWS CLI 或 API 進行這項操作。請參閱 ACM CLI 參考ACM API 參考以取得詳細資訊。

問:是否可以使用含 Proxy 聯絡資訊 (如 Privacy Guard 或 WhoisGuard) 的網域?

是;不過由於是 Proxy 的關係,電子郵件的傳送時間可能會有所延遲。透過 Proxy 傳送的電子郵件可能會進入您的垃圾郵件資料夾。請參閱 ACM User Guide 以取得故障診斷建議。

問:ACM 是否可以使用我的 AWS 帳戶的技術聯絡人來驗證我的身分?

驗證網域擁有者身分的程序和政策非常嚴格,而且會由 CA/Browser Forum 進行裁決,該論壇負責制定公開信任憑證授權單位的政策標準。要進一步了解,請參閱 Amazon Trust Services 儲存庫中最新的 Amazon Trust Services Certification Practices Statement。

問:如果沒有收到核准電子郵件該怎麼辦?

請參閱 ACM User Guide 以取得故障診斷建議。

私有金鑰保護

問:如何管理 ACM 所提供憑證的私有金鑰?

ACM 所提供的每個憑證會建立金鑰對。AWS Certificate Manager 旨在保護和管理搭配 SSL/TLS 憑證使用的私有金鑰。當保護和存放私有金鑰時會使用增強式加密和金鑰管理最佳實務。

問:ACM 是否會在 AWS 區域之間複製憑證?

否。每個 ACM 憑證的私有金鑰會存放在您請求憑證的區域之中。例如,當您在美國東部 (維吉尼亞北部) 區域取得新憑證,ACM 會將私有金鑰存放在維吉尼亞北部區域。如果憑證與 CloudFront 分佈有關聯,ACM 只會在指定區域之間複製。在該例中,CloudFront 會將 ACM 憑證分發到為您的分佈所設定的地理位置。

問:是否可以稽核憑證私有金鑰的使用情形?

是。您可以用 AWS CloudTrail 來檢視日誌,以了解何時使用過憑證的私有金鑰。

計費

問:使用 ACM 憑證如何計價和收費?

透過 AWS Certificate Manager 佈建且專門與 ACM 整合式服務 (例如 Elastic Load Balancing、Amazon CloudFront 及 Amazon API Gateway) 搭配使用的公有憑證與私有憑證無須付費。您必須支付為執行應用程式而建立的 AWS 資源的費用。AWS Certificate Manager Private Certificate Authority 提供依用量計費定價。每個 ACM Private CA 在刪除之前,您每個月都要支付一筆操作費。您還需支付從 ACM 建立和匯出的私人憑證的費用,例如用於 EC2 或現場部署伺服器或您透過自行建立私人金鑰直接從 Private CA 發行的憑證。如需詳細資訊與範例,請參閱定價頁面

詳細資訊

問:是否可以使用相同的憑證來搭配多個 Elastic Load Balancing 負載平衡器與多個 CloudFront 分佈?

是。

問:在沒有公有網際網路存取的情況下,是否可以使用內部 Elastic Load Balancing 負載平衡器的公有憑證?

是,但您也可以考慮使用 ACM Private CA 來發行 ACM 可續約而不用驗證的私有憑證。請參閱受管的續約與部署,詳細了解 ACM 如何續約無法從網際網路連接的公有憑證與私有憑證。

問:適用於 www.example.com 的憑證是否也可用於 example.com?

否。如果您要兩個網域名稱 (www.example.com 與 example.com) 都能參照您的網站,則必須請求包含兩個名稱的憑證。

問:是否可以匯入第三方憑證,並將它與 AWS 服務搭配使用?

是。如果您要使用第三方憑證搭配 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway,可利用 AWS 管理主控台、AWS CLI 或 ACM API 將該憑證匯入 ACM。ACM 不會管理匯入憑證的續約程序。您可以透過 AWS 管理主控台來監控已匯入憑證的過期日期,並匯入新的第三方憑證來取代已過期的憑證。

問:ACM 如何協助我的組織符合我的合規要求?

透過讓 ACM 易於加強安全連線,這是許多合規計劃 (例如 PCI、FedRAMP 及 HIPAA) 的常見要求,就能使用 ACM 來協助您遵守各種法規要求。有關合規的特定資訊,請參考 http://aws.amazon.com/compliance。

問:ACM 是否有服務水準協議 (SLA)?

目前沒有。

問:ACM 是否提供可在網站上顯示的網站安全標章或信任標誌?

否。如果您想使用網站安全標章,可以從第三方廠商取得。建議您選擇評估和維護您網站或商業行為安全或兩者的廠商。

問:Amazon 是否允許使用其商標做為憑證徽章、網站安全標章或信任標誌?

否。未使用 ACM 服務的網站,或以不正當方式騙取信任的網站都可能會複製這類標章和徽章。為了保護客戶和 Amazon 商譽,我們不允許以這種方式使用我們的標誌。

記錄日誌

問:AWS CloudTrail 中提供哪些日誌資訊?

您可以識別哪些使用者與帳戶呼叫 AWS API 來取得支援 AWS CloudTrail 的服務、發出呼叫的來源 IP 地址以及發生呼叫的時間。例如,您可以識別哪位使用者發出 API 呼叫將 ACM 提供的憑證與 Elastic Load Balancer 建立關聯,以及 Elastic Load Balancing 服務何時使用 KMS API 呼叫解密金鑰。

受管的續約與部署

問:ACM 受管的續約與部署為何?

ACM 受管的續約與部署會管理 SSL/TLS ACM 憑證的續約程序,並在續約後部署憑證。

問:使用 ACM 受管的續約與部署有何優點?

ACM 可為您管理 SSL/TLS 憑證的續約與部署。ACM 可讓設定和維護安全 Web 服務或應用程式的 SSL/TLS 連線,在運作上更順暢,並避免易錯的手動程序。受管的續約與部署可以協助您避免因為憑證過期而停機。ACM 會用服務的形式和其他 AWS 服務整合運作。這表示您可以在 AWS 平台上,透過使用 AWS 管理主控台、AWS CLI 或 API 來集中管理和部署憑證。使用 ACM Private CA,您可以建立和匯出私有憑證。ACM 會續約匯出的憑證,讓您的用戶端自動化程式碼能下載並部署這些憑證。 

問:何種 ACM 憑證可以自動續約和部署?

公有憑證

ACM 可續約和部署公有 ACM 憑證,無須網域擁有者的額外驗證。如果沒有額外驗證就無法續約憑證,ACM 會驗證憑證中每個網域名稱的網域擁有權或控制權,以管理續約程序。在憑證中的每個網域名稱都經過驗證之後,ACM 會續約憑證並自動部署到您的 AWS 資源。如果 ACM 無法驗證網域擁有權,我們會告知您 (AWS 帳戶擁有者)。

如果您在憑證請求中選擇 DNS 驗證,ACM 可無限期地續約您的憑證,您無須執行任何進一步的動作,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。如果您在請求憑證時選取電子郵件驗證,只要您確定憑證為使用中、憑證中的所有網域名稱都可由您的網站解析、以及能從網際網路連接所有網域名稱,這樣您就可以改善 ACM 自動續約和部署 ACM 憑證的能力。

私有憑證

針對使用 ACM Private CA 發行的私有憑證,ACM 提供了三個管理選項。您管理私有憑證的方法不同,ACM 提供的續約和部署功能也會有所不同。您可為您發行的每個私有憑證選擇最佳的管理選項。

1) ACM 可完全自動化續約和部署使用 ACM Private CA 發行的私有憑證,並將它們與 ACM 整合式服務搭配使用,例如 Elastic Load Balancing 與 API Gateway。只要發行私有憑證的 Private CA 仍是作用中狀態,ACM 就可以續約和部署在 ACM 中建立和管理的私有憑證。
2) 如果是從 ACM 匯出以搭配現場部署資源、EC2 執行個體及 IoT 裝置使用的私有憑證,ACM Private CA 會自動續約您的憑證。您要負責擷取新的憑證和私有金鑰,並將它們連同應用程式一起部署。
3) 如果您直接從 ACM Private CA 發行憑證,並且自行管理金鑰與憑證,而不使用 ACM 來管理憑證,ACM 就不會續約您的憑證。您必須負責續約和部署這些私有憑證。

問:ACM 何時會續約憑證?

ACM 最早會在憑證過期日期的 60 天前開始續約程序。ACM 憑證目前的有效期間是 13 個月。請參閱 ACM 使用者指南以進一步了解受管的續約。

問:在我的憑證續約及新憑證部署前是否會通知我?

否。ACM 可能會續約憑證或重新製作憑證的金鑰,並取代舊憑證,而不事前通知您。

問:ACM 是否可以續約包含 "example.com" 之類的裸網域 (也稱為 Zone Apex 或裸名網域) 的公有憑證?

如果您在公有憑證的憑證請求中選擇 DNS 驗證,您無須執行任何進一步的動作,ACM 就可續約您的憑證,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。

如果您在請求包含裸網域的公有憑證時選取電子郵件驗證,請確定裸網域的 DNS 查詢可以解析成與該憑證關聯的 AWS 資源。將裸網域解析成 AWS 資源可能有難度,除非您使用 Route 53 或其他支援別名資源紀錄 (或同等項目) 的 DNS 供應商,將裸網域映射到 AWS 資源。如需詳細資訊,請參閱 Route 53 Developer Guide。

問:當 ACM 部署續約的憑證時,我的網站是否會捨棄現有的連線?

否,新憑證部署之後所建立的連線會使用新憑證,現有的連線不會受到影響。

進一步了解 AWS Certificate Manager 定價

瀏覽定價頁面
準備好開始建立?
開始使用 AWS Certificate Manager
還有其他問題嗎?
聯絡我們