一般問題

問:什麼是 AWS Certificate Manager?

AWS Certificate Manager (ACM) 是一種服務,可讓您輕鬆佈建、管理和部署公有及私有 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證,其可與 AWS 服務和您的內部連線資源搭配使用。SSL/TLS 憑證可用於保護網路通訊安全,還有為網際網路上的網站和私有網路上的資源建立身分。ACM 免除了耗時的手動購買、上傳和續約 SSL/TLS 憑證的手動程序。使用 AWS Certificate Manager 可以快速請求憑證、在 Elastic Load Balancer、Amazon CloudFront 分佈和 API Gateway 上的 API 等 AWS 資源進行部署,以及讓 ACM 處理憑證續約。它也可讓您建立內部資源的私有憑證,以及集中管理憑證生命週期。透過 ACM 佈建、且專門與 ACM 整合式服務 (例如 Elastic Load Balancing、Amazon CloudFront 及 Amazon API Gateway) 搭配使用的公有與私有 SSL/TLS 憑證無須付費。您必須支付為執行應用程式而建立的 AWS 資源的費用。每個私有 CA 在刪除之前,您每個月都要支付一筆操作費,而您所發行但非專門與 ACM 整合式服務搭配使用的私有憑證,也要支付月費。

問:什麼是 SSL/TLS 憑證?

SSL/TLS 憑證可讓 Web 瀏覽器使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 協定來識別和建立網站的加密網路連接。憑證是在稱為公開金鑰基礎設施 (PKI) 的加密系統內使用。如果雙方都信任第三方 (稱為憑證授權單位),PKI 會使用憑證讓其中一方建立另一方的身分。您可以瀏覽 ACM 使用者指南中的概念主題,了解其他背景資訊和定義。

問:什麼是私有憑證?

私有憑證可識別組織內的資源,例如應用程式、服務、裝置及使用者。在建立安全的加密通訊通道時,每個端點會使用憑證和加密技術向另一個端點證明自己的身分。內部 API 端點、Web 伺服器、VPN 使用者、IoT 裝置及其他多種應用程式會使用私有憑證建立所需的加密通訊通道,以進行安全的操作。

問:公有憑證與私有憑證有何不同?

公有憑證與私有憑證都可協助客戶識別網路上的資源,並能確保這些資源之間的通訊安全。公有憑證可識別公有網際網路上的資源,而私有憑證可識別私有網路上的資源。主要的一項差別在於應用程式和瀏覽器預設會自動信任公有憑證,但管理員必須明確地設定應用程式信任私有憑證。公有 CA (發行公有憑證的實體) 需遵循嚴密的規則、提供操作檢視,並符合瀏覽器和作業系統廠商強制執行的安全標準,這些安全標準決定其瀏覽器和作業系統會自動信任哪些 CA。私有 CA 由私有組織管理,而且私有 CA 管理員可自訂發行私有憑證的規則,包括發行憑證的實務及憑證可包含的資訊。 

問:使用 AWS Certificate Manager (ACM) 有哪些好處?

ACM 可在 AWS 平台上輕鬆啟用網站或應用程式的 SSL/TLS。ACM 免除許多之前與使用 和管理 SSL/TLS 憑證相關的手動程序。ACM 透過管理續約,也可協助您避免因憑證設定錯誤、撤銷或過期而產生的停機時間。您可獲得 SSL/TLS 保護和簡易的憑證管理。為連結網路的網站啟用 SSL/TLS 可協助提升網站的搜尋排名,並協助遵守加密傳輸中資料的合規要求。

當您使用 ACM 管理憑證時,會使用增強式加密和金鑰管理最佳實務來保護和存放憑證私有金鑰。ACM 可讓您使用 AWS 管理主控台、AWS CLI 或 ACM API 來集中管理 AWS 區域中的所有 SSL/TLS ACM 憑證。ACM 會與其他 AWS 服務整合,因此您可以請求 SSL/TLS 憑證,並使用 AWS 管理主控台、AWS CLI 命令或 API 呼叫,將其佈建到 Elastic Load Balancing 負載平衡器或 Amazon CloudFront 分佈。

問:我可以使用 ACM 管理哪些類型的憑證?

ACM 可讓您管理公有憑證與私有憑證的生命週期。ACM 的功能會依公有憑證或私有憑證、憑證取得方式和憑證部署位置而有所不同。

公有憑證 – 您可以在 ACM 中申請 Amazon 簽發的公有憑證。ACM 可管理與 ACM 整合式服務 (包括 Amazon CloudFront、Elastic Load Balancing 及 Amazon API Gateway) 搭配使用的公有憑證續約和部署。

公有憑證 – 您可選擇將私有憑證交由 ACM 管理。以這種方式使用時,ACM 會自動續約和部署搭配 ACM 整合式服務 (包括 Amazon CloudFront、Elastic Load Balancing 及 Amazon API Gateway) 使用的私有憑證。您可以使用 AWS 管理主控台、API 或命令列介面 (CLI) 輕鬆地部署這些私有憑證。您可以從 ACM 匯出私有憑證,然後將它們用於 EC2 執行個體、容器、內部部署伺服器和 IoT 裝置。AWS Private CA 會自動續約這些憑證,並在續約完成後傳送 Amazon CloudWatch 通知。您可以撰寫用戶端程式碼以下載續約的憑證和私有金鑰,並連同您的應用程式一起部署。

匯入的憑證 – 如果您要將第三方憑證與 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway 搭配使用,可利用 AWS 管理主控台、AWS CLI 或 ACM API 將該憑證匯入 ACM。ACM 不能更新匯入的憑證,但它能幫您管理更新程序。您要負責監控已匯入憑證的過期日期,並在過期之前續約憑證。您可以透過 ACM CloudWatch 指標來監控已匯入憑證的過期日期,並匯入新的第三方憑證來取代已過期的憑證。

問:如何開始使用 ACM?

要開始使用 ACM,請瀏覽到 AWS 管理主控台中的 Certificate Manager,然後使用精靈來請求 SSL/TLS 憑證。如果您已建立 Private CA,則可選擇要使用公有憑證還是私有憑證,然後輸入您的網站名稱。您也可以使用 AWS CLI 或 API 來請求憑證。在憑證發行之後,您可將它與 ACM 整合的其他 AWS 服務搭配使用。對於每個整合的服務,只要從 AWS 管理主控台的下拉式清單中選取所需的 SSL/TLS 憑證即可。或者,您可以執行 AWS CLI 命令或呼叫 AWS API 來建立憑證與資源之間的關聯。然後,整合的服務會將憑證部署到您選取的資源。 如需關於請求和使用 ACM 提供的憑證的更多資訊,請在 ACM 使用者指南中進一步了解。除了將私有憑證與 ACM 整合式服務搭配使用之外,您也可以匯出私有憑證以在 EC2 執行個體上、ECS 容器上或任何位置使用。

問:ACM 憑證可與哪些 AWS 服務搭配使用?

• 您可將公有與私有 ACM 憑證搭配下列 AWS 服務來使用:
• Elastic Load Balancing – 請參閱 Elastic Load Balancing 文件
• Amazon CloudFront – 請參閱 CloudFront 文件
• Amazon API Gateway – 請參閱 API Gateway 文件
• AWS CloudFormation – 目前僅支援由 ACM 簽發的公有和私有憑證。請參閱 AWS CloudFormation 文件
• AWS Elastic Beanstalk – 請參閱 AWS Elastic Beanstalk 文件
• AWS Nitro Enclaves – 請參閱 AWS Nitro Enclaves 文件

問:哪些區域可以使用 ACM?

請參閱 AWS 全球基礎設施頁面,查看目前可使用 AWS 服務的區域。要將 ACM 憑證與 Amazon CloudFront 搭配使用,您必須請求或匯入美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

ACM 憑證

問:ACM 可管理何種類型的憑證?

ACM 可管理公有、私有和匯入的憑證。在簽發和管理憑證文件中進一步了解 ACM 的功能。

問:ACM 是否可以提供具有多個網域名稱的憑證?

是。每個憑證必須至少包含一個網域名稱,而且您可在需要時新增其他名稱到憑證。例如,如果使用者想要透過以下兩個名稱連到您的網站,則可以在 "www.example.com" 的憑證新增 "www.example.net" 名稱。您必須對憑證請求中包含的全部名稱具備擁有權或控制權。 

問:什麼是萬用字元網域名稱?

萬用字元網域名稱可符合網域中的任何第一層子網域或主機名稱。第一層子網域是不包含句點 (點) 的單一網域名稱標籤。例如,您可以使用 *.example.com 名稱來保護 www.example.com、images.example.com,以及任何以 .example.com 結尾的任何其他主機名稱或第一層子網域。在 ACM 使用者指南中進一步了解。

問:ACM 是否可以提供具有萬用字元網域名稱的憑證?

是。

問:ACM 是否會提供 SSL/TLS 以外的憑證?

否。

問:ACM 憑證是否可用於程式碼簽章或電子郵件加密?

否。

問:ACM 是否提供用來簽署和加密電子郵件的憑證 (S/MIME 憑證)?

否。

問:ACM 憑證的有效期間為何?

透過 ACM 發行之憑證的有效期是 13 個月 (395 天)。如果您直接從私有 CA 發行私有憑證,並且自行管理金鑰與憑證,而不使用 ACM 來管理憑證,您可以選擇任何有效期間 (包含絕對的結束日期,或自目前日期算起幾天、幾月或幾年內有效的相對時間)。

問:ACM 簽發的憑證使用何種演算法?

依預設,在 ACM 中簽發的憑證會使用 RSA 金鑰搭配 2048 位元模數與 SHA-256。此外,您可以請求帶有 P-256 或 P-384 的橢圓曲線數位簽章演算法 (ECDSA) 憑證。在 ACM 使用者指南中進一步了解演算法。

問:如何撤銷憑證?

您可以前往 AWS Support Center 建立案例,以請求 ACM 撤銷公有憑證。如果要撤銷您的 AWS Private CA 所簽發的私有憑證,請參閱 AWS Private CA 使用者指南。 

問:是否可以在一個以上的 AWS 區域使用相同的 ACM 憑證?

否。ACM 憑證必須與使用該憑證的資源處於同一區域。唯一的例外是 Amazon CloudFront,此為全球服務,需要美國東部 (維吉尼亞北部) 區域的憑證。這個區域中與 CloudFront 分佈關聯的 ACM 憑證會分發到為該分佈設定的所有地理位置。

問:如果我已經有其他供應商的相同網域名稱的憑證,是否可佈建憑證搭配 ACM?

是。

問:是否可以在 Amazon EC2 執行個體或自己的伺服器上使用憑證?

您可以將 Private CA 發行的私有憑證與 EC2 執行個體、容器和您自己的伺服器搭配使用。公有 ACM 憑證目前只能與特定的 AWS 服務搭配使用,包括 AWS Nitro Enclaves。請參閱 ACM 服務整合。

問:ACM 是否允許在網域名稱中有本地語言字元,這也稱為國際化網域名稱 (IDN)?

ACM 不允許 Unicode 編碼的本地語言字元;然而,ACM 允許網域名稱中有 ASCII 編碼的本地語言字元。

問:ACM 允許何種網域名稱標籤格式?

ACM 只允許 UTF-8 編碼的 ASCII,包括內有 "xn–" 的標籤 (通常稱為 Punycode),作為網域名稱。ACM 不接受 Unicode 輸入 (u-labels) 作為網域名稱。

問:是否可以匯入第三方憑證,並將它與 AWS 服務搭配使用?

是。如果您要使用第三方憑證搭配 Amazon CloudFront、Elastic Load Balancing 或 Amazon API Gateway,可利用 AWS 管理主控台、AWS CLI 或 ACM API 將該憑證匯入 ACM。ACM 不會管理匯入憑證的續約程序。您可以透過 AWS 管理主控台來監控已匯入憑證的過期日期,並匯入新的第三方憑證來取代已過期的憑證。

ACM 公有憑證

問:什麼是公有憑證?

公有憑證與私有憑證都可協助客戶識別網路上的資源,並能確保這些資源之間的通訊安全。公有憑證可識別網際網路上的資源。

問:ACM 提供哪些類型的公有憑證?

ACM 提供網域驗證的 (DV) 公有憑證,以與可終止 SSL/TLS 的網站和應用程式搭配使用。如需有關 ACM 憑證的詳細資訊,請參閱憑證特性

問:ACM 公有憑證是否受瀏覽器、作業系統及行動裝置信任?

ACM 公有憑證受多數現代瀏覽器、作業系統以及行動裝置信任。ACM 提供的憑證可用於 99% 的瀏覽器與作業系統,包含 Windows XP SP3 與 Java 6,以及更新的版本。

問:如何確認我的瀏覽器是否信任 ACM 公有憑證?

信任 ACM 憑證的瀏覽器會顯示一個鎖圖示,而且在經由 SSL/TLS (例如使用 HTTPS) 連接到使用 ACM 憑證的網站時不會發出憑證警告。

公有 ACM 憑證經過 Amazon 的憑證授權單位 (CA) 驗證。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority – G2 或 Starfield Class 2 Certification Authority 的瀏覽器、應用程式或作業系統,一律會信任 ACM 憑證。

問:ACM 是否提供公有組織驗證 (OV) 或延伸驗證 (EV) 憑證?

否。

問: Amazon 在何處說明公有憑證發行的政策和實務?

相關說明在 Amazon Trust Services 憑證政策與 Amazon Trust Services Certification Practices Statement 文件中描述。請參閱 Amazon Trust Services 儲存庫以取得最新版本。

問:適用於 www.example.com 的憑證是否也可用於 example.com?

否。如果您要兩個網域名稱 (www.example.com 與 example.com) 都能參照您的網站,則必須請求包含兩個名稱的憑證。

問:ACM 如何協助我的組織符合我的合規要求?

透過讓 ACM 易於加強安全連線,這是許多合規計劃 (例如 PCI、FedRAMP 及 HIPAA) 的常見要求,就能使用 ACM 來協助您遵守各種法規要求。有關合規的特定資訊,請參考 http://aws.amazon.com/compliance。

問:ACM 是否提供服務水準協議 (SLA)?

否,ACM 不提供 SLA。 

問:ACM 是否提供可在網站上顯示的網站安全標章或信任標誌?

否。如果您想使用網站安全標章,可以從第三方廠商取得。建議您選擇評估和維護您網站或商業行為安全或兩者的廠商。

問:Amazon 是否允許使用其商標做為憑證徽章、網站安全標章或信任標誌?

否。未使用 ACM 服務的網站,或以不正當方式騙取信任的網站都可能會複製這類標章和徽章。為了保護客戶和 Amazon 商譽,我們不允許以這種方式使用我們的標誌。

 

佈建公有憑證

問:如何從 ACM 佈建公有憑證?

您可以使用 AWS 管理主控台、AWS CLI 或 ACM API/SDK。要使用 AWS 管理主控台,請導覽至 Certificate Manager,依序選擇 Request a certificate、Request a public certificate、輸入網站的網域名稱,然後依照畫面上的指示完成您的請求。如果使用者能使用其他名稱存取您的網站,則可以在您的請求中新增其他網域名稱。ACM 發行憑證之前,會先驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。如果使用 DNS 驗證,您要在網域的公有 DNS 組態寫入記錄,以證明您擁有或可控制網域。您使用 DNS 驗證一次並建立對網域的控制之後,只要 DNS 記錄保留在原處而且憑證在使用中,就能取得額外的憑證並讓 ACM 續約現有的網域憑證。無須再次驗證網域的控制權。如果您選擇電子郵件驗證而不是 DNS 驗證,便會傳送電子郵件給網域擁有者,請求核准發行憑證。驗證您擁有或可控制請求中的每個網域名稱之後,就會發行憑證並可在其他 AWS 服務進行佈建,像是 Elastic Load Balancing 或 Amazon CloudFront。請參閱 ACM 文件以取得詳細資訊。

問:為什麼 ACM 要驗證公有憑證的網域擁有權?

憑證可用來建立網站的身分,並保護瀏覽器、應用程式和網站之間的連線安全。若要發行公開信任的憑證,Amazon 必須確定憑證請求者擁有憑證請求中網域名稱的控制權。

問:ACM 如何在發行網域的公有憑證之前驗證網域擁有權?

發行憑證之前,ACM 會驗證您擁有或可控制憑證請求中的網域名稱。請求憑證時,您可以選擇使用 DNS 驗證或電子郵件驗證。使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。請參閱 DNS 驗證取得進一步詳細資訊。如果您無法將記錄寫入網域的公有 DNS 組態,可以使用電子郵件驗證取代 DNS 驗證。使用電子郵件驗證,ACM 會傳送電子郵件給已註冊的網域擁有者,該擁有者或授權代表可以針對憑證請求中的每個網域名稱核准發行憑證。請參閱電子郵件驗證取得進一步詳細資訊。

問:我的公有憑證應使用何種驗證方法:DNS 或電子郵件?

如果您能夠變更網域的 DNS 組態,建議您使用 DNS 驗證。無法收到 ACM 驗證電子郵件的客戶,以及使用網域註冊機構而未在 WHOIS 發布網域擁有者電子郵件聯絡資訊的客戶,應使用 DNS 驗證。如果您無法修改 DNS 組態,則應使用電子郵件驗證。

問:是否可將現有的公有憑證從電子郵件驗證轉換到 DNS 驗證?

否,不過您可以從 ACM 請求一個全新的免費憑證,然後為新的憑證選擇 DNS 驗證。

問:發行公有憑證需要多久的時間?

從驗證憑證請求中所有網域名稱到發行憑證的時間可能需要數小時或更長的時間。

問:請求公有憑證會發生什麼情況?

發出請求時,ACM 會根據您選擇 DNS 或電子郵件驗證方法,嘗試驗證憑證請求中每個網域名稱的擁有權和控制權。在 ACM 嘗試驗證您擁有或可控制網域的這段期間,憑證請求的狀態會是「等待驗證」。如需有關驗證程序的詳細資訊,請參閱下方的 DNS 驗證電子郵件驗證小節。驗證憑證請求中所有網域名稱之後,可能需要數小時或更長的時間才會發行憑證。發行憑證之後,憑證請求的狀態變更為已發行,接著就能將該憑證用在與 ACM 整合的其他 AWS 服務。

問:ACM 發行公有憑證前,是否會檢查 DNS 憑證授權單位授權 (CAA) 記錄?

是。DNS 憑證授權機構授權 (CAA) 記錄允許網域擁有者指定授權哪些憑證授權機構發行其網域憑證。請求 ACM 憑證時,AWS Certificate Manager 會在 DNS 區域組態尋找網域的 CAA 記錄。如果找不到 CAA 記錄,Amazon 可以針對您的網域發行憑證。大部分客戶屬於這一類。

如果您的 DNS 組態包含 CAA 記錄,該記錄必須指定以下其中一個 CA,Amazon 才能發行您網域的憑證:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。如需詳細資訊,請參閱 AWS Certificate Manager User Guide 中的 Configure a CAA RecordTroubleshooting CAA Problems

問:ACM 是否支援其他的驗證網域方法?

目前未包含在內。

DNS 驗證

問:什麼是 DNS 驗證?

使用 DNS 驗證,您可以將 CNAME 記錄新增到 DNS 組態以驗證網域擁有權。從 ACM 請求公有 SSL/TLS 憑證時,DNS 驗證可讓您輕鬆證明您擁有網域。

問:DNS 驗證有哪些優點?

使用 DNS 驗證可輕鬆驗證您擁有或可控制網域,以便取得 SSL/TLS 憑證。如果使用 DNS 驗證,只要將 CNAME 記錄寫入 DNS 組態就能建立對網域名稱的控制。若要簡化 DNS 驗證程序,如果您使用 Amazon Route 53 管理 DNS 記錄,則 ACM 管理主控台可代您設定 DNS 設定。如此一來,只要按幾下滑鼠即可輕鬆建立對網域名稱的控制。設定好 CNAME 記錄之後,只要 DNS 驗證記錄保留在原處,ACM 就能自動續約使用中的憑證 (與其他 AWS 資源關聯)。續約完全自動,您無須執行任何動作。

問:誰應該使用 DNS 驗證?

透過 ACM 請求憑證和有能力變更請求之網域的 DNS 組態的任何人都應考慮使用 DNS 驗證。

問:ACM 是否仍然支援電子郵件驗證?

是。ACM 持續為無法變更 DNS 組態的客戶支援電子郵件驗證。

問:要將哪些記錄新增到 DNS 組態才能驗證網域?

您必須針對要驗證的網域新增 CNAME 記錄。例如,要驗證 www.example.com 這個名稱,要將 CNAME 記錄新增到 example.com 的區域。您新增的記錄包含 ACM 專為您的網域和 AWS 帳戶產生的唯一字符。您可從 ACM 取得 CNAME 記錄的兩個部分 (名稱和標籤)。如需進一步指示,請參考 ACM User Guide

問:是否可新增或修改網域的 DNS 記錄?

如需如何新增或修改 DNS 記錄的詳細資訊,請洽詢您的 DNS 供應商。Amazon Route 53 DNS 文件為使用 Amazon Route 53 DNS 的客戶提供了進一步的資訊。

問:ACM 是否可簡化 Amazon Route 53 DNS 客戶的 DNS 驗證?

是。如果是使用 Amazon Route 53 DNS 管理 DNS 記錄的客戶,ACM 主控台可在您請求憑證時為您新增記錄到 DNS 組態。網域的 Route 53 DNS 託管區域必須在與發行請求的 AWS 帳戶中設定,而且您必須擁有足夠的許可對 Amazon Route 53 組態進行變更。如需進一步指示,請參考 ACM User Guide

問:DNS 驗證是否需要使用特定的 DNS 供應商?

您可以使用 DNS 驗證搭配任何 DNS 供應商,只要該供應商允許您新增 CNAME 記錄到 DNS 組態即可。

問:如果我希望相同網域有多個憑證,需要有幾個 DNS 記錄?

一個。您可以使用一個 CNAME 記錄,在同一個 AWS 帳戶取得相同網域名稱的多個憑證。例如,如果您從同一個 AWS 帳戶提出 2 個相同網域名稱的憑證請求,只需要 1 個 DNS CNAME 記錄。

問:是否可使用相同的 CNAME 記錄驗證多個網域名稱?

否。每個網域名稱必須有唯一的 CNAME 記錄。

問:是否可使用 DNS 驗證來驗證萬用字元網域名稱?

是。

問:ACM 如何建構 CNAME 記錄?

DNS CNAME 記錄有兩個元件:名稱和標籤。ACM 產生的 CNAME 名稱元件由底線字元 (_) 後接字符建構而成,這是與您 AWS 帳戶和網域名稱關聯的唯一字串。ACM 在您的網域名稱之前加入底線和字符,以建構名稱元件。ACM 從前面加上底線字元的不同字符建構標籤,這也與您 AWS 帳戶和網域名稱關聯。ACM 在 AWS 使用的 DNS 網域名稱前加上底線和字符進行驗證:acm-validations.aws。以下範例說明 www.example.com、subdomain.example.com 和 *.example.com 的 CNAME 格式。

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

請注意,ACM 會在產生萬用字元名稱的 CNAME 記錄時移除萬用字元標籤 (*)。因此,ACM 針對萬用字元名稱 (例如 *.example.com) 產生的 CNAME 記錄和針對沒有萬用字元標籤網域名稱 (example.com) 傳回的記錄相同。

問:是否可使用一個 CNAME 記錄驗證網域的所有子網域?

否。包括主機名稱和子網域名稱在內的每個網域名稱都必須透過唯一的 CNAME 記錄個別驗證。

問:為什麼 ACM 使用 CNAME 記錄而不使用 TXT 記錄進行 DNS 驗證?

使用 CNAME 記錄時,只要 CNAME 記錄存在,ACM 就可以續約憑證。CNAME 記錄會導向 AWS 網域 (acm-validations.aws) 中的 TXT 記錄,ACM 可視需要更新,以驗證或重新驗證網域名稱,您無須執行任何動作。

問:DNS 驗證是否可跨 AWS 區域運作?

是。您可以建立一個 DNS CNAME 記錄,將該記錄用於在提供 ACM 的任何 AWS 區域中的相同 AWS 帳戶以取得憑證。只要設定一次 CNAME 記錄,就可以從 ACM 取得該名稱的憑證發行和續約,無須建立其他記錄。

問:是否可在相同憑證選擇不同的驗證方法?

否。每個憑證只能有一個驗證方法。

問:如何續約透過 DNS 驗證進行驗證的憑證?

只要 DNS 驗證記錄保留在原處,ACM 就會自動續約使用中的憑證 (與其他 AWS 資源關聯)。

問:是否可撤銷針對我的網域發行憑證的許可?

是。只要移除 CNAME 記錄即可。移除 CNAME 記錄之後,ACM 不會使用 DNS 驗證針對您的網域發行或續約憑證,而且此變更會遍及整個 DNS。移除記錄的傳播時間取決於您的 DNS 供應商。

問:如果移除 CNAME 記錄會發生什麼事?

如果移除 CNAME 記錄,ACM 無法使用 DNS 驗證針對您的網域發行或續約憑證。

電子郵件驗證

問:什麼是電子郵件驗證?

透過電子郵件驗證,核准請求電子郵件會傳送到憑證請求中每個網域名稱的已註冊網域擁有者。網域擁有者或授權代表 (核准者) 可以依照電子郵件中的指示核准憑證請求。此指示會要求核准者瀏覽到核准網站,按一下電子郵件中的連結或從電子郵件將連結貼到瀏覽器,以瀏覽至核准網站。核准者確認與憑證請求關聯的資訊,如網域名稱、憑證 ID (ARN) 及發行請求的 AWS 帳戶 ID,如果資訊正確,則會核准請求。

問:請求憑證並選擇電子郵件驗證時,憑證核准請求會傳送到哪些電子郵件地址?

當您使用電子郵件驗證請求憑證時,會使用憑證請求中每個網域名稱的 WHOIS 查詢來擷取網域的聯絡資訊。電子郵件會傳送至網域所列的網域註冊申請人、管理聯絡人和技術聯絡人。另外,電子郵件也會傳送至五個特殊電子郵件地址,其格式為在您請求的網域名稱前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@。例如,如果您請求 server.example.com 憑證,則會使用 example.com 網域 WHOIS 查詢傳回的聯絡資訊,將電子郵件傳送至網域申請人、技術聯絡人和管理聯絡人,以及 admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和 webmaster@server.example.com。

五個特殊電子郵件地址的建構方式不同於與以 "www" 開頭的網域名稱或以星號 (*) 開頭的萬用字元名稱。ACM 會移除開頭的 "www" 或星號,將電子郵件傳送到以網域名稱剩餘部分前面加上 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 所形成的管理地址。例如,如果您請求 www.example.com 的憑證,電子郵件會傳送給 WHOIS 聯絡人,如前所述,地址會變成 admin@example.com 而不是 admin@www.example.com。剩餘的四個特殊電子郵件地址使用類似的格式。

在您請求憑證之後,就可以使用 ACM 主控台、AWS CLI 或 API,針對每個網域顯示傳送電子郵件的電子郵件地址清單。

問:我是否可以設定傳送憑證核准請求的電子郵件地址?

否,但您可以設定傳送驗證電子郵件的基礎網域名稱。基礎網域名稱必須是憑證請求中網域名稱的超級網域。例如,如果您要請求 server.domain.example.com 憑證,但想要將核准電子郵件傳送到 admin@domain.example.com,則可使用 AWS CLI 或 API 進行這項操作。請參閱 ACM CLI 參考ACM API 參考以取得詳細資訊。

問:是否可以使用含 Proxy 聯絡資訊 (如 Privacy Guard 或 WhoisGuard) 的網域?

是;不過由於是 Proxy 的關係,電子郵件的傳送時間可能會有所延遲。透過 Proxy 傳送的電子郵件可能會進入您的垃圾郵件資料夾。請參閱 ACM User Guide 以取得故障診斷建議。

問:ACM 是否可以使用我的 AWS 帳戶的技術聯絡人來驗證我的身分?

驗證網域擁有者身分的程序和政策非常嚴格,而且會由 CA/Browser Forum 進行裁決,該論壇負責制定公開信任憑證授權單位的政策標準。要進一步了解,請參閱 Amazon Trust Services 儲存庫中最新的 Amazon Trust Services Certification Practices Statement。

問:如果沒有收到核准電子郵件該怎麼辦?

請參閱 ACM User Guide 以取得故障診斷建議。

私有金鑰保護

問:如何管理 ACM 所提供憑證的私有金鑰?

ACM 所提供的每個憑證會建立金鑰對。ACM 旨在保護和管理搭配 SSL/TLS 憑證使用的私有金鑰。當保護和存放私有金鑰時會使用增強式加密和金鑰管理最佳實務。

問:ACM 是否會在 AWS 區域之間複製憑證?

否。每個 ACM 憑證的私有金鑰會存放在您請求憑證的區域之中。例如,當您在美國東部 (維吉尼亞北部) 區域取得新憑證,ACM 會將私有金鑰存放在維吉尼亞北部區域。如果憑證與 CloudFront 分佈有關聯,ACM 只會在指定區域之間複製。在該例中,CloudFront 會將 ACM 憑證分發到為您的分佈所設定的地理位置。

受管的續約與部署

問:ACM 受管的續約與部署為何?

ACM 受管的續約與部署會管理 SSL/TLS ACM 憑證的續約程序,並在續約後部署憑證。

問:使用 ACM 受管的續約與部署有何優點?

ACM 可為您管理 SSL/TLS 憑證的續約與部署。ACM 可讓設定和維護安全 Web 服務或應用程式的 SSL/TLS 連線,在運作上更順暢,並避免易錯的手動程序。受管的續約與部署可以協助您避免因為憑證過期而停機。ACM 會用服務的形式和其他 AWS 服務整合運作。這表示您可以在 AWS 平台上,透過使用 AWS 管理主控台、AWS CLI 或 API 來集中管理和部署憑證。使用 Private CA,您可以建立和匯出私有憑證。ACM 會續約匯出的憑證,讓您的用戶端自動化程式碼能下載並部署這些憑證。 

問:何種 ACM 憑證可以自動續約和部署?

公有憑證

ACM 可續約和部署公有 ACM 憑證,無須網域擁有者的額外驗證。如果沒有額外驗證就無法續約憑證,ACM 會驗證憑證中每個網域名稱的網域擁有權或控制權,以管理續約程序。在憑證中的每個網域名稱都經過驗證之後,ACM 會續約憑證並自動部署到您的 AWS 資源。如果 ACM 無法驗證網域擁有權,我們會告知您 (AWS 帳戶擁有者)。

如果您在憑證請求中選擇 DNS 驗證,ACM 可無限期地續約您的憑證,您無須執行任何進一步的動作,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。如果您在請求憑證時選取電子郵件驗證,只要您確定憑證為使用中、憑證中的所有網域名稱都可由您的網站解析、以及能從網際網路連接所有網域名稱,這樣您就可以改善 ACM 自動續約和部署 ACM 憑證的能力。

私有憑證

針對使用 AWS Private CA 發行的私有憑證,ACM 提供了兩個管理選項。您管理私有憑證的方法不同,ACM 提供的續約功能也會有所不同。您可為您發行的每個私有憑證選擇最佳的管理選項。

1) ACM 可完全自動化續約和部署使用 AWS Private CA 簽發的私有憑證,並將它們與 ACM 整合式服務搭配使用,例如 Elastic Load Balancing 與 API Gateway。只要發行私有憑證的 Private CA 仍是作用中狀態,ACM 就可以續約和部署透過 ACM 簽發的私有憑證。
2) 如果是從 ACM 匯出以搭配內部部署資源、EC2 執行個體及 IoT 裝置使用的私有憑證,ACM 會自動續約您的憑證。您要負責擷取新的憑證和私有金鑰,並將它們連同應用程式一起部署。

問:ACM 何時會續約憑證?

ACM 最早會在憑證過期日期的 60 天前開始續約程序。ACM 憑證目前的有效期間是 13 個月 (395 天)。請參閱 ACM 使用者指南以進一步了解受管的續約。

問:在我的憑證續約及新憑證部署前是否會通知我?

否。ACM 可能會續約憑證或重新製作憑證的金鑰,並取代舊憑證,而不事前通知您。

問:ACM 是否可以續約包含 "example.com" 之類的裸網域 (也稱為 Zone Apex 或裸名網域) 的公有憑證?

如果您在公有憑證的憑證請求中選擇 DNS 驗證,您無須執行任何進一步的動作,ACM 就可續約您的憑證,只要憑證在使用中 (與其他 AWS 資源關聯) 且 CNAME 記錄保留在原處即可。

如果您在請求包含裸網域的公有憑證時選取電子郵件驗證,請確定裸網域的 DNS 查詢可以解析成與該憑證關聯的 AWS 資源。將裸網域解析成 AWS 資源可能有難度,除非您使用 Route 53 或其他支援別名資源紀錄 (或同等項目) 的 DNS 供應商,將裸網域映射到 AWS 資源。如需詳細資訊,請參閱 Route 53 開發人員指南

問:當 ACM 部署續約的憑證時,我的網站是否會捨棄現有的連線?

否,新憑證部署之後所建立的連線會使用新憑證,現有的連線不會受到影響。

問:是否可以使用相同的憑證來搭配多個 Elastic Load Balancing 負載平衡器與多個 CloudFront 分佈?

是。

問:在沒有公有網際網路存取的情況下,是否可以使用內部 Elastic Load Balancing 負載平衡器的公有憑證?

是,但您也可以考慮使用 AWS Private CA 來發行 ACM 可續約而不用驗證的私有憑證。請參閱受管的續約與部署,詳細了解 ACM 如何續約無法從網際網路連接的公有憑證與私有憑證。

記錄日誌

問:是否可以稽核憑證私有金鑰的使用情形?

是。您可以用 AWS CloudTrail 來檢視日誌,以了解何時使用過憑證的私有金鑰。

問:AWS CloudTrail 中提供哪些日誌資訊?

您可以識別哪些使用者與帳戶呼叫 AWS API 來取得支援 AWS CloudTrail 的服務、發出呼叫的來源 IP 地址以及發生呼叫的時間。例如,您可以識別哪位使用者發出 API 呼叫將 ACM 提供的憑證與 Elastic Load Balancer 建立關聯,以及 Elastic Load Balancing 服務何時使用 KMS API 呼叫解密金鑰。

計費

問:使用 ACM 憑證如何計價和收費?

透過 AWS Certificate Manager 佈建且專門與 ACM 整合式服務 (例如 Elastic Load Balancing、Amazon CloudFront 及 Amazon API Gateway) 搭配使用的公有憑證與私有憑證無須付費。您必須支付為執行應用程式而建立的 AWS 資源的費用。AWS Private CA 有按使用量付費的定價,請瀏覽 AWS Private CA 定價頁面了解更多詳細資訊和範例。

AWS Private Certificate Authority

問:哪裡可以找到有關 AWS Private CA 的資訊?

請參閱 AWS Private CA 常見問答集,了解使用 AWS Private CA 的相關問題。

了解 AWS Certificate Manager 私有憑證認證機構

造訪頁面。

進一步了解 
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始在主控台進行建置

開始在 AWS 管理主控台使用 AWS Certificate Manager 進行建置。

登入