問:什麼是 AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) 是一種服務,可讓您輕鬆佈建、管理和部署能與 AWS 服務搭配使用的 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證。SSL/TLS 憑證是用來保護網際網路上的網路通訊安全及建立網站身分。ACM 免除了耗時的手動購買、上傳和續約 SSL/TLS 憑證的手動程序。使用 ACM 可以請求憑證、在 Elastic Load Balancer、Amazon CloudFront 分佈或 Amazon API Gateway 上的 API 等 AWS 資源進行部署,以及讓 AWS Certificate Manager 處理憑證續約。您也可以將第三方憑證匯入 ACM,並建立它們與受支援 AWS 服務之間的關聯。透過 ACM 佈建的 SSL/TLS 憑證無須付費。您只需支付為執行應用程式而建立的 AWS 資源的費用。

問:什麼是 SSL/TLS 憑證?

SSL/TLS 憑證可讓 Web 瀏覽器使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 協定來識別和建立網站的加密網路連接。憑證是在稱為公開金鑰基礎設施 (PKI) 的加密系統內使用。如果雙方都信任第三方 (稱為憑證授權單位),PKI 會使用憑證讓其中一方建立另一方的身分。ACM User Guide 中的 Concepts 主題提供其他背景資訊和定義。

問:AWS Certificate Manager 可以用來做什麼?

您可以請求和佈建 SSL/TLS 憑證並使用與 ACM 整合的服務 – 像是 Elastic Load Balancing、Amazon CloudFront 或 Amazon API Gateway – 將憑證部署到您的網站或應用程式。驗證過所請求的網域擁有權且已發出憑證後,就可以在 AWS 管理主控台的下拉式清單中選取 SSL/TLS 憑證以進行部署。或者,您可以使用 AWS 命令列界面 (CLI) 命令或 API 呼叫,將 ACM 提供的憑證部署到 AWS 資源。ACM 會為您管理憑證續約和憑證部署。

問:使用 AWS Certificate Manager 有哪些好處?

ACM 可在 AWS 平台上輕鬆啟用網站或應用程式的 SSL/TLS。ACM 免除許多之前與使用 和管理 SSL/TLS 憑證相關的手動程序。ACM 透過管理續約,也可協助您避免因憑證設定錯誤、撤銷或過期而產生的停機時間。您可獲得 SSL/TLS 保護和簡易的憑證管理。啟用 SSL/TLS 可協助提升網站的搜尋等級,並協助遵守加密傳輸中資料的規範和合規要求。

要驗證您是否擁有或可控制憑證中的網域名稱,ACM 會根據您請求憑證時選取的項目使用 DNS 驗證電子郵件驗證。如果使用 DNS 驗證,只要將 CNAME 記錄寫入 DNS 組態就能建立對網域名稱的控制。若要進一步簡化 DNS 驗證程序,如果您使用 Amazon Route 53 管理 DNS 記錄,則 ACM 管理主控台可代您設定 DNS 記錄。如此一來,只要按幾下滑鼠即可輕鬆建立對網域名稱的控制。設定好 CNAME 記錄之後,只要 DNS 記錄保留在原處而且憑證在使用中,ACM 就能在憑證過期之前自動續約 DNS 驗證的憑證。續約完全自動,您無須執行任何動作。ACM 也可為無法自行更新網域 DNS 組態的客戶提供電子郵件驗證支援。

當您使用 ACM 時,憑證私有金鑰會受到嚴密保護,並使用增強式加密和金鑰管理最佳實務存放該金鑰。ACM 可讓您使用 AWS 管理主控台、AWS CLI 或 AWS Certificate Manager API 集中管理 AWS 區域中 ACM 提供的所有 SSL/TLS 憑證。ACM 會與其他 AWS 服務整合,因此您可以請求 SSL/TLS 憑證,並使用 AWS 管理主控台、AWS CLI 命令或 API 呼叫,將其佈建到 Elastic Load Balancing 負載平衡器或 Amazon CloudFront 分佈。

問:如何開始使用 ACM?

要開始使用 AWS Certificate Manager,瀏覽到 AWS 管理主控台的 Certificate Manager,再輸入網站名稱以使用精靈請求 SSL/TLS 憑證。您也可以使用 AWS CLI 或 API 來請求憑證。ACM 收到來自網域擁有者的核准並發出 SSL/TLS 憑證之後,就能在與 ACM 整合的其他 AWS 服務使用該憑證。對於每個整合的服務,只要從 AWS 管理主控台的下拉式清單中選取所需的 SSL/TLS 憑證即可。或者,您可以執行 AWS CLI 命令或呼叫 AWS API 來建立憑證與資源之間的關聯。然後,整合的服務會將憑證部署到您選取的資源。如需請求和使用 AWS Certificate Manager 提供之憑證的詳細資訊,請參閱 AWS Certificate Manager User Guide 中的 Getting Started

問:為什麼 ACM 要驗證網域擁有權?

憑證可用來建立網站的身分,並保護瀏覽器、應用程式和網站之間的連線安全。若要發行公開信任的憑證,Amazon 必須確定憑證請求者擁有憑證請求中網域名稱的控制權。

問:ACM 如何在發行網域憑證之前驗證網域的擁有權?

發行憑證之前,ACM 會驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。請參閱 DNS 驗證取得進一步詳細資訊。如果您無法將記錄寫入網域的公有 DNS 組態,可以使用電子郵件驗證取代 DNS 驗證。使用電子郵件驗證,ACM 會傳送電子郵件給已註冊的網域擁有者,該擁有者或授權代表可以針對憑證請求中的每個網域名稱核准發行憑證。請參閱電子郵件驗證取得進一步詳細資訊。

問:我應該使用哪種驗證方法:DNS 或電子郵件?

如果您能夠變更網域的 DNS 組態,建議您使用 DNS 驗證。無法收到 ACM 驗證電子郵件的客戶,以及使用網域註冊機構而未在 WHOIS 發布網域擁有者電子郵件聯絡資訊的客戶,應使用 DNS 驗證。如果您無法修改 DNS 組態,則應使用電子郵件驗證。

問:是否可將現有的憑證從電子郵件驗證轉換到 DNS 驗證?

否,不過您可以從 ACM 請求一個全新的免費憑證,然後為新的憑證選擇 DNS 驗證。

問:ACM 提供哪些類型的憑證?

ACM 提供網域驗證的 (DV) 憑證,以便在終止 SSL/TLS 的網站和應用程式使用。如需 ACM 提供之憑證的詳細資訊,請參閱憑證特點

問:我可以在哪些 AWS 服務使用 ACM 提供的憑證?

您可以在下列 AWS 服務使用 ACM:
• Elastic Load Balancing – 請參閱 Elastic Load Balancing 文件
• Amazon CloudFront – 請參閱 CloudFront 文件
• Amazon API Gateway – 請參閱 API Gateway 文件
• AWS Elastic Beanstalk – 請參閱 AWS Elastic Beanstalk 文件
• AWS CloudFormation – 請參閱 AWS CloudFormation 文件

問:哪些區域可以使用 ACM?

請參閱 AWS 全球基礎設施頁面,查看目前可使用 AWS 服務的區域。要使用 ACM 憑證搭配 Amazon CloudFront,必須請求或匯入美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

問:是否可以在一個以上的 AWS 區域使用相同的憑證?

它取決於您是使用 Elastic Load Balancing 或 Amazon CloudFront。若要在不同區域的相同網站 (相同的完整網域名稱或 FQDN 或一組 FQDN) 使用憑證搭配 Elastic Load Balancing,則必須為每個要使用憑證的區域分別請求一個新的憑證。要使用 ACM 憑證搭配 Amazon CloudFront,必須請求美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

問:我可以在區域間複製憑證嗎?

目前不可以。

問:如果我已經有其他供應商的相同網域名稱的憑證,是否可佈建憑證搭配 ACM?

是。

問:是否可以在 Amazon EC2 執行個體或自己的伺服器上使用憑證?

否。目前,ACM 提供的憑證只能用於特定 AWS 服務。請參閱我可以在哪些 AWS 服務使用 ACM 提供的憑證?

問:使用 ACM 佈建的憑證數量是否有限制?

根據預設,您可以在每個區域的每個帳戶最多佈建 100 個憑證。以 ACM 佈建的每個憑證最多可以有十個完整網域名稱。如需請求提高限額,請聯絡 AWS 支援中心。請參閱 AWS 文件以取得更進一步的詳細資訊。

回到頁首

問:如何從 ACM 佈建憑證?

您可以使用 AWS 管理主控台、AWS CLI 或 ACM API/SDK。要使用 AWS 管理主控台,請導覽到 Certificate Manager 並選擇 Request a certificate,接著輸入網站的網域名稱,然後依照畫面上的指示完成請求。如果使用者能使用其他名稱存取您的網站,則可以在您的請求中新增其他網域名稱。ACM 發行憑證之前,會先驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。如果使用 DNS 驗證,您要在網域的公有 DNS 組態寫入記錄,以證明您擁有或可控制網域。您使用 DNS 驗證一次並建立對網域的控制之後,只要 DNS 記錄保留在原處而且憑證在使用中,就能取得額外的憑證並讓 ACM 續約現有的網域憑證。無須再次驗證網域的控制權。如果您選擇電子郵件驗證而不是 DNS 驗證,便會傳送電子郵件給網域擁有者,請求核准發行憑證。驗證您擁有或可控制請求中的每個網域名稱之後,就會發行憑證並可在其他 AWS 服務進行佈建,像是 Elastic Load Balancing 或 Amazon CloudFront。請參閱 ACM 文件以取得詳細資訊。

問:發出憑證需要多久的時間?

從驗證憑證請求中所有網域名稱到發行憑證的時間可能需要數小時或更長的時間。

問:請求憑證時會發生什麼情況?

發出請求時,ACM 會根據您選擇 DNS 或電子郵件驗證方法,嘗試驗證憑證請求中每個網域名稱的擁有權和控制權。在 ACM 嘗試驗證您擁有或可控制網域的這段期間,憑證請求的狀態會是等待驗證。如需有關驗證程序的詳細資訊,請參閱下方的 DNS 驗證電子郵件驗證部分。驗證憑證請求中所有網域名稱之後,可能需要數小時或更長的時間才會發行憑證。發行憑證之後,憑證請求的狀態變更為已發行,接著就能將該憑證用在與 ACM 整合的其他 AWS 服務。

問:為什麼我的憑證請求的狀態是「等待驗證」?

已請求但尚未驗證的憑證狀態為等待驗證。憑證請求中的網域必須通過驗證,才能發行憑證。若要了解為什麼您的請求處於這個狀態,請參閱 ACM Troubleshooting Guide

問:為何我的憑證請求狀態出現「失敗」?

驗證網域控制權的程序會失敗有幾個原因。這些原因包含但不僅限於,網域位於據信有惡意軟體或網路釣魚內容的 Web 資源 URL 清單中。若要判斷您的請求為何失敗,請瀏覽 ACM 故障診斷指南

問:為何我的憑證請求狀態出現「驗證逾時」?

如果 ACM 憑證的請求未於 72 個小時內驗證就會逾時。請參閱 ACM User Guide 以取得故障診斷建議。

問:ACM 是否支援檢查 DNS 憑證授權機構授權 (CAA) 記錄?

是。DNS 憑證授權機構授權 (CAA) 記錄允許網域擁有者指定授權哪些憑證授權機構發行其網域憑證。請求 ACM 憑證時,AWS Certificate Manager 會在 DNS 區域組態尋找網域的 CAA 記錄。如果找不到 CAA 記錄,Amazon 可以針對您的網域發行憑證。大部分客戶屬於這一類。

如果您的 DNS 組態包含 CAA 記錄,該記錄必須指定以下其中一個 CA,Amazon 才能發行您網域的憑證:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。如需詳細資訊,請參閱 AWS Certificate Manager User Guide 中的 Configure a CAA RecordTroubleshooting CAA Problems

問:ACM 是否支援其他的驗證網域方法?

目前不支援。

                                                                 回到頁首 >>

問:什麼是 DNS 驗證?

使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。從 ACM 請求 SSL/TLS 憑證時,DNS 驗證可讓您輕鬆證明您擁有網域。

問:DNS 驗證有哪些優點?

使用 DNS 驗證可輕鬆驗證您擁有或可控制網域,以便取得 SSL/TLS 憑證。如果使用 DNS 驗證,只要將 CNAME 記錄寫入 DNS 組態就能建立對網域名稱的控制。若要簡化 DNS 驗證程序,如果您使用 Amazon Route 53 管理 DNS 記錄,則 ACM 管理主控台可代您設定 DNS 設定。如此一來,只要按幾下滑鼠即可輕鬆建立對網域名稱的控制。設定好 CNAME 記錄之後,只要 DNS 驗證記錄保留在原處,ACM 就能自動續約使用中的憑證 (與其他 AWS 資源關聯)。續約完全自動,您無須執行任何動作。

問:誰應該使用 DNS 驗證?

透過 ACM 請求憑證和有能力變更請求之網域的 DNS 組態的任何人都應考慮使用 DNS 驗證。

問:ACM 是否仍然支援電子郵件驗證?

是。ACM 持續為無法變更 DNS 組態的客戶支援電子郵件驗證。

問:要將哪些記錄新增到 DNS 組態才能驗證網域?

您必須針對要驗證的網域新增 CNAME 記錄。例如,要驗證 www.example.com 這個名稱,要將 CNAME 記錄新增到 example.com 的區域。您新增的記錄包含 ACM 專為您的網域和 AWS 帳戶產生的隨機字符。您可從 ACM 取得 CNAME 記錄的兩個部分 (名稱和標籤)。如需進一步指示,請參考 ACM User Guide

問:是否可新增或修改網域的 DNS 記錄?

如需如何新增或修改 DNS 記錄的詳細資訊,請洽詢您的 DNS 供應商。Amazon Route 53 DNS 文件為使用 Amazon Route 53 DNS 的客戶提供了進一步的資訊。

問:ACM 是否可簡化 Amazon Route 53 DNS 客戶的 DNS 驗證?

是。如果是使用 Amazon Route 53 DNS 管理 DNS 記錄的客戶,ACM 主控台可在您請求憑證時為您新增記錄到 DNS 組態。網域的 Route 53 DNS 託管區域必須在與發行請求的 AWS 帳戶中設定,而且您必須擁有足夠的許可對 Amazon Route 53 組態進行變更。如需進一步指示,請參考 ACM User Guide

問:DNS 驗證是否需要使用特定的 DNS 供應商?

否。您可以使用 DNS 驗證搭配任何 DNS 供應商,只要該供應商允許您新增 CNAME 記錄到 DNS 組態即可。

問:如果我希望相同網域有多個憑證,需要有幾個 DNS 記錄?

一個。您可以使用一個 CNAME 記錄,在同一個 AWS 帳戶取得相同網域名稱的多個憑證。例如,如果您從同一個 AWS 帳戶提出 2 個相同網域名稱的憑證請求,只需要 1 個 DNS CNAME 記錄。

問:是否可使用相同的 CNAME 記錄驗證多個網域名稱?

否。每個網域名稱必須有唯一的 CNAME 記錄。

問:是否可使用 DNS 驗證來驗證萬用字元網域名稱?

是。

問:ACM 如何建構 CNAME 記錄?

DNS CNAME 記錄有兩個元件:名稱和標籤。ACM 產生的 CNAME 名稱元件由底線字元 (_) 後接字符建構而成,這是與您 AWS 帳戶和網域名稱關聯的唯一字串。ACM 在您的網域名稱之前加入底線和字符,以建構名稱元件。ACM 從前面加上底線字元的不同字符建構標籤,這也與您 AWS 帳戶和網域名稱關聯。ACM 在 AWS 使用的 DNS 網域名稱前加上底線和字符進行驗證:acm-validations.aws。以下範例說明 www.example.com、subdomain.example.com 和 *.example.com 的 CNAME 格式。

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

請注意,ACM 會在產生萬用字元名稱的 CNAME 記錄時移除萬用字元標籤 (*)。因此,ACM 針對萬用字元名稱 (例如 *.example.com) 產生的 CNAME 記錄和針對沒有萬用字元標籤網域名稱 (example.com) 傳回的記錄相同。

問:是否可使用一個 CNAME 記錄驗證網域的所有子網域?

否。包括主機名稱和子網域名稱在內的每個網域名稱都必須透過唯一的 CNAME 記錄個別驗證。

問:為什麼 ACM 使用 CNAME 記錄而不使用 TXT 記錄進行 DNS 驗證?

使用 CNAME 記錄時,只要 CNAME 記錄存在,ACM 就可以續約憑證。CNAME 記錄會導向 AWS 網域 (acm-validations.aws) 中的 TXT 記錄,ACM 可視需要更新,以驗證或重新驗證網域名稱,您無須執行任何動作。

問:DNS 驗證是否可跨 AWS 區域運作?

是。您可以建立一個 DNS CNAME 記錄,將該記錄用於在提供 ACM 的任何 AWS 區域中的相同 AWS 帳戶以取得憑證。只要設定一次 CNAME 記錄,就可以從 ACM 取得該名稱的憑證發行和續約,無須建立其他記錄。

問:是否可在相同憑證選擇不同的驗證方法?

否。每個憑證只能有一個驗證方法。

問:如何續約透過 DNS 驗證進行驗證的憑證?

只要 DNS 驗證記錄保留在原處,ACM 就會自動續約使用中的憑證 (與其他 AWS 資源關聯)。

問:是否可撤銷針對我的網域發行憑證的許可?

是。只要移除 CNAME 記錄即可。移除 CNAME 記錄之後,ACM 不會使用 DNS 驗證針對您的網域發行或續約憑證,而且此變更會遍及整個 DNS。移除記錄的傳播時間取決於您的 DNS 供應商。

問:如果移除 CNAME 記錄會發生什麼事?

如果移除 CNAME 記錄,ACM 無法使用 DNS 驗證針對您的網域發行或續約憑證。

回到頁首 >>

問:什麼是電子郵件驗證?

透過電子郵件驗證,核准請求電子郵件會傳送到憑證請求中每個網域名稱的已註冊網域擁有者。網域擁有者或授權代表 (核准者) 可以依照電子郵件中的指示核准憑證請求。此指示會要求核准者瀏覽到核准網站,按一下電子郵件中的連結或從電子郵件將連結貼到瀏覽器,以瀏覽至核准網站。核准者確認與憑證請求關聯的資訊,如網域名稱、憑證 ID (ARN) 及發行請求的 AWS 帳戶 ID,如果資訊正確,則會核准請求。

問:請求憑證並選擇電子郵件驗證時,憑證核准請求會傳送到哪些電子郵件地址?

當您使用電子郵件驗證請求憑證時,會使用憑證請求中每個網域名稱的 WHOIS 查詢來擷取網域的聯絡資訊。電子郵件會傳送至網域所列的網域註冊申請人、管理聯絡人和技術聯絡人。另外,電子郵件也會傳送至五個特殊電子郵件地址,其格式為在您請求的網域名稱前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@。例如,如果您請求 server.example.com 憑證,則會使用 example.com 網域 WHOIS 查詢傳回的聯絡資訊,將電子郵件傳送至網域申請人、技術聯絡人和管理聯絡人,以及 admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com。

五個特殊電子郵件地址的建構方式不同於與以 "www" 開頭的網域名稱或以星號 (*) 開頭的萬用字元名稱。ACM 會移除開頭的 "www" 或星號,將電子郵件傳送到以網域名稱剩餘部分前面加上 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 所形成的管理地址。例如,如果您請求 www.example.com 的憑證,電子郵件會傳送給 WHOIS 聯絡人,如前所述,地址會變成 admin@example.com 而不是 admin@www.example.com。剩餘的四個特殊電子郵件地址使用類似的格式。

在您請求憑證之後,就可以使用 ACM 主控台、AWS CLI 或 API,針對每個網域顯示傳送電子郵件的電子郵件地址清單。

問:我是否可以設定傳送憑證核准請求的電子郵件地址?

否,但您可以設定傳送驗證電子郵件的基礎網域名稱。基礎網域名稱必須是憑證請求中網域名稱的超級網域。例如,如果您要請求 server.domain.example.com 憑證,但想要將核准電子郵件傳送到 admin@domain.example.com,則可使用 AWS CLI 或 API 進行這項操作。請參閱 ACM CLI 參考ACM API 參考以取得詳細資訊。

問:是否可以使用含 Proxy 聯絡資訊 (如 Privacy Guard 或 WhoisGuard) 的網域?

是;不過由於是 Proxy 的關係,電子郵件的傳送時間可能會有所延遲。透過 Proxy 傳送的電子郵件可能會進入您的垃圾郵件資料夾。請參閱 ACM User Guide 以取得故障診斷建議。

問:ACM 是否可以使用我的 AWS 帳戶的技術聯絡人來驗證我的身分?

否。驗證網域擁有者身分的程序和政策非常嚴格,而且會由 CA/Browser Forum 進行裁決,該論壇負責制定公開信任憑證授權單位的政策標準。要進一步了解,請參閱 Amazon Trust Services 儲存庫中最新的 Amazon Trust Services Certification Practices Statement。

問:如果沒有收到核准電子郵件該怎麼辦?

請參閱 ACM User Guide 以取得故障診斷建議。

回到頁首 >>

問:ACM 提供的憑證是否受瀏覽器、作業系統以及行動裝置信任?

ACM 提供的憑證受多數現代瀏覽器、作業系統以及行動裝置的信任。ACM 提供的憑證可用於 99% 的瀏覽器與作業系統,包含 Windows XP SP3 與 Java 6,以及更新的版本。

問:如何確認我的瀏覽器信任 ACM 所提供的憑證?

信任 ACM 所提供憑證的瀏覽器會顯示一個鎖圖示,而且在使用 ACM 提供之憑證透過 SSL/TLS (例如使用 HTTPS) 連接到網站時不會發出憑證警告。

ACM 提供的憑證已通過 Amazon 憑證授權單位 (CA) 驗證。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority – G2 或 Starfield Class 2 Certification Authority 的瀏覽器、應用程式或作業系統都信任 ACM 提供的憑證。

問:ACM 是否可以提供具有多個網域名稱的憑證?

是。每個憑證必須至少包含一個網域名稱,而且您可在需要時新增其他名稱到憑證。例如,如果使用者想要透過以下兩個名稱連到您的網站,則可以在 "www.example.com" 的憑證新增 "www.example.net" 名稱。您必須對憑證請求中包含的全部名稱具備擁有權或控制權。

問:什麼是萬用字元網域名稱?

萬用字元網域名稱可符合網域中的任何第一層子網域或主機名稱。第一層子網域是不包含句點 (點) 的單一網域名稱標籤。例如,您可以使用 *.example.com 名稱來保護 www.example.com、images.example.com 以及任何以 .example.com 結尾的任何其他主機名稱或第一層子網域。有關詳細資訊,請參閱 ACM User Guide

問:ACM 是否可以提供具有萬用字元網域名稱的憑證?

是。

問:ACM 是否提供組織驗證 (OV) 或延伸驗證 (EV) 憑證?

目前不提供。

問:除了適用於網站的 SSL/TLS 之外,ACM 是否提供其他項目的憑證?

目前不提供。

問:是否可以將 ACM 提供的憑證用於程式碼簽署或電子郵件加密?

否。

問:ACM 是否提供用來簽署和加密電子郵件的憑證 (S/MIME 憑證)?

目前不提供。

問:ACM 提供的憑證使用何種演算法?

ACM 憑證使用 RSA 金鑰搭配 2048 位元模數與 SHA-256。

問:ACM 是否支援橢圓曲線 (ECDSA) 憑證?

目前不支援。

問:Amazon 在何處說明發出憑證的政策與實務?

相關說明在 Amazon Trust Services 憑證政策與 Amazon Trust Services Certification Practices Statement 文件中描述。請參考 Amazon Trust Services 儲存庫以取得最新版本。

問:如何撤銷憑證?

透過聯絡 AWS 支援中心並建立案例,就可以請求 ACM 撤銷憑證。 

問:如果憑證中的資訊有更動要如何通知 AWS?

您可以將電子郵件寄到 validation-questions[at]amazon.com 以通知 AWS。

回到頁首 >>

問:如何管理 ACM 所提供憑證的私有金鑰?

ACM 所提供的每個憑證會建立金鑰對。AWS Certificate Manager 旨在保護和管理搭配 SSL/TLS 憑證使用的私有金鑰。當保護和存放私有金鑰時會使用增強式加密和金鑰管理最佳實務。

問:ACM 是否會在 AWS 區域之間複製憑證?

否。每個 ACM 憑證的私有金鑰會存放在您請求憑證的區域之中。例如,當您在美國東部 (維吉尼亞北部) 區域取得新憑證,ACM 會將私有金鑰存放在維吉尼亞北部區域。如果憑證與 CloudFront 分佈有關聯,ACM 只會在指定區域之間複製。在該例中,CloudFront 會將 ACM 憑證分發到為您的分佈所設定的地理位置。

問:是否可以稽核憑證私有金鑰的使用情形?

是。您可以用 AWS CloudTrail 來檢視日誌,以了解何時使用過憑證的私有金鑰。

回到頁首 >>

問:使用 ACM 憑證如何計價和收費?

透過 AWS Certificate Manager 佈建、管理及部署 SSL/TLS 憑證無須付費。您只需支付為執行應用程式所建立的 AWS 資源的費用,例如 Elastic Load Balancing 負載平衡器或 Amazon CloudFront 分佈。

回到頁首 >>

問:是否可以使用相同的憑證來搭配多個 Elastic Load Balancing 負載平衡器與多個 CloudFront 分佈?

是。

問:在沒有公有網際網路存取的情況下,是否可以使用內部 Elastic Load Balancing 負載平衡器的憑證?

是。請參閱受管的續約與部署以取得 ACM 如何管理無法從公有網際網路存取之憑證更新的詳細資訊。

問:適用於 www.example.com 的憑證是否也可用於 example.com?

否。如果您要兩個網域名稱 (www.example.com 與 example.com) 都能參照您的網站,則必須請求包含兩個名稱的憑證。

問:是否可以匯入第三方憑證,並使用它搭配 AWS 服務?

是。如果您要使用第三方憑證搭配 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway,可利用 AWS 管理主控台、AWS CLI 或 ACM API 將該憑證匯入 ACM。ACM 不會管理匯入憑證的續約程序。您可以透過 AWS 管理主控台來監控已匯入憑證的過期日期,並匯入新的第三方憑證來取代已過期的憑證。

問:ACM 所提供的憑證有效期間為多久?

ACM 所提供的憑證,目前的有效期間為 13 個月。

問:ACM 如何協助我的組織符合我的合規要求?

透過讓 ACM 易於加強安全連線,這是許多合規計劃 (例如 PCI、FedRAMP 及 HIPAA) 的常見要求,就能使用 ACM 來協助您遵守各種法規要求。有關合規的特定資訊,請參考 http://aws.amazon.com/compliance

問:ACM 是否有服務水準協議 (SLA)?

目前沒有。

問:ACM 是否允許在網域名稱中有本地語言字元,這也稱為國際化網域名稱 (IDN)?

ACM 不允許 Unicode 編碼的本地語言字元;然而,ACM 允許網域名稱中有 ASCII 編碼的本地語言字元。

問:ACM 允許何種網域名稱標籤格式?

ACM 只允許 UTF-8 編碼的 ASCII,包括內有 "xn–" 的標籤 (通常稱為 Punycode),作為網域名稱。ACM 不接受 Unicode 輸入 (u-labels) 作為網域名稱。

問:ACM 是否提供可在網站上顯示的網站安全標章或信任標誌?

否。如果您想使用網站安全標章,可以從第三方廠商取得。建議您選擇評估和維護您網站或商業行為安全或兩者的廠商。

問:Amazon 是否允許使用其商標做為憑證徽章、網站安全標章或信任標誌?

否。未使用 ACM 服務的網站,或以不正當方式騙取信任的網站都可能會複製這類標章和徽章。為了保護客戶和 Amazon 商譽,我們不允許以這種方式使用我們的標誌。

回到頁首 >>

問:AWS CloudTrail 中提供哪些日誌資訊?

您可以識別哪些使用者與帳戶呼叫 AWS API 來取得支援 AWS CloudTrail 的服務、發出呼叫的來源 IP 地址以及發生呼叫的時間。例如,您可以識別哪位使用者發出 API 呼叫將 ACM 提供的憑證與 Elastic Load Balancer 建立關聯,以及 Elastic Load Balancing 服務何時使用 KMS API 呼叫解密金鑰。

回到頁首 >>

問:ACM 受管的續約與部署為何?

ACM 受管的續約與部署會管理 ACM 所提供之 SSL/TLS 憑證的續約程序,並在續約之後部署憑證。

問:使用 ACM 受管的續約與部署有何優點?

ACM 會為您管理 SSL/TLS 憑證的續約與部署。ACM 可讓設定和維護安全 Web 服務或應用程式的 SSL/TLS 連線,在運作上更順暢,並避免易錯的手動程序。受管的續約與部署可以協助您避免因為憑證過期而停機。ACM 受管的續約與部署不需要您在網站上安裝或維護軟體用戶端或代理器。ACM 會改以服務的形式與其他 AWS 服務整合運作。 這表示您可以在 AWS 平台上,透過使用 AWS 管理主控台、AWS CLI 或 API 來集中管理和部署憑證。

問:何種憑證可以自動續約和部署?

ACM 可以續約和部署由 ACM 提供的憑證,無須網域擁有者的額外驗證。如果沒有額外驗證就無法續約憑證,ACM 會驗證憑證中每個網域名稱的網域擁有權或控制權,以管理續約程序。在憑證中的每個網域名稱都經過驗證之後,ACM 會續約憑證並自動部署到您的 AWS 資源。如果 ACM 無法驗證網域擁有權,我們會告知您 (AWS 帳戶擁有者)。

如果您在憑證請求中選擇 DNS 驗證,ACM 可無限期地續約您的憑證,您無須執行任何進一步的動作,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。如果您在請求憑證時選取電子郵件驗證,可透過確認該憑證在使用中、憑證中的所有網域名稱都可由您的網站解析,以及所有網域名稱都可從網際網路連接,以提升 ACM 的能力自動續約和部署 ACM 提供的憑證。

問:ACM 何時會續約憑證?

ACM 最早會在憑證過期日期的 60 天前開始續約程序。ACM 所提供憑證之有效期間目前為 13 個月。請參閱 ACM 使用者指南以進一步了解受管的續約。

問:在我的憑證續約及新憑證部署前是否會通知我?

否。ACM 可能會續約憑證或重新製作憑證的金鑰,並取代舊憑證,而不事前通知您。

問:ACM 是否可以續約包含裸網域的憑證,例如 "example.com" (也稱為 Zone Apex 或裸名網域)?

如果您在憑證請求中選擇 DNS 驗證,您無須執行任何進一步的動作,ACM 就可續約您的憑證,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。

如果您在請求包含裸網域的憑證時選取電子郵件驗證,請確定裸網域的 DNS 查詢可以解析成與該憑證關聯的 AWS 資源。將裸網域解析成 AWS 資源可能有難度,除非您使用 Route 53 或其他支援別名資源紀錄 (或同等項目) 的 DNS 供應商,將裸網域映射到 AWS 資源。如需詳細資訊,請參閱 Route 53 Developer Guide

問:當 ACM 部署續約的憑證時,我的網站是否會捨棄現有的連線?

否,新憑證部署之後所建立的連線會使用新憑證,現有的連線不會受到影響。

回到頁首 >>