Thông tin chung

Câu hỏi: AWS Certificate Manager (ACM) là gì?

AWS Certificate Manager là dịch vụ cho phép bạn dễ dàng cung cấp, quản lý cũng như triển khai các chứng chỉ Secure Sockets Layer/Transport Layer (SSL/TLS) riêng và công khai để sử dụng với các dịch vụ AWS và các tài nguyên kết nối nội bộ của bạn. Chứng chỉ SSL/TLS được sử dụng để bảo mật truyền thông mạng và thiết lập định danh của trang web qua Internet cũng như tài nguyên trên các mạng riêng. AWS Certificate Manager xóa bỏ quy trình mua, tải lên và gia hạn chứng chỉ SSL/TLS thủ công tốn thời gian. Với AWS Certificate Manager, bạn có thể nhanh chóng yêu cầu một chứng chỉ, triển khai chứng chỉ đó trên các tài nguyên AWS chẳng hạn như các bản phân phối Elastic Load Balancing, Amazon CloudFront và các API trên API Gateway đồng thời cho phép AWS Certificate Manager xử lý các yêu cầu gia hạn chứng chỉ. Dịch vụ này còn cho phép bạn tạo các chứng chỉ riêng cho các tài nguyên nội bộ và quản lý vòng đời của chứng chỉ một cách tập trung. Chứng chỉ SSL/TLS riêng và công khai được cung cấp thông qua AWS Certificate Manager và được sử dụng miễn phí dành riêng cho các dịch vụ tích hợp với ACM, chẳng hạn như Elastic Load Balancing, Amazon CloudFront và Amazon API Gateway. Bạn chỉ phải trả phí cho các tài nguyên AWS mà bạn tạo để chạy ứng dụng của mình. Bạn trả một khoản phí theo tháng cho việc vận hành từng CA riêng đến khi bạn xóa chứng chỉ và cho các chứng chỉ riêng bạn phát hành nhưng không được sử dụng cho các dịch vụ tích hợp với ACM.

Câu hỏi: Chứng chỉ SSL/TLS là gì?

Chứng chỉ SSL/TLS cho phép các trình duyệt web xác định và thiết lập các kết nối mạng được mã hóa cho các trang web sử dụng giao thức Secure Sockets Layer/Transport Layer Security (SSL/TLS). Các chứng chỉ được sử dụng trong một hệ thống mật mã được gọi là cơ sở hạ tầng khóa công khai (PKI). PKI cung cấp phương thức để một bên thiết lập nhận dạng của một bên khác bằng cách sử dụng các chứng chỉ nếu cả hai đều tin cậy bên thứ ba - được gọi là cơ quan cấp chứng chỉ. Chủ đề Khái niệm trong Hướng dẫn sử dụng ACM cung cấp thêm thông tin và định nghĩa cơ bản.

Câu hỏi: Chứng chỉ riêng là gì?

Chứng chỉ riêng xác định các tài nguyên trong tổ chức, chẳng hạn như ứng dụng, dịch vụ, thiết bị và người dùng. Khi thiết lập một kênh giao tiếp bảo mật được mã hóa, mỗi điểm cuối sử dụng một chứng chỉ và các kỹ thuật mã hóa để chứng minh nhận dạng của mình cho điểm cuối khác. Các điểm cuối API nội bộ, máy chủ web, người dùng VPN, thiết bị IoT và nhiều ứng dụng khác sử dụng chứng chỉ riêng để thiết lập các kênh giao tiếp bảo mật được mã hóa cần thiết cho vận hành bảo mật.

Câu hỏi: Sự khác nhau giữa chứng chỉ riêng và công khai là gì?

Cả chứng chỉ riêng và công khai đều giúp khách hàng xác định tài nguyên trên mạng và bảo mật giao tiếp giữa các tài nguyên này. Chứng chỉ công khai xác định tài nguyên trên Internet công cộng, trong khi chứng chỉ riêng cũng có tính năng tương tự đối với mạng riêng. Một sự khác biệt quan trọng chính là các ứng dụng và trình duyệt theo mặc định tự động tin cậy các chứng chỉ công khai, trong khi đó quản trị viên phải cấu hình các ứng dụng một cách rõ ràng khi tin cậy các chứng chỉ riêng. Các CA công cộng, các tổ chức phát hành chứng chỉ công khai phải tuân thủ các quy tắc nghiêm ngặt, cung cấp khả năng hiển thị hoạt động và đáp ứng các tiêu chuẩn bảo mật được trình duyệt và nhà cung cấp hệ điều hành dùng để quyết định CA nào trình duyệt và hệ điều hành của họ tin cậy một cách tự động. Các CA riêng được quản lý bởi các tổ chức riêng và quản trị viên CA riêng có thể đưa ra các quy tắc của họ trong việc cấp chứng chỉ riêng, bao gồm các thực hành cấp chứng chỉ và thông tin có thể nằm trong chứng chỉ. Vui lòng tham khảo ACM Private CA dưới đây để tìm hiểu thêm về chứng chỉ riêng và các CA riêng.

Câu hỏi: Lợi ích của việc sử dụng AWS Certificate Manager (ACM) và ACM Private CA là gì?

ACM giúp việc bật SSL/TLS cho một trang web hoặc ứng dụng trên nền tảng AWS trở nên dễ dàng hơn. ACM loại bỏ nhiều quy trình thủ công trước đó liên quan đến việc sử dụng và quản lý chứng chỉ SSL/TLS. ACM cũng có thể giúp bạn tránh thời gian ngừng hoạt động do định cấu hình sai, bị thu hồi hoặc hết hạn bằng việc quản lý gia hạn. Bạn nhận được bảo vệ SSL/TLS và quản lý chứng chỉ dễ dàng. Bật SSL/TLS cho các trang web qua Internet có thể giúp cải thiện xếp hạng tìm kiếm cho trang web của bạn và giúp bạn đáp ứng các yêu cầu tuân thủ quy định về mã hóa dữ liệu khi chuyển tiếp.

Khi bạn sử dụng ACM để quản lý chứng chỉ, khóa riêng của chứng chỉ được bảo vệ an toàn và được lưu trữ bằng cách sử dụng mã hóa mạnh và các phương pháp hay nhất về quản lý khóa. ACM cho phép bạn sử dụng Bảng điều khiển quản lý AWS, AWS CLI hoặc các API của AWS Certificate Manager để quản lý tập trung tất cả chứng chỉ ACM SSL/TLS trong một khu vực AWS. ACM được tích hợp với các dịch vụ AWS khác, vì vậy bạn có thể yêu cầu chứng chỉ SSL/TLS và cung cấp chứng chỉ cân bằng tải Elastic Load Balancing hoặc phân phối Amazon CloudFront từ Bảng điều khiển quản lý AWS thông qua các lệnh AWS CLI hoặc với các lệnh gọi API.

ACM Private CA là một dịch vụ CA riêng được quản lý giúp bạn quản lý vòng đời của chứng chỉ riêng một cách dễ dàng và bảo mật. ACM Private CA mang đến cho bạn một dịch vụ CA riêng có khả năng sử dụng cao mà không cần đầu tư trả trước và không cần chi phí duy trì liên tục để vận hành CA riêng của mình. ACM Private CA mở rộng khả năng quản lý chứng chỉ của ACM đến các chứng chỉ riêng, cho phép bạn quản lý các chứng chỉ công khai và riêng một cách tập trung. ACM Private CA cho phép các nhà phát triển trở nên linh hoạt hơn thông qua việc cung cấp cho họ các API để tạo và triển khai các chứng chỉ riêng theo cách lập trình. Bạn cũng có thể linh hoạt tạo chứng chỉ riêng cho các ứng dụng đòi hỏi vòng đời chứng chỉ hoặc tên tài nguyên tùy chỉnh. Với ACM Private CA, bạn có thể tạo, quản lý và theo dõi chứng chỉ riêng cho tài nguyên được kết nối của bạn tại một nơi bảo mật, thanh toán theo mức sử dụng, có dịch vụ CA riêng được quản lý.

Câu hỏi: Tôi có thể tạo và quản lý các loại chứng chỉ nào với ACM?

ACM cho phép bạn quản lý vòng đời của chứng chỉ riêng và công khai của bạn. Khả năng của ACM phụ thuộc vào việc chứng chỉ là công khai hay chứng chỉ riêng, cách bạn có được chứng chỉ và vị trí bạn triển khai chứng chỉ. Xem Chứng chỉ ACM công khai để tìm hiểu thêm về chứng chỉ công khai và tham khảo phần ACM Private CA bên dưới để tìm hiểu thêm về các chứng chỉ riêng và các CA riêng.

Chứng chỉ công khai - ACM quản lý việc gia hạn và triển khai chứng chỉ công khai được sử dụng với các dịch vụ tích hợp ACM, bao gồm Amazon CloudFront, Elastic Load Balancing và Amazon API Gateway.

Chứng chỉ riêng – ACM Private CA cung cấp ba cách để tạo và quản lý các chứng chỉ riêng. 1) Bạn có thể chọn ủy thác quản lý chứng chỉ riêng cho ACM. Khi được sử dụng theo cách này, ACM có thể tự động gia hạn và triển khai các chứng chỉ riêng được sử dụng với các dịch vụ tích hợp ACM, bao gồm Amazon CloudFront, Elastic Load Balancing và Amazon API Gateway. Bạn có thể dễ dàng triển khai các chứng chỉ riêng này bằng cách sử dụng bảng điều khiển quản lý AWS, các API và giao diện dòng lệnh (CLI). 2) Bạn có thể xuất các chứng chỉ riêng từ ACM và sử dụng chúng với các phiên bản EC2, container, máy chủ tại chỗ và các thiết bị IoT. ACM Private CA tự động gia hạn các chứng chỉ này và gửi một thông báo Amazon CloudWatch khi quá trình gia hạn hoàn tất. Bạn có thể viết mã phía máy khách để tải xuống các chứng chỉ đã được gia hạn và các khóa riêng đồng thời triển khai chúng với ứng dụng của bạn. 3) ACM Private CA mang đến sự linh hoạt giúp bạn tạo khóa riêng, tạo yêu cầu ký chứng chỉ (CSR), cấp chứng chỉ riêng từ ACM Private CA cũng như tự quản lý khóa và chứng chỉ của mình. Bạn có trách nhiệm gia hạn và triển khai các chứng chỉ riêng này.

Chứng chỉ được nhập vào – Nếu muốn sử dụng chứng chỉ của bên thứ ba với Amazon CloudFront, Elastic Load Balancing hoặc Amazon API Gateway, bạn có thể nhập chứng chỉ đó vào ACM bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc các API ACM. ACM không quản lý quy trình gia hạn cho các chứng chỉ được nhập vào. Bạn có trách nhiệm theo dõi ngày hết hạn của các chứng chỉ được nhập vào và gia hạn chúng trước khi hết hạn. Bạn có thể sử dụng Bảng điều khiển quản lý AWS để theo dõi ngày hết hạn của chứng chỉ được nhập vào và nhập chứng chỉ mới của bên thứ ba để thay thế chứng chỉ hết hạn.

Câu hỏi: Tôi có thể bắt đầu với ACM như thế nào?

Để bắt đầu với AWS Certificate Manager, hãy điều hướng đến Certificate Manager trong Bảng điều khiển quản lý AWS và sử dụng trình hướng dẫn để yêu cầu chứng chỉ SSL/TLS. Nếu đã tạo một ACM Private CA, bạn có thể chọn chứng chỉ riêng hoặc công khai, sau đó nhập tên trang web của bạn. Xem ACM Private CA và Chứng chỉ ACM công khai dưới đây để xác định loại chứng chỉ bạn cần và để tìm hiểu thêm về ACM Private CA. Bạn cũng có thể yêu cầu một chứng chỉ bằng AWS CLI hoặc API. Sau khi được cấp, bạn có thể sử dụng chứng chỉ đó với các dịch vụ AWS khác được tích hợp với ACM. Đối với mỗi dịch vụ tích hợp, bạn chỉ cần chọn chứng chỉ SSL/TLS mà bạn muốn từ danh sách thả xuống trong Bảng điều khiển quản lý AWS. Ngoài ra, bạn có thể thực thi lệnh AWS CLI hoặc gọi API AWS để liên kết chứng chỉ với tài nguyên của bạn. Khi đó dịch vụ được tích hợp sẽ triển khai chứng chỉ cho tài nguyên bạn đã chọn. Để biết thêm thông tin về yêu cầu và sử dụng chứng chỉ do AWS Certificate Manager cung cấp, vui lòng truy cập Hướng dẫn bắt đầu trong Hướng dẫn sử dụng AWS Certificate Manager. Ngoài việc sử dụng các chứng chỉ riêng với các dịch vụ tích hợp ACM, bạn cũng có thể sử dụng các chứng chỉ riêng trên các phiên bản EC2, trên các container ECS hoặc tại bất kỳ vị trí nào. Xem phần Chứng chỉ riêng để biết thêm chi tiết.

Câu hỏi: Tôi có thể sử dụng chứng chỉ ACM với các dịch vụ AWS nào?

Bạn có thể sử dụng các chứng chỉ ACM riêng và công khai với các dịch vụ AWS sau:
• Elastic Load Balancing – Vui lòng tham khảo tài liệu Elastic Load Balancing
• Amazon CloudFront – Vui lòng tham khảo tài liệu CloudFront
• Amazon API Gateway – Vui lòng tham khảo tài liệu API Gateway
• AWS Elastic Beanstalk – Vui lòng tham khảo tài liệu AWS Elastic Beanstalk
• AWS CloudFormation – Hiện chỉ hỗ trợ các chứng chỉ công khai sử dụng xác thực email. Vui lòng tham khảo tài liệu AWS CloudFormation 

Ngoài ra, bạn có thể sử dụng chứng chỉ riêng được ACM Private CA cấp với các phiên bản EC2, container, các thiết bị IoT và trên máy chủ của riêng bạn.

Câu hỏi: ACM có ở Khu vực nào?

Vui lòng truy cập trang Cơ sở hạ tầng toàn cầu của AWS để xem khả năng sẵn sàng của Khu vực hiện tại đối với các dịch vụ AWS. Để sử dụng chứng chỉ ACM với Amazon CloudFront, bạn phải yêu cầu hoặc nhập chứng chỉ ở khu vực Miền Đông Hoa Kỳ (Bắc Virginia). Chứng chỉ ACM trong khu vực này được liên kết với phân phối qua CloudFront sẽ được phân phối cho tất cả các vị trí địa lý được cấu hình cho phân phối đó.

ACM Private Certificate Authority

Câu hỏi: ACM Private CA là gì?

Chứng chỉ riêng được sử dụng để xác định và bảo mật giao tiếp giữa các tài nguyên được kết nối trên mạng riêng chẳng hạn như các máy chủ, các thiết bị di động và IoT và các ứng dụng. ACM Private CA là một dịch vụ CA riêng được quản lý giúp bạn quản lý vòng đời của chứng chỉ riêng một cách dễ dàng và bảo mật. ACM Private CA mang đến cho bạn một dịch vụ CA riêng có khả năng sử dụng cao mà không cần đầu tư trả trước và không cần chi phí duy trì liên tục để vận hành CA riêng của mình. ACM Private CA mở rộng khả năng quản lý chứng chỉ của ACM đến chứng chỉ riêng, cho phép bạn tạo cũng như quản lý các chứng chỉ riêng và công khai một cách tập trung. Bạn có thể dễ dàng tạo và triển khai chứng chỉ riêng cho tài nguyên AWS của mình bằng cách sử dụng Bảng điều khiển quản lý AWS hoặc API ACM. Đối với các phiên bản EC2, container, các thiết bị IoT và tài nguyên tại chỗ, bạn có thể dễ dàng tạo cũng như theo dõi chứng chỉ riêng và sử dụng mã tự động hóa phía máy khách của riêng bạn để triển khai chứng chỉ. Bạn cũng có thể tạo chứng chỉ riêng và tự quản lý chúng cho các ứng dụng yêu cầu vòng đời chứng chỉ tùy chỉnh, thuật toán chính hoặc tên tài nguyên. Tìm hiểu thêm về ACM Private CA

Câu hỏi: Chứng chỉ riêng là gì?

Chứng chỉ riêng xác định các tài nguyên trong tổ chức, chẳng hạn như ứng dụng, dịch vụ, thiết bị và người dùng. Khi thiết lập một kênh giao tiếp bảo mật được mã hóa, mỗi điểm cuối sử dụng một chứng chỉ và các kỹ thuật mã hóa để chứng minh nhận dạng của mình cho điểm cuối khác. Các điểm cuối API nội bộ, máy chủ web, người dùng VPN, thiết bị IoT và nhiều ứng dụng khác sử dụng chứng chỉ riêng để thiết lập các kênh giao tiếp bảo mật được mã hóa cần thiết cho vận hành bảo mật. 

Câu hỏi: Cơ quan cấp chứng chỉ riêng (CA) là gì?

Một CA riêng xử lý việc cấp, xác thực và thu hồi chứng chỉ riêng trong một mạng riêng (không phải internet công cộng). Cơ quan này gồm hai thành phần chính: Đầu tiên là chứng chỉ CA, một khối dựng mật mã để cấp các chứng chỉ. Thứ hai là một tập hợp các dịch vụ chạy ứng dụng để duy trì thông tin thu hồi thông qua Danh sách chứng chỉ bị thu hồi (CRL). Khi các tài nguyên cố gắng kết nối với nhau, tập hợp này kiểm tra CRL để biết trạng thái của các chứng chỉ đại diện cho mỗi thực thể. Nếu các chứng chỉ hợp lệ, giao tiếp bắt tay được thiết lập giữa các tài nguyên để chứng minh theo cách mã hóa về nhận dạng của mỗi thực thể đối với thực thể kia và tạo một kênh giao tiếp mã hóa (TLS/SSL) giữa chúng.

Câu hỏi: Chứng chỉ riêng và CA riêng khác với chứng chỉ công khai và CA công khai như thế nào?

Các thành phần của một CA riêng tương tự như một CA công khai. Tuy nhiên, các CA công khai phải phát hành và xác thực các chứng chỉ cho các tài nguyên trên Internet công cộng, trong khi đó các CA riêng thực hiện tương tự với các mạng riêng. Một sự khác biệt quan trọng chính là các ứng dụng và trình duyệt theo mặc định tự động tin cậy các chứng chỉ công khai, trong khi quản trị viên phải cấu hình các ứng dụng một cách rõ ràng để tin cậy các chứng chỉ được CA riêng phát hành. Các CA công khai phải tuân thủ các quy tắc nghiêm ngặt, cung cấp khả năng hiển thị hoạt động và đáp ứng các tiêu chuẩn bảo mật được trình duyệt và nhà cung cấp hệ điều hành dùng để quyết định CA nào trình duyệt và hệ điều hành của họ tin cậy một cách tự động. Các quản trị viên CA riêng có thể đưa ra các quy tắc của họ trong việc cấp chứng chỉ riêng, bao gồm các phương pháp cấp chứng chỉ và thông tin có thể nằm trong chứng chỉ.

Câu hỏi: Tại sao các tổ chức sử dụng chứng chỉ riêng thay vì chứng chỉ công khai?

Chứng chỉ riêng mang đến sự linh hoạt khi xác định gần như mọi thứ trong một tổ chức mà không tiết lộ tên công khai. Wiki.internal, địa chỉ IP 192.168.1.1, fire-sensor-123 và user123 là các ví dụ về tên có thể được sử dụng trong các chứng chỉ riêng. Ngược lại, chứng chỉ công khai bị hạn chế nghiêm ngặt trong việc xác định tài nguyên có tên DNS công khai, chẳng hạn như www.example.com. Chứng chỉ riêng có thể bao gồm thông tin bị cấm trong chứng chỉ công khai. Một số ứng dụng doanh nghiệp đã tận dụng khả năng thêm thông tin bổ sung vào chứng chỉ riêng và không thể hoạt động với chứng chỉ công khai.

Câu hỏi: Chứng chỉ tự ký là gì và tại sao các tổ chức nên sử dụng chứng chỉ từ một CA riêng?

Chứng chỉ tự ký là những chứng chỉ không được cấp bởi một CA. Không giống như các chứng chỉ được cấp cho một gốc bảo mật được duy trì bởi CA, các chứng chỉ tự ký hoạt động như là gốc riêng và kết quả là các chứng chỉ này có những hạn chế đáng kể: chúng có thể được sử dụng để cung cấp mã hóa một chiều chứ không phải để xác minh nhận dạng và các chứng chỉ này không thể bị thu hồi. Loại chứng chỉ này không được chấp nhận về góc độ bảo mật, nhưng các tổ chức vẫn sử dụng vì chúng dễ tạo, không đòi hỏi kiến thức chuyên môn hay cơ sở hạ tầng và nhiều ứng dụng chấp nhận chúng. Việc phát hành chứng chỉ tự ký không có sự kiểm soát. Các tổ chức sử dụng chúng có nguy cơ ngừng hoạt động cao hơn do hết hạn chứng chỉ vì họ không có cách nào theo dõi ngày hết hạn. ACM Private CA giúp bạn giải quyết những vấn đề này.

Câu hỏi: Tôi có thể bắt đầu sử dụng ACM Private CA như thế nào?

Để bắt đầu với ACM Private CA, hãy điều hướng đến Certificate Manager trong Bảng điều khiển quản lý AWS và chọn CA riêng ở phía bên trái màn hình. Chọn Bắt đầu để bắt đầu tạo một cơ quan cấp chứng chỉ riêng. Truy cập phần Bắt đầu trong Hướng dẫn sử dụng ACM Private CA để tìm hiểu thêm.

Câu hỏi: Tôi có thể tìm hiểu thêm về ACM Private CA ở đâu?

Vui lòng tham khảo Trang chi tiết ACM Private CA, Hướng dẫn sử dụng ACM Private CA, Tham khảo ACM Private CA API và ACM trong Tham khảo AWS CLI để tìm hiểu thêm.

Chứng chỉ ACM

Câu hỏi: ACM quản lý những loại chứng chỉ nào?

ACM quản lý các chứng chỉ riêng, công khai và được nhập vào. Tham khảo [Câu hỏi: Tôi có thể quản lý chứng chỉ với ACM như thế nào?] để biết chi tiết về khả năng quản lý của ACM cho từng loại chứng chỉ.

Câu hỏi: ACM có thể cung cấp chứng chỉ với nhiều tên miền không?

Có. Mỗi chứng chỉ phải bao gồm ít nhất một tên miền và bạn có thể thêm tên bổ sung vào chứng chỉ nếu bạn muốn. Ví dụ: bạn có thể thêm tên “www.example.net” vào chứng chỉ cho “www.example.com” nếu người dùng có thể tiếp cận trang web của bạn bằng cả hai tên. Bạn phải sở hữu hoặc kiểm soát tất cả các tên nằm trong phần yêu cầu chứng chỉ của mình. 

Câu hỏi: Tên miền ký tự đại diện là gì?

Tên miền ký tự đại diện khớp với mọi tên miền con cấp một hoặc tên máy chủ trong một miền. Tên miền con cấp một là nhãn tên miền đơn không chứa dấu chấm. Ví dụ: bạn có thể sử dụng tên *.example.com để bảo vệ www.example.com, images.example.com và bất kỳ tên máy chủ hoặc tên miền con cấp một nào khác kết thúc bằng .example.com. Tham khảo Hướng dẫn sử dụng ACM để biết thêm chi tiết.

Câu hỏi: ACM có thể cung cấp chứng chỉ với tên miền ký tự đại diện không?

Có.

Câu hỏi: ACM có cung cấp chứng chỉ nào khác ngoài SSL/TLS không?

Chứng chỉ được quản lý trong ACM sẽ được sử dụng với SSL/TLS. Nếu bạn phát hành chứng chỉ riêng trực tiếp từ ACM Private CA đồng thời quản lý các khóa và chứng chỉ mà không cần sử dụng ACM cho phần quản lý chứng chỉ, bạn có thể cấu hình đối tượng, thời hạn hiệu lực, thuật toán khóa và thuật toán chữ ký của các chứng chỉ riêng này và sử dụng chúng với SSL/TLS và các ứng dụng khác.

Câu hỏi: Tôi có thể sử dụng chứng chỉ ACM để ký mã hoặc mã hóa email không?

Không.

Câu hỏi: ACM có cung cấp chứng chỉ được sử dụng để ký và mã hóa email (chứng chỉ S/MIME) không?

Vào thời điểm này thì không.

Câu hỏi: Các chứng chỉ ACM có hiệu lực trong bao lâu?

Chứng chỉ được cấp thông qua ACM có hiệu lực trong 13 tháng. Nếu bạn phát hành chứng chỉ riêng trực tiếp từ ACM Private CA đồng thời quản lý các khóa và chứng chỉ mà không sử dụng ACM cho phần quản lý chứng chỉ, bạn có thể chọn bất kỳ khoảng thời gian hiệu lực nào, bao gồm ngày kết thúc tuyệt đối hoặc thời gian tương đối là ngày, tháng hoặc năm tính từ thời điểm hiện tại.

Câu hỏi: Chứng chỉ ACM sử dụng những thuật toán nào?

Các chứng chỉ được quản lý trong ACM sử dụng khóa RSA với phép toán số dư 2048 bit và SHA-256. Nếu bạn phát hành chứng chỉ riêng trực tiếp từ ACM Private CA đồng thời quản lý các khóa và chứng chỉ mà không sử dụng ACM cho phần quản lý chứng chỉ, bạn cũng có thể phát hành và sử dụng chứng chỉ đường cong elliptic (ECDSA). ACM hiện chưa có khả năng quản lý các chứng chỉ này.

Câu hỏi: Làm thế nào để thu hồi một chứng chỉ?

Bạn có thể yêu cầu ACM thu hồi một chứng chỉ công khai bằng cách truy cập Trung tâm hỗ trợ AWS và tạo một trường hợp. Để thu hồi một chứng chỉ riêng do ACM Private CA của bạn cấp, hãy tham khảo Hướng dẫn sử dụng ACM Private CA. 

Câu hỏi: Tôi có thể sao chép một chứng chỉ giữa các khu vực AWS không?

Bạn không thể sao chép các chứng chỉ do ACM quản lý giữa các khu vực vào thời điểm này. Bạn có thể sao chép chứng chỉ riêng được xuất từ ACM và các chứng chỉ bạn phát hành trực tiếp từ ACM Private CA mà không sử dụng ACM cho phần quản lý chứng chỉ và khóa riêng.

Câu hỏi: Tôi có thể sử dụng cùng một chứng chỉ ACM ở nhiều khu vực AWS không?

Điều này phụ thuộc vào việc bạn đang sử dụng Elastic Load Balancing hay Amazon CloudFront. Để sử dụng chứng chỉ Elastic Load Balancing cho cùng một trang web (với tên miền đầy đủ điều kiện hoặc FQDN hoặc một tập hợp FQDN) tại một khu vực khác, bạn phải yêu cầu chứng chỉ mới cho từng khu vực bạn dự định sử dụng chứng chỉ. Để sử dụng chứng chỉ ACM với Amazon CloudFront, bạn phải yêu cầu chứng chỉ ở khu vực Miền Đông Hoa Kỳ (Bắc Virginia). Chứng chỉ ACM trong khu vực này được liên kết với phân phối qua CloudFront sẽ được phân phối cho tất cả các vị trí địa lý được cấu hình cho phân phối đó.

Câu hỏi: Tôi có thể cung cấp chứng chỉ với ACM nếu tôi đã có chứng chỉ từ một nhà cung cấp khác cho cùng một tên miền không?

Có.

Câu hỏi: Tôi có thể sử dụng chứng chỉ trên các phiên bản Amazon EC2 hoặc trên máy chủ của riêng mình không?

Bạn có thể sử dụng chứng chỉ riêng được ACM Private CA cấp với các phiên bản EC2, container và trên máy chủ của riêng bạn. Hiện nay, các chứng chỉ ACM công khai chỉ có thể được sử dụng với các dịch vụ AWS cụ thể. Xem phần Tôi có thể sử dụng chứng chỉ ACM với các dịch vụ AWS nào?

Câu hỏi: ACM có cho phép các ký tự ngôn ngữ địa phương trong các tên miền, hay còn gọi là Tên miền quốc tế hóa (IDN) không?

ACM không cho phép các ký tự ngôn ngữ địa phương mã hóa Unicode; tuy nhiên, ACM cho phép ký tự ngôn ngữ địa phương mã hóa ASCII cho tên miền.

Câu hỏi: ACM cho phép các định dạng nhãn tên miền nào?

ACM chỉ cho phép mã ASCII \mã hóa UTF-8, bao gồm các nhãn chứa “xn—”, thường được gọi là Punycode cho tên miền. ACM không chấp nhận nội dung nhập Unicode (u-label) cho tên miền.

Chứng chỉ ACM công khai

Câu hỏi: Chứng chỉ công khai là gì?

Cả chứng chỉ riêng và công khai đều giúp khách hàng xác định tài nguyên trên mạng và bảo mật giao tiếp giữa các tài nguyên này. Chứng chỉ công khai xác định tài nguyên trên Internet.

Câu hỏi: ACM cung cấp loại chứng chỉ công khai nào?

ACM cung cấp chứng chỉ công khai xác thực miền (DV) để sử dụng với các trang web và ứng dụng ở đầu cuối SSL/TLS. Để biết thêm chi tiết về chứng chỉ ACM, vui lòng xem Đặc điểm chứng chỉ.

Câu hỏi: Các chứng chỉ ACM công khai có được các trình duyệt, hệ điều hành và thiết bị di động tin cậy không?

Chứng chỉ ACM công khai được hầu hết các các trình duyệt, hệ điều hành và thiết bị di động hiện nay tin cậy. Các chứng chỉ do ACM cung cấp có 99% trình duyệt và hệ điều hành phổ biến, bao gồm Windows XP SP3 và Java 6 trở đi.

Câu hỏi: Làm thế nào để xác nhận rằng trình duyệt của tôi tin cậy các chứng chỉ ACM công khai?

Trình duyệt tin cậy chứng chỉ ACM sẽ hiển thị biểu tượng khóa và không đưa ra cảnh báo chứng chỉ khi được kết nối với trang web sử dụng chứng chỉ ACM qua SSL/TLS, ví dụ như sử dụng HTTPS.

Chứng chỉ ACM công khai được xác minh bởi cơ quan cấp chứng chỉ của Amazon (CA). Mọi trình duyệt, ứng dụng hoặc hệ điều hành nào bao gồm Amazon Root CA 1, Starfield Services Root Certificate Authority - G2 hoặc Starfield Class 2 Certification Authority đều tin cậy chứng chỉ ACM.

Câu hỏi: ACM có cung cấp chứng chỉ Xác thực tổ chức (OV) hoặc Xác thực mở rộng (EV) công khai không?

Vào thời điểm này thì không.

Câu hỏi: Amazon mô tả chính sách và phương pháp phát hành chứng chỉ công khai của mình ở đâu?

Các chính sách và thực hành được mô tả trong các Chính sách Chứng chỉ Amazon Trust Services và các tài liệu Tuyên bố về Thực hành chứng chỉ Amazon Trust Services. Vui lòng tham khảo Kho lưu trữ Amazon Trust Services để biết các phiên bản mới nhất.

Câu hỏi: Làm thế nào để thông báo cho AWS nếu thông tin trong chứng chỉ công khai thay đổi?

Bạn thông báo cho AWS bằng cách gửi email đến validation-questions[at]amazon.com.

Cấp Chứng chỉ ACM công khai

Câu hỏi: Làm thế nào để cấp chứng chỉ công khai từ ACM?

Bạn có thể sử dụng Bảng điều khiển quản lý AWS, AWS CLI hoặc các API/SDK ACM. Để sử dụng Bảng điều khiển quản lý AWS, hãy điều hướng đến Certificate Manager, chọn Yêu cầu chứng chỉ, chọn Yêu cầu chứng chỉ công khai, nhập tên miền cho trang web của bạn và làm theo hướng dẫn trên màn hình để hoàn thành yêu cầu của bạn. Bạn có thể thêm tên miền bổ sung vào yêu cầu của mình nếu người dùng có thể tiếp cận trang web của bạn bằng tên khác. Trước khi ACM có thể cấp chứng chỉ, dịch vụ xác nhận rằng bạn sở hữu hoặc kiểm soát các tên miền trong yêu cầu chứng chỉ của bạn. Bạn có thể chọn xác thực DNS hoặc xác thực email khi yêu cầu một chứng chỉ. Với xác thực DNS, bạn ghi một bản ghi vào cấu hình DNS công khai cho tên miền của bạn để thiết lập rằng bạn sở hữu hoặc kiểm soát tên miền. Sau khi sử dụng xác thực DNS một lần để thiết lập kiểm soát tên miền của mình, bạn có thể nhận thêm chứng chỉ và ACM gia hạn chứng chỉ hiện có cho tên miền chừng nào bản ghi vẫn được giữ nguyên và chứng chỉ vẫn được sử dụng. Bạn không phải xác thực lại quyền kiểm soát tên miền. Nếu bạn chọn xác thực email thay vì xác thực DNS, email sẽ được gửi đến chủ sở hữu tên miền yêu cầu phê duyệt phát hành chứng chỉ. Sau khi xác thực bạn sở hữu hoặc kiểm soát từng tên miền trong yêu cầu của bạn, chứng chỉ được phát hành và sẵn sàng được cấp với các dịch vụ AWS khác, chẳng hạn như Elastic Load Balancing hoặc Amazon CloudFront. Vui lòng tham khảo Tài liệu ACM để biết thêm chi tiết.

Câu hỏi: Tại sao ACM xác thực quyền sở hữu tên miền cho chứng chỉ công khai?

Chứng chỉ được sử dụng để thiết lập nhận dạng trang web của bạn và kết nối an toàn giữa các trình duyệt, ứng dụng và trang web của bạn. Để phát hành chứng chỉ công khai được tin cậy, Amazon phải xác thực rằng người yêu cầu chứng chỉ có quyền kiểm soát tên miền trong yêu cầu chứng chỉ.

Câu hỏi: ACM xác thực quyền sở hữu tên miền như thế nào trước khi cấp chứng chỉ công khai cho tên miền?

Trước khi cấp chứng chỉ, ACM xác nhận bạn sở hữu hoặc kiểm soát tên miền trong yêu cầu chứng chỉ của bạn. Bạn có thể chọn xác thực DNS hoặc xác thực email khi yêu cầu một chứng chỉ. Với xác thực DNS, bạn có thể xác thực quyền sở hữu miền bằng cách thêm bản ghi CNAME vào cấu hình DNS của bạn. Vui lòng tham khảo Xác thực DNS để biết thêm chi tiết. Nếu bạn không có khả năng viết bản ghi vào cấu hình DNS công khai cho miền của mình, bạn có thể sử dụng xác thực email thay vì xác thực DNS. Với xác thực email, ACM gửi email đến chủ sở hữu tên miền đã đăng ký và chủ sở hữu hoặc đại diện ủy quyền có thể phê duyệt việc phát hành cho mỗi tên miền trong yêu cầu chứng chỉ. Vui lòng tham khảo Xác thực email để biết thêm chi tiết.

Câu hỏi: Tôi nên sử dụng phương pháp xác thực nào cho chứng chỉ công khai của mình: DNS hay email?

Chúng tôi khuyên bạn nên sử dụng xác thực DNS nếu bạn có khả năng thay đổi cấu hình DNS cho tên miền của mình. Các khách hàng không thể nhận email xác thực từ ACM và những người sử dụng công ty đăng ký tên miền không xuất bản thông tin liên hệ email của chủ sở hữu tên miền trong WHOIS nên sử dụng xác thực DNS. Nếu không thể sửa đổi cấu hình DNS của mình, bạn nên sử dụng xác thực email.

Câu hỏi: Tôi có thể chuyển đổi chứng chỉ công khai hiện có từ xác thực email sang xác thực DNS không?

Không, nhưng bạn có thể yêu cầu một chứng chỉ mới, miễn phí từ ACM và chọn xác thực DNS cho chứng chỉ mới.

Câu hỏi: Quá trình phát hành một chứng chỉ công khai diễn ra trong bao lâu?

Thời gian phát hành chứng chỉ sau khi tất cả các tên miền trong yêu cầu chứng chỉ đã được xác thực có thể là vài giờ hoặc lâu hơn.

Câu hỏi: Điều gì xảy ra khi tôi yêu cầu một chứng chỉ công khai?

ACM cố gắng xác thực quyền sở hữu hoặc kiểm soát từng tên miền trong yêu cầu chứng chỉ của bạn, theo phương pháp xác thực bạn đã chọn, DNS hoặc email, khi bạn đưa ra yêu cầu. Trạng thái của yêu cầu chứng chỉ là Đang chờ xác thực khi ACM cố gắng xác thực bạn là người sở hữu hoặc kiểm soát tên miền. Vui lòng tham khảo các phần Xác thực DNS và Xác thực email dưới đây để biết thêm thông tin về quy trình xác thực. Sau khi tất cả các tên miền trong yêu cầu chứng chỉ được xác nhận, thời gian phát hành chứng chỉ có thể vài giờ hoặc lâu hơn. Khi chứng chỉ được phát hành, trạng thái của yêu cầu chứng chỉ thay đổi thành Đã phát hành và bạn có thể bắt đầu sử dụng chứng chỉ với các dịch vụ AWS khác được tích hợp với ACM.

Câu hỏi: ACM có kiểm tra bản ghi về Cấp phép Cơ quan cấp chứng chỉ DNS (CAA) trước khi cấp chứng chỉ công khai không?

Có. Bản ghi Cấp phép Cơ quan cấp chứng chỉ DNS (CAA) cho phép chủ sở hữu tên miền chỉ định tổ chức cấp phép chứng chỉ nào được ủy quyền cấp chứng chỉ cho miền của họ. Khi bạn yêu cầu Chứng chỉ ACM, AWS Certificate Manager tìm kiếm bản ghi CAA trong cấu hình vùng DNS cho miền của bạn. Nếu không có bản ghi CAA, Amazon có thể cấp chứng chỉ cho miền của bạn. Hầu hết khách hàng đều thuộc nhóm này.

Nếu cấu hình DNS của bạn chứa bản ghi CAA, bản ghi đó phải chỉ định một trong các CA sau trước khi Amazon có thể cấp chứng chỉ cho tên miền của bạn: amazon.com, amazontrust.com, awstrust.com hoặc amazonaws.com. Vui lòng tham khảo Cấu hình bản ghi CAA hoặc Xử lý sự cố CAA trong Hướng dẫn sử dụng AWS Certificate Manager để biết thêm chi tiết.

Câu hỏi: ACM có hỗ trợ bất kỳ phương pháp nào khác để xác thực tên miền không?

Vào thời điểm này thì không.

Xác thực DNS (Chứng chỉ công khai)

Câu hỏi: Xác thực DNS là gì?

Với xác thực DNS, bạn có thể xác thực quyền sở hữu tên miền của mình bằng cách thêm bản ghi CNAME vào cấu hình DNS của bạn. Xác thực DNS giúp bạn dễ dàng thiết lập quyền sở hữu tên miền của bạn khi yêu cầu chứng chỉ SSL/TLS từ ACM.

Câu hỏi: Lợi ích của việc xác thực DNS là gì?

Xác thực DNS giúp dễ dàng xác thực quyền sở hữu hoặc kiểm soát tên miền của bạn để bạn có thể nhận chứng chỉ SSL/TLS. Với xác thực DNS, bạn chỉ cần viết bản ghi CNAME vào cấu hình DNS để thiết lập quyền kiểm soát tên miền của mình. Để đơn giản hóa quá trình xác thực DNS, bảng điều khiển quản lý ACM có thể cấu hình các bản ghi DNS cho bạn nếu bạn quản lý các bản ghi DNS của mình với Amazon Route 53. Tính năng này giúp bạn dễ dàng thiết lập quyền kiểm soát tên miền của mình chỉ bằng một vài cú nhấp chuột. Khi bản ghi CNAME được cấu hình, ACM sẽ tự động gia hạn các chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) khi nào bản ghi xác thực DNS vẫn còn. Gia hạn hoàn toàn tự động và không cần thao tác can thiệp.

Câu hỏi: Ai nên sử dụng xác thực DNS?

Bất kỳ ai yêu cầu chứng chỉ qua ACM và có khả năng thay đổi cấu hình DNS cho tên miền mà họ đang yêu cầu nên xem xét việc sử dụng xác thực DNS.

Câu hỏi: ACM vẫn còn hỗ trợ xác thực email?

Có. ACM tiếp tục hỗ trợ xác thực email cho những khách hàng không thể thay đổi cấu hình DNS của họ.

Câu hỏi: Tôi cần thêm bản ghi nào vào cấu hình DNS của mình để xác thực tên miền?

Bạn phải thêm bản ghi CNAME cho miền bạn muốn xác thực. Ví dụ: để xác thực tên www.example.com, bạn thêm bản ghi CNAME vào vùng cho example.com. Bản ghi bạn thêm chứa một token ngẫu nhiên do ACM tạo riêng cho tên miền và tài khoản AWS của bạn. Bạn có thể nhận hai phần của bản ghi CNAME (tên và nhãn) từ ACM. Để biết thêm hướng dẫn, vui lòng tham khảo Hướng dẫn sử dụng ACM.

Câu hỏi: Tôi có thể thêm hoặc sửa đổi bản ghi DNS cho tên miền của mình như thế nào?

Để biết thêm thông tin về cách thêm hoặc sửa đổi bản ghi DNS, hãy kiểm tra với nhà cung cấp DNS của bạn. Tài liệu DNS Amazon Route 53 cung cấp thêm thông tin cho những khách hàng sử dụng DNS Amazon Route 53.

Câu hỏi: ACM có thể đơn giản hóa xác thực DNS cho khách hàng của DNS Amazon Route 53 không?

Có. Đối với những khách hàng đang sử dụng DNS Amazon Route 53 để quản lý bản ghi DNS, bảng điều khiển ACM có thể thêm bản ghi vào cấu hình DNS khi bạn yêu cầu một chứng chỉ. Vùng lưu trữ DNS Route 53 của bạn phải được cấu hình trong cùng một tài khoản AWS mà bạn đang thực hiện yêu cầu và bạn phải có đủ quyền để thay đổi cấu hình Amazon Route 53 của mình. Để biết thêm hướng dẫn, hãy tham khảo Hướng dẫn sử dụng ACM.

Câu hỏi: Xác thực DNS có yêu cầu tôi sử dụng nhà cung cấp DNS cụ thể không?

Không. Bạn có thể sử dụng xác thực DNS với bất kỳ nhà cung cấp DNS nào nếu nhà cung cấp đó cho phép bạn thêm bản ghi CNAME vào cấu hình DNS của bạn.

Câu hỏi: Tôi cần bao nhiêu bản ghi DNS nếu tôi muốn nhiều chứng chỉ cho cùng một tên miền?

Một. Bạn có thể nhận được nhiều chứng chỉ cho cùng một tên miền trong cùng một tài khoản AWS bằng một bản ghi CNAME. Ví dụ: nếu thực hiện 2 yêu cầu chứng chỉ từ cùng một tài khoản AWS cho cùng một tên miền, bạn chỉ cần 1 bản ghi DNS CNAME.

Câu hỏi: Tôi có thể xác thực nhiều tên miền với cùng một bản ghi CNAME không?

Không. Mỗi tên miền phải có một bản ghi CNAME duy nhất.

Câu hỏi: Tôi có thể xác nhận tên miền ký tự đại diện bằng việc sử dụng xác thực DNS không?

Có.

Câu hỏi: ACM xây dựng bản ghi CNAME như thế nào?

Bản ghi DNS CNAME có hai thành phần: tên và nhãn. Thành phần tên của CNAME do ACM tạo ra được xây dựng từ một ký tự gạch dưới (_) sau đó là token, là một chuỗi duy nhất được gắn với tài khoản AWS và tên miền của bạn. ACM thêm ký tự gạch dưới và token vào tên miền của bạn để xây dựng thành phần tên. ACM xây dựng nhãn từ ký tự gạch dưới được thêm vào phía trước của một token khác cũng được gắn với tài khoản AWS và tên miền của bạn. ACM thêm ký tự gạch dưới và token vào một tên miền DNS được AWS sử dụng để xác thực: acm-validations.aws. Các ví dụ sau cho biết định dạng của CNAME cho www.example.com, subdomain.example.com và *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Lưu ý rằng ACM loại bỏ nhãn ký tự đại diện (*) khi tạo bản ghi CNAME cho các tên ký tự đại diện. Do đó, bản ghi CNAME do ACM tạo ra cho một tên ký tự đại diện (chẳng hạn như *.example.com) cũng là bản ghi được trả về cho tên miền không có nhãn ký tự đại diện (example.com).

Câu hỏi: Tôi có thể xác thực tất cả tên miền con của một tên miền bằng một bản ghi CNAME không?

Không. Mỗi tên miền, bao gồm tên máy chủ và tên miền con, phải được xác thực riêng biệt, mỗi tên miền con có một bản ghi CNAME duy nhất.

Câu hỏi: Tại sao ACM sử dụng bản ghi CNAME để xác thực DNS thay vì bản ghi TXT?

Sử dụng bản ghi CNAME cho phép ACM gia hạn chứng chỉ chừng nào còn bản ghi CNAME. Bản ghi CNAME chuyển hướng bản ghi TXT vào một tên miền AWS (acm-validations.aws) mà ACM có thể cập nhật khi cần để xác thực hoặc xác thực lại tên miền mà không cần thao tác nào từ bạn.

Câu hỏi: Xác thực DNS có hoạt động giữa các khu vực AWS không?

Có. Bạn có thể tạo một bản ghi DNS CNAME và sử dụng bản ghi để nhận được chứng chỉ trong cùng một tài khoản AWS ở bất kỳ khu vực AWS nào có cung cấp ACM. Cấu hình bản ghi CNAME một lần và bạn có thể được ACM cấp và gia hạn chứng chỉ cho tên miền đó mà không cần tạo bản ghi khác.

Câu hỏi: Tôi có thể chọn các phương pháp xác thực khác nhau trong cùng một chứng chỉ không?

Không. Mỗi chứng chỉ chỉ có một phương pháp xác thực.

Câu hỏi: Làm thế nào để gia hạn một chứng chỉ được xác thực bằng xác thực DNS?

ACM tự động gia hạn các chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) khi nào bản ghi xác thực DNS vẫn được giữ nguyên.

Câu hỏi: Tôi có thể thu hồi quyền cấp chứng chỉ cho tên miền của mình không?

Có. Bạn chỉ cần xóa bản ghi CNAME. ACM không cấp hoặc gia hạn chứng chỉ cho tên miền của bạn bằng cách sử dụng xác thực DNS sau khi bạn xóa bản ghi CNAME và sự thay đổi được phân phối thông qua DNS. Thời gian lan truyền thay đổi để xóa bản ghi phụ thuộc vào nhà cung cấp DNS của bạn.

Câu hỏi: Điều gì sẽ xảy ra nếu tôi xóa bản ghi CNAME?

ACM không thể phát hành hoặc gia hạn chứng chỉ cho tên miền của bạn bằng việc sử dụng xác thực DNS nếu bạn xóa bản ghi CNAME.

Xác thực email (Chứng chỉ công khai)

Câu hỏi: Xác thực email là gì?

Với xác thực email, một yêu cầu phê duyệt email được gửi đến chủ sở hữu tên miền đã đăng ký cho mỗi tên miền trong yêu cầu chứng chỉ. Chủ sở hữu miền hoặc đại diện ủy quyền (người phê duyệt) có thể phê duyệt yêu cầu chứng chỉ bằng cách làm theo hướng dẫn trong email. Các hướng dẫn đưa người phê duyệt điều hướng đến trang web phê duyệt và nhấp vào liên kết trong email hoặc dán liên kết từ email vào trình duyệt để điều hướng đến trang web phê duyệt. Người phê duyệt xác nhận thông tin được liên kết với yêu cầu chứng chỉ, chẳng hạn như tên miền, ID chứng chỉ (ARN) và ID tài khoản AWS khởi tạo yêu cầu và phê duyệt yêu cầu nếu thông tin là chính xác.

Câu hỏi: Khi tôi yêu cầu chứng chỉ và chọn xác thực email, yêu cầu phê duyệt chứng chỉ được gửi đến địa chỉ email nào?

Khi bạn yêu cầu một chứng chỉ bằng xác thực email, tra cứu WHOIS cho mỗi tên miền trong yêu cầu chứng chỉ được sử dụng để truy xuất thông tin liên hệ cho tên miền. Email được gửi đến người đăng ký tên miền, địa chỉ liên hệ về quản trị và địa chỉ liên hệ về kỹ thuật được liệt kê cho tên miền. Email cũng được gửi đến năm địa chỉ email đặc biệt, được tạo thành bằng cách thêm admin@, administrator@, hostmaster@, webmaster@ và postmaster@ vào tên miền bạn đang yêu cầu. Ví dụ: nếu bạn yêu cầu chứng chỉ cho server.example.com, email được gửi đến người đăng ký tên miền, địa chỉ liên hệ về kỹ thuật và địa chỉ liên hệ về quản trị sử dụng thông tin liên hệ được truy vấn WHOIS trả về cho miền example.com, kèm theo admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com và webmaster@server.example.com.

Năm địa chỉ email đặc biệt được xây dựng khác nhau cho các tên miền bắt đầu bằng "www" hoặc tên ký tự đại diện bắt đầu bằng dấu hoa thị (*). ACM xóa "www" hoặc dấu hoa thị ở đầu và gửi email đến các địa chỉ về quản trị được hình thành từ việc thêm admin@, administrator@, hostmaster@, postmaster@ và webmaster@ vào phần còn lại của tên miền. Ví dụ: nếu bạn yêu cầu chứng chỉ cho www.example.com, email được gửi đến các địa chỉ liên hệ WHOIS, như được mô tả trước đó, kèm theo admin@example.com thay vì admin@www.example.com. Bốn địa chỉ email đặc biệt còn lại được hình thành tương tự.

Sau khi yêu cầu một chứng chỉ, bạn có thể hiển thị danh sách các địa chỉ email được gửi cho từng miền bằng cách sử dụng bảng điều khiển ACM, AWS CLI hoặc API.

Câu hỏi: Tôi có thể cấu hình địa chỉ email được gửi yêu cầu phê duyệt chứng chỉ không?

Không, nhưng bạn có thể cấu hình tên miền cơ sở mà bạn muốn gửi email xác thực. Tên miền cơ sở phải là tên miền cấp cao hơn của tên miền trong yêu cầu chứng chỉ. Ví dụ: nếu muốn yêu cầu chứng chỉ cho server.domain.example.com nhưng muốn chuyển email phê duyệt đến admin@domain.example.com, bạn có thể thực hiện điều này bằng việc sử dụng AWS CLI hoặc API. Xem Tham khảo ACM CLI và Tham khảo ACM API để biết thêm chi tiết.

Câu hỏi: Tôi có thể sử dụng các miền có thông tin liên hệ proxy (chẳng hạn như Privacy Guard hoặc WhoisGuard) không?

Có; tuy nhiên, việc gửi email có thể bị trì hoãn do proxy. Email được gửi qua proxy có thể nằm trong thư mục spam của bạn. Vui lòng tham khảo Hướng dẫn sử dụng ACM để biết các gợi ý khắc phục sự cố.

Câu hỏi: ACM có thể xác thực nhận dạng bằng cách sử dụng địa chỉ liên hệ về kỹ thuật cho tài khoản AWS của tôi không?

Không. Các thủ tục và chính sách để xác thực nhận dạng chủ sở hữu tên miền rất nghiêm ngặt và được xác định theo tiêu chuẩn chính sách cho cơ quan cấp chứng chỉ đáng tin cậy công khai do CA/Browser Forum đặt ra. Để tìm hiểu thêm, vui lòng tham khảo Tuyên bố về Thực hành chứng chỉ Amazon Trust Services trong Kho lưu trữ Amazon Trust Services.

Câu hỏi: Tôi nên làm gì nếu tôi không nhận được email phê duyệt?

Vui lòng tham khảo Hướng dẫn sử dụng ACM để biết các gợi ý khắc phục sự cố.

Bảo vệ khóa riêng

Câu hỏi: Khóa riêng của chứng chỉ do ACM cung cấp được quản lý như thế nào?

Một cặp khóa được tạo cho mỗi chứng chỉ do ACM cung cấp. AWS Certificate Manager được thiết kế để bảo vệ và quản lý các khóa riêng được sử dụng với chứng chỉ SSL/TLS. Phương pháp mã hóa mạnh mẽ và các biện pháp thực hành quản lý khóa tốt nhất được áp dụng khi bảo vệ và lưu trữ các khóa riêng.

Câu hỏi: ACM có sao chép các chứng chỉ giữa các khu vực AWS không

Không. Khóa riêng của mỗi chứng chỉ ACM được lưu trữ trong khu vực mà bạn yêu cầu chứng chỉ. Ví dụ: khi bạn nhận được một chứng chỉ mới ở khu vực Miền Đông Hoa Kỳ (Bắc Virginia), ACM lưu trữ khóa riêng trong khu vực Bắc Virginia. Chứng chỉ ACM chỉ được sao chép giữa các khu vực nếu chứng chỉ được liên kết với phân phối CloudFront. Trong trường hợp đó, CloudFront phân phối chứng chỉ ACM đến các vị trí địa lý được cấu hình cho phân phối của bạn.

Câu hỏi: Tôi có thể kiểm tra việc sử dụng khóa riêng của chứng chỉ không?

Có. Sử dụng AWS CloudTrail bạn có thể xem lại nhật ký để biết khóa riêng cho các chứng chỉ được sử dụng khi nào.

Tính phí

Câu hỏi: Tôi sẽ được tính phí như thế nào cho việc sử dụng các chứng chỉ ACM?

Các chứng chỉ riêng và công khai được cấp phép thông qua AWS Certificate Manager sử dụng với các dịch vụ tích hợp ACM, chẳng hạn như các dịch vụ Elastic Load Balancing, Amazon CloudFront và Amazon API Gateway đều miễn phí. Bạn chỉ phải trả phí cho các tài nguyên AWS mà bạn tạo để chạy ứng dụng của mình. Cơ quan cấp chứng chỉ riêng AWS Certificate Manager tính giá thanh toán theo mức sử dụng. Bạn trả một khoản phí hàng tháng cho việc vận hành từng CA riêng cho đến khi bạn xóa chứng chỉ. Bạn cũng thanh toán cho các chứng chỉ riêng mà bạn tạo và xuất từ ACM, chẳng hạn như các chứng chỉ được sử dụng với máy chủ EC2 hoặc tại chỗ hoặc các chứng chỉ bạn phát hành trực tiếp từ CA riêng của bạn qua việc tự tạo khóa riêng. Vui lòng tham khảo Trang giá để biết thêm chi tiết và ví dụ.

Chi tiết

Câu hỏi: Tôi có thể sử dụng cùng một chứng chỉ với các cân bằng tải Elastic Load Balancing và các bản phân phối CloudFront không?

Có.

Câu hỏi: Tôi có thể sử dụng chứng chỉ công khai cho các cân bằng tải Elastic Load Balancing nội bộ không có truy cập internet công cộng không?

Có, nhưng bạn cũng có thể xem xét sử dụng ACM Private CA để phát hành các chứng chỉ riêng ACM có thể gia hạn mà không cần xác thực. Xem Gia hạn và triển khai được quản lý để biết chi tiết ACM xử lý gia hạn cho các chứng chỉ riêng và công khai không thể truy cập từ Internet như thế nào.

Câu hỏi: Chứng chỉ cho www.example.com có hoạt động cho example.com không?

Không. Nếu bạn muốn trang web của bạn được dẫn đến cả hai tên miền (www.example.com và example.com), bạn phải yêu cầu chứng chỉ cho cả hai tên.

Câu hỏi: Tôi có thể nhập chứng chỉ của bên thứ ba và sử dụng chứng chỉ này với các dịch vụ AWS không?

Có. Nếu muốn sử dụng chứng chỉ của bên thứ ba với mazon CloudFront, Elastic Load Balancing hoặc Amazon API Gateway, bạn có thể nhập chứng chỉ đó vào ACM bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc các API ACM. ACM không quản lý quy trình gia hạn cho các chứng chỉ được nhập vào. Bạn có thể sử dụng Bảng điều khiển quản lý AWS để theo dõi ngày hết hạn của chứng chỉ được nhập vào và nhập chứng chỉ mới của bên thứ ba để thay thế chứng chỉ hết hạn.

Câu hỏi: ACM có thể giúp tổ chức của tôi đáp ứng các yêu cầu tuân thủ như thế nào?

Sử dụng ACM giúp bạn tuân thủ các yêu cầu quy định bằng cách dễ dàng tạo điều kiện cho các kết nối an toàn, một yêu cầu chung trong nhiều chương trình tuân thủ như PCI, FedRAMP và HIPAA. Để biết thông tin cụ thể về tính tuân thủ, vui lòng tham khảo http://aws.amazon.com/compliance.

Câu hỏi: ACM có cung cấp thỏa thuận mức dịch vụ (SLA) không?

Vào thời điểm này thì không.

Câu hỏi: ACM có cung cấp con dấu trang web hoặc logo tin cậy bảo mật để tôi hiển thị trên trang web của mình không?

Không. Nếu bạn muốn sử dụng con dấu trang web, bạn có thể nhận được con dấu từ nhà cung cấp bên thứ ba. Chúng tôi khuyên bạn nên chọn một nhà cung cấp đánh giá và khẳng định tính bảo mật của trang web hoặc thực hành kinh doanh của bạn hoặc cả hai điều trên.

Câu hỏi: Amazon có cho phép nhãn hiệu hoặc logo của mình được sử dụng làm huy hiệu chứng chỉ, con dấu trang web hoặc logo tin cậy không?

Không. Con dấu và huy hiệu loại này có thể được sao chép vào các trang web không sử dụng dịch vụ ACM và được sử dụng để tạo niềm tin không có thật theo cách không phù hợp. Để bảo vệ khách hàng của chúng tôi và danh tiếng của Amazon, chúng tôi không cho phép sử dụng logo của chúng tôi theo cách này.

Ghi nhật ký

Câu hỏi: Thông tin nhật ký nào được cung cấp từ AWS CloudTrail?

Bạn có thể xác định người dùng và tài khoản nào đã gọi các API AWS cho các dịch vụ được AWS CloudTrail hỗ trợ, địa chỉ IP nguồn thực hiện lệnh gọi và thời điểm xảy ra lệnh gọi. Ví dụ: bạn có thể xác định người dùng nào đã thực hiện lệnh gọi API để liên kết chứng chỉ do ACM cung cấp với Cân bằng tải co giãn và khi nào dịch vụ Elastic Load Balancing giải mã khóa bằng lệnh gọi API KMS.

Gia hạn và triển khai được quản lý

Câu hỏi: Gia hạn và triển khai được quản lý của ACM là gì?

Gia hạn và triển khai được quản lý của ACM quản lý quá trình gia hạn các chứng chỉ ACM SSL/TLS và triển khai các chứng chỉ này sau khi chúng được gia hạn.

Câu hỏi: Lợi ích của việc sử dụng gia hạn và triển khai được quản lý của ACM là gì?

ACM có thể quản lý gia hạn và triển khai chứng chỉ SSL/TLS thay mặt bạn. ACM giúp việc cấu hình và duy trì SSL/TLS cho dịch vụ web bảo mật hoặc ứng dụng hoạt động hiệu quả hơn so với các quy trình thủ công có khả năng xảy ra lỗi. Gia hạn và triển khai được quản lý có thể giúp bạn tránh thời gian ngừng hoạt động do hết hạn chứng chỉ. ACM hoạt động như một dịch vụ được tích hợp với các dịch vụ AWS khác. Điều này nghĩa là bạn có thể quản lý và triển khai tập trung các chứng chỉ trên nền tảng AWS bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc API. Với ACM Private CA, bạn có thể tạo và xuất các chứng chỉ riêng. ACM gia hạn chứng chỉ đã xuất, cho phép tải xuống và triển khải mã tự động ứng dụng phía máy khách. 

Câu hỏi: Các chứng chỉ ACM nào có thể được gia hạn và triển khai tự động

Chứng chỉ công khai

ACM có thể gia hạn và triển khai chứng chỉ ACM công khai mà không cần bất kỳ xác thực bổ sung nào từ chủ sở hữu tên miền. Nếu một chứng chỉ không thể gia hạn khi không có xác thực bổ sung, ACM sẽ quản lý quy trình gia hạn bằng cách xác thực quyền sở hữu hoặc kiểm soát từng tên miền trong chứng chỉ. Sau khi mỗi tên miền trong chứng chỉ đã được xác thực, ACM gia hạn chứng chỉ và tự động triển khai các chứng chỉ với các tài nguyên AWS của bạn. Nếu ACM không thể xác thực quyền sở hữu tên miền, chúng tôi sẽ thông báo cho bạn (chủ sở hữu tài khoản AWS) biết.

Nếu bạn chọn xác thực DNS trong yêu cầu chứng chỉ, ACM có thể gia hạn chứng chỉ của bạn vô thời hạn mà không cần bất kỳ thao tác nào của bạn, nếu chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) và bản ghi CNAME của bạn vẫn còn. Nếu đã chọn xác thực email khi yêu cầu chứng chỉ, bạn có thể cải thiện khả năng tự động gia hạn và triển khai chứng chỉ ACM, bằng cách đảm bảo chứng chỉ đang được sử dụng, tất cả tên miền có trong chứng chỉ có thể dẫn đến trang web của bạn và tên miền có thể truy cập từ Internet.

Chứng chỉ riêng

ACM cung cấp ba tùy chọn để quản lý chứng chỉ riêng do ACM Private CA phát hành. ACM cung cấp các khả năng gia hạn và triển khai khác nhau tùy thuộc vào cách bạn quản lý chứng chỉ riêng của mình. Bạn có thể chọn tùy chọn quản lý tốt nhất cho từng chứng chỉ riêng mà bạn phát hành.

1) ACM có thể tự động hóa hoàn toàn việc gia hạn và triển khai các chứng chỉ riêng do ACM Private CA của bạn phát hành và được sử dụng với các dịch vụ tích hợp ACM, chẳng hạn như Elastic Load Balancing và API Gateway. ACM có thể gia hạn và triển khai chứng chỉ riêng được tạo và quản lý trong ACM nếu CA riêng phát hành chứng chỉ đó vẫn ở trạng thái Hoạt động.
2) Đối với chứng chỉ riêng mà bạn xuất từ ACM để sử dụng với tài nguyên tại chỗ, các phiên bản EC2 và thiết bị IoT, ACM Private CA tự động gia hạn chứng chỉ thay bạn. Bạn có trách nhiệm truy xuất chứng chỉ và khóa riêng mới đồng thời triển khai chúng cùng với ứng dụng của mình.
3) Nếu bạn phát hành chứng chỉ trực tiếp từ ACM Private CA và tự quản lý khóa và chứng chỉ mà không cần sử dụng ACM cho phần quản lý chứng chỉ, ACM sẽ không gia hạn chứng chỉ của bạn. Bạn có trách nhiệm gia hạn và triển khai các chứng chỉ riêng này.

Câu hỏi: Khi nào ACM gia hạn chứng chỉ?

ACM bắt đầu quá trình gia hạn tối đa 60 ngày trước ngày hết hạn của chứng chỉ. Thời hạn hiệu lực cho các chứng chỉ ACM hiện tại là 13 tháng. Vui lòng tham khảo Hướng dẫn sử dụng ACṂ để biết thêm thông tin về quản lý gia hạn.

Câu hỏi: Tôi có được thông báo trước khi chứng chỉ được gia hạn và chứng chỉ mới được triển khai không?

Không. ACM có thể gia hạn hoặc cấp lại khóa chứng chỉ và thay thế chứng chỉ cũ mà không cần thông báo trước.

Câu hỏi: ACM có thể gia hạn chứng chỉ công khai chứa các tên miền trống, chẳng hạn như “example.com” (còn được gọi là zone apex hoặc tên miền không tiền tố) không?

Nếu bạn đã chọn xác thực DNS trong yêu cầu chứng chỉ của mình cho chứng chỉ công khai thì ACM có thể gia hạn chứng chỉ mà không cần bất kỳ thao tác nào từ bạn, nếu chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) và bản ghi CNAME của bạn vẫn được giữ nguyên.

Nếu bạn đã chọn xác thực email khi yêu cầu chứng chỉ công khai với tên miền trống, đảm bảo tra cứu DNS của tên miền trống dẫn đến tài nguyên AWS được liên kết với chứng chỉ. Dẫn tên miền trống vào một tài nguyên AWS có thể khó khăn trừ khi bạn sử dụng Route 53 hoặc nhà cung cấp DNS khác hỗ trợ bản ghi tài nguyên bí danh (hoặc tương đương) để ánh xạ các tên miền trống đến tài nguyên AWS. Để biết thêm thông tin, vui lòng tham khảo Hướng dẫn dành cho nhà phát triển Route 53.

Câu hỏi: Trang web của tôi có hủy các kết nối hiện có khi ACM triển khai chứng chỉ được gia hạn không?

Không, các kết nối được thiết lập sau khi chứng chỉ mới được triển khai sẽ sử dụng chứng chỉ mới và các kết nối hiện tại không bị ảnh hưởng.

Tìm hiểu thêm về giá AWS Certificate Manager

Truy cập trang giá
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS Certificate Manager
Bạn có thêm câu hỏi?
Hãy liên hệ chúng tôi