Thông tin chung

Câu hỏi: Trình quản lý chứng chỉ của AWS là gì?

Trình quản lý chứng chỉ của AWS (ACM) là dịch vụ cho phép bạn dễ dàng cung cấp, quản lý cũng như triển khai các chứng chỉ Lớp cổng bảo mật/Bảo mật lớp truyền tải (SSL/TLS) riêng và công khai để sử dụng với các dịch vụ AWS và tài nguyên kết nối nội bộ của bạn. Chứng chỉ SSL/TLS được sử dụng để bảo mật truyền thông mạng và thiết lập danh tính của trang web qua Internet cũng như tài nguyên trên các mạng riêng. ACM xóa bỏ quy trình mua, tải lên và gia hạn chứng chỉ SSL/TLS thủ công tốn thời gian. Với Trình quản lý chứng chỉ của AWS, bạn có thể nhanh chóng yêu cầu một chứng chỉ, triển khai chứng chỉ đó trên các tài nguyên AWS, chẳng hạn như các Bộ cân bằng tải linh hoạt, bản phân phối Amazon CloudFront và các API trên Cổng API, đồng thời cho phép ACM xử lý các yêu cầu gia hạn chứng chỉ. Dịch vụ này còn cho phép bạn tạo các chứng chỉ riêng cho các tài nguyên nội bộ và quản lý vòng đời của chứng chỉ một cách tập trung. Chứng chỉ SSL/TLS riêng và công khai được cung cấp thông qua ACM và được sử dụng riêng cho các dịch vụ tích hợp với ACM, chẳng hạn như Cân bằng tải linh hoạt, Amazon CloudFront và Cổng API Amazon đều là chứng chỉ miễn phí. Bạn chỉ phải trả phí cho các tài nguyên AWS mà bạn tạo để chạy ứng dụng của mình. Bạn trả một khoản phí theo tháng cho việc vận hành từng CA riêng tư cho đến khi bạn xóa CA đó, cũng như phí cho các chứng chỉ riêng tư mà bạn phát hành nhưng không được sử dụng riêng với các dịch vụ tích hợp với ACM.

Câu hỏi: Chứng chỉ SSL/TLS là gì?

Chứng chỉ SSL/TLS cho phép các trình duyệt web xác định và thiết lập các kết nối mạng được mã hóa cho các trang web sử dụng giao thức Secure Sockets Layer/Transport Layer Security (SSL/TLS). Các chứng chỉ được sử dụng trong một hệ thống mật mã được gọi là cơ sở hạ tầng khóa công khai (PKI). PKI cung cấp phương thức để một bên thiết lập nhận dạng của một bên khác bằng cách sử dụng các chứng chỉ nếu cả hai đều tin cậy bên thứ ba - được gọi là cơ quan cấp chứng chỉ. Bạn có thể truy cập chủ đề Khái niệm trong Hướng dẫn sử dụng ACM để biết thêm thông tin và định nghĩa.

Câu hỏi: Chứng chỉ riêng là gì?

Chứng chỉ riêng xác định các tài nguyên trong tổ chức, chẳng hạn như ứng dụng, dịch vụ, thiết bị và người dùng. Khi thiết lập một kênh giao tiếp bảo mật được mã hóa, mỗi điểm cuối sử dụng một chứng chỉ và các kỹ thuật mã hóa để chứng minh nhận dạng của mình cho điểm cuối khác. Các điểm cuối API nội bộ, máy chủ web, người dùng VPN, thiết bị IoT và nhiều ứng dụng khác sử dụng chứng chỉ riêng để thiết lập các kênh giao tiếp bảo mật được mã hóa cần thiết cho vận hành bảo mật.

Câu hỏi: Sự khác nhau giữa chứng chỉ riêng và công khai là gì?

Cả chứng chỉ riêng và công khai đều giúp khách hàng xác định tài nguyên trên mạng và bảo mật giao tiếp giữa các tài nguyên này. Chứng chỉ công khai xác định tài nguyên trên Internet công cộng, trong khi chứng chỉ riêng cũng có tính năng tương tự đối với mạng riêng. Một sự khác biệt quan trọng chính là các ứng dụng và trình duyệt theo mặc định tự động tin cậy các chứng chỉ công khai, trong khi đó quản trị viên phải cấu hình các ứng dụng một cách rõ ràng khi tin cậy các chứng chỉ riêng. Các CA công cộng, các tổ chức phát hành chứng chỉ công khai phải tuân thủ các quy tắc nghiêm ngặt, cung cấp khả năng hiển thị hoạt động và đáp ứng các tiêu chuẩn bảo mật được trình duyệt và nhà cung cấp hệ điều hành dùng để quyết định CA nào trình duyệt và hệ điều hành của họ tin cậy một cách tự động. Các CA riêng được quản lý bởi các tổ chức riêng và quản trị viên CA riêng có thể đưa ra các quy tắc của họ trong việc cấp chứng chỉ riêng, bao gồm các thông lệ cấp chứng chỉ và thông tin có thể nằm trong chứng chỉ. 

Câu hỏi: Lợi ích của việc sử dụng Trình quản lý chứng chỉ của AWS (ACM) là gì?

ACM giúp việc bật SSL/TLS cho một trang web hoặc ứng dụng trên nền tảng AWS trở nên dễ dàng hơn. ACM loại bỏ nhiều quy trình thủ công trước đó liên quan đến việc sử dụng và quản lý chứng chỉ SSL/TLS. ACM cũng có thể giúp bạn tránh thời gian ngừng hoạt động do định cấu hình sai, bị thu hồi hoặc hết hạn bằng việc quản lý gia hạn. Bạn nhận được bảo vệ SSL/TLS và quản lý chứng chỉ dễ dàng. Bật SSL/TLS cho các trang web qua Internet có thể giúp cải thiện xếp hạng tìm kiếm cho trang web của bạn và giúp bạn đáp ứng các yêu cầu tuân thủ quy định về mã hóa dữ liệu khi chuyển tiếp.

Khi bạn sử dụng ACM để quản lý chứng chỉ, khóa riêng của chứng chỉ được bảo vệ an toàn và được lưu trữ bằng cách sử dụng mã hóa mạnh và các phương pháp hay nhất về quản lý khóa. ACM cho phép bạn sử dụng Bảng điều khiển quản lý AWS, AWS CLI hoặc các API của ACM để quản lý tập trung tất cả chứng chỉ ACM SSL/TLS trong một khu vực AWS. ACM được tích hợp với các dịch vụ AWS khác, vì vậy bạn có thể yêu cầu chứng chỉ SSL/TLS và cung cấp cho chứng chỉ đó bộ cân bằng tải của dịch vụ Cân bằng tải linh hoạt hoặc bản phân phối Amazon CloudFront từ Bảng điều khiển quản lý AWS thông qua các lệnh AWS CLI hoặc với các lệnh gọi API.

Câu hỏi: Tôi có thể quản lý các loại chứng chỉ nào bằng ACM?

ACM cho phép bạn quản lý vòng đời của chứng chỉ riêng và công khai của bạn. Khả năng của ACM phụ thuộc vào việc chứng chỉ là công khai hay chứng chỉ riêng, cách bạn có được chứng chỉ và vị trí bạn triển khai chứng chỉ.

Chứng chỉ công khai – Bạn có thể yêu cầu các chứng chỉ công khai do Amazon cấp trong ACM. ACM quản lý việc gia hạn và triển khai chứng chỉ công khai được sử dụng với các dịch vụ tích hợp ACM, bao gồm Amazon CloudFront, Cân bằng tải linh hoạt và Cổng API Amazon.

Chứng chỉ riêng – Bạn có thể chọn ủy thác việc quản lý chứng chỉ riêng cho ACM. Khi được sử dụng theo cách này, ACM có thể tự động gia hạn và triển khai các chứng chỉ riêng được sử dụng với các dịch vụ tích hợp ACM, bao gồm Amazon CloudFront, Elastic Load Balancing và Amazon API Gateway. Bạn có thể dễ dàng triển khai các chứng chỉ riêng này bằng cách sử dụng bảng điều khiển quản lý AWS, các API và giao diện dòng lệnh (CLI). Bạn có thể xuất các chứng chỉ riêng từ ACM và sử dụng chúng với các phiên bản EC2, bộ chứa, máy chủ tại chỗ và các thiết bị IoT. CA riêng của AWS tự động gia hạn các chứng chỉ này và gửi một thông báo Amazon CloudWatch khi quá trình gia hạn hoàn tất. Bạn có thể viết mã phía máy khách để tải xuống các chứng chỉ đã được gia hạn và các khóa riêng đồng thời triển khai chúng với ứng dụng của bạn.

Chứng chỉ được nhập vào – Nếu muốn sử dụng chứng chỉ của bên thứ ba với Amazon CloudFront, Elastic Load Balancing hoặc Amazon API Gateway, bạn có thể nhập chứng chỉ đó vào ACM bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc các API ACM. ACM không thể gia hạn các chứng chỉ đã nhập, nhưng có thể giúp bạn quản lý quá trình gia hạn. Bạn có trách nhiệm theo dõi ngày hết hạn của các chứng chỉ được nhập vào và gia hạn chúng trước khi hết hạn. Bạn có thể sử dụng các chỉ số của ACM CloudWatch để theo dõi ngày hết hạn của chứng chỉ được nhập vào và nhập chứng chỉ mới của bên thứ ba để thay thế chứng chỉ hết hạn.

Câu hỏi: Tôi có thể bắt đầu với ACM bằng cách nào?

Để bắt đầu với ACM, hãy điều hướng đến Trình quản lý chứng chỉ trong Bảng điều khiển quản lý AWS và sử dụng trình hướng dẫn để yêu cầu chứng chỉ SSL/TLS. Nếu đã tạo một CA riêng, bạn có thể chọn chứng chỉ riêng hoặc công khai tùy theo mong muốn của mình, sau đó nhập tên trang web của bạn. Bạn cũng có thể yêu cầu một chứng chỉ bằng AWS CLI hoặc API. Sau khi được cấp, bạn có thể sử dụng chứng chỉ đó với các dịch vụ AWS khác được tích hợp với ACM. Đối với mỗi dịch vụ tích hợp, bạn chỉ cần chọn chứng chỉ SSL/TLS mà bạn muốn từ danh sách thả xuống trong Bảng điều khiển quản lý AWS. Ngoài ra, bạn có thể thực thi lệnh AWS CLI hoặc gọi API AWS để liên kết chứng chỉ với tài nguyên của bạn. Khi đó dịch vụ được tích hợp sẽ triển khai chứng chỉ cho tài nguyên bạn đã chọn.  Để biết thêm thông tin về việc yêu cầu và sử dụng chứng chỉ do ACM cung cấp, hãy tìm hiểu thêm trong Hướng dẫn sử dụng ACM. Ngoài việc sử dụng các chứng chỉ riêng với các dịch vụ tích hợp ACM, bạn cũng có thể xuất các chứng chỉ riêng để sử dụng trên các phiên bản EC2, trên bộ chứa ECS hoặc tại bất kỳ vị trí nào.

Câu hỏi: Tôi có thể sử dụng chứng chỉ ACM với các dịch vụ AWS nào?

• Bạn có thể sử dụng các chứng chỉ ACM riêng và công khai với các dịch vụ AWS sau:
• Elastic Load Balancing – Hãy tham khảo tài liệu về Elastic Load Balancing
• Amazon CloudFront – Hãy tham khảo tài liệu về CloudFront
• Amazon API Gateway – Hãy tham khảo tài liệu về API Gateway
• AWS CloudFormation – Hiện chỉ hỗ trợ các chứng chỉ công khai và riêng do ACM cấp. Hãy tham khảo tài liệu về AWS CloudFormation
• AWS Elastic Beanstalk – Hãy tham khảo tài liệu về AWS Elastic Beanstalk
• AWS Nitro Enclaves – Hãy tham khảo tài liệu về AWS Nitro Enclaves

Câu hỏi: ACM có ở Khu vực nào?

Vui lòng truy cập trang Cơ sở hạ tầng toàn cầu của AWS để xem mức độ sẵn sàng của Khu vực hiện tại đối với các dịch vụ AWS. Để sử dụng chứng chỉ ACM với Amazon CloudFront, bạn phải yêu cầu hoặc nhập chứng chỉ ở khu vực Miền Đông Hoa Kỳ (Bắc Virginia). Chứng chỉ ACM trong khu vực này liên kết với một phân phối qua CloudFront sẽ được phân phối tới tất cả các vị trí địa lý đã cấu hình cho phân phối đó.

Chứng chỉ ACM

Câu hỏi: ACM quản lý những loại chứng chỉ nào?

ACM quản lý các chứng chỉ riêng, công khai và được nhập vào. Tìm hiểu thêm về khả năng của ACM trong tài liệu về Ban hành và quản lý chứng chỉ.

Hỏi: ACM có thể cung cấp chứng chỉ với nhiều tên miền không?

Có. Mỗi chứng chỉ phải bao gồm ít nhất một tên miền và bạn có thể thêm tên bổ sung vào chứng chỉ nếu bạn muốn. Ví dụ: bạn có thể thêm tên “www.example.net” vào chứng chỉ cho “www.example.com” nếu người dùng có thể tiếp cận trang web của bạn bằng cả hai tên. Bạn phải sở hữu hoặc kiểm soát tất cả các tên nằm trong phần yêu cầu chứng chỉ của mình. 

Câu hỏi: Tên miền ký tự đại diện là gì?

Tên miền ký tự đại diện khớp với mọi tên miền con cấp một hoặc tên máy chủ trong một miền. Tên miền con cấp một là nhãn tên miền đơn không chứa dấu chấm. Ví dụ: bạn có thể sử dụng tên *.example.com để bảo vệ www.example.com, images.example.com và bất kỳ tên máy chủ hoặc tên miền con cấp một nào khác kết thúc bằng .example.com. Tìm hiểu thêm trong Hướng dẫn sử dụng ACM.

Câu hỏi: ACM có thể cung cấp chứng chỉ với tên miền ký tự đại diện không?

Có.

Câu hỏi: ACM có cung cấp chứng chỉ ngoài SSL/TLS không?

Không.

Câu hỏi: Tôi có thể sử dụng chứng chỉ ACM để ký mã hoặc mã hóa email không?

Không.

Câu hỏi: ACM có cung cấp chứng chỉ được sử dụng để ký và mã hóa email (chứng chỉ S/MIME) không?

Không.

Câu hỏi: Các chứng chỉ ACM có hiệu lực trong bao lâu?

Chứng chỉ được cấp thông qua ACM có hiệu lực trong 13 tháng (395 ngày). Nếu bạn cấp chứng chỉ riêng trực tiếp từ CA riêng, đồng thời quản lý các khóa và chứng chỉ mà không cần sử dụng ACM để quản lý chứng chỉ, bạn có thể chọn bất kỳ thời hạn hiệu lực nào, bao gồm ngày kết thúc tuyệt đối hoặc thời gian tương đối là số ngày, tháng hoặc năm tính từ thời điểm hiện tại.

Câu hỏi: Chứng chỉ do ACM cấp sử dụng những thuật toán nào?

Theo mặc định, các chứng chỉ được cấp trong ACM sử dụng khóa RSA với modulus 2048 bit và SHA-256. Ngoài ra, bạn có thể yêu cầu chứng chỉ Thuật toán chữ ký số đường cong Elliptic (ECDSA) với P-256 hoặc P-384. Tìm hiểu thêm về các thuật toán trong Hướng dẫn sử dụng ACM.

Câu hỏi: Làm thế nào để thu hồi một chứng chỉ?

Bạn có thể yêu cầu ACM thu hồi một chứng chỉ công khai bằng cách truy cập Trung tâm hỗ trợ AWS và tạo một yêu cầu. Để thu hồi một chứng chỉ riêng do AWS Private CA của bạn cấp, hãy tham khảo Hướng dẫn sử dụng CA riêng của AWS. 

Câu hỏi: Tôi có thể sử dụng cùng một chứng chỉ ACM ở nhiều khu vực AWS không?

Không. Chứng chỉ ACM phải nằm trong cùng Khu vực với tài nguyên sử dụng chứng chỉ. Ngoại lệ duy nhất là Amazon CloudFront, dịch vụ toàn cầu này yêu cầu chứng chỉ ở khu vực miền Đông Hoa Kỳ (Bắc Virginia). Chứng chỉ ACM trong khu vực này liên kết với một phân phối qua CloudFront sẽ được phân phối tới tất cả các vị trí địa lý đã cấu hình cho phân phối đó.

Câu hỏi: Tôi có thể cung cấp chứng chỉ với ACM nếu tôi đã có chứng chỉ từ một nhà cung cấp khác cho cùng một tên miền không?

Có.

Câu hỏi: Tôi có thể sử dụng chứng chỉ trên các phiên bản Amazon EC2 hoặc trên máy chủ của riêng mình không?

Bạn có thể sử dụng chứng chỉ riêng được CA riêng cấp với các phiên bản EC2, bộ chứa và trên máy chủ của riêng bạn. Hiện nay, các chứng chỉ ACM công khai chỉ có thể được sử dụng với một số dịch vụ AWS nhất định, bao gồm AWS Nitro Enclaves. Xem Tích hợp dịch vụ ACM.

Câu hỏi: ACM có cho phép các ký tự ngôn ngữ địa phương trong các tên miền, hay còn gọi là Tên miền quốc tế hóa (IDN) không?

ACM không cho phép các ký tự ngôn ngữ địa phương mã hóa Unicode; tuy nhiên, ACM cho phép ký tự ngôn ngữ địa phương mã hóa ASCII cho tên miền.

Câu hỏi: ACM cho phép các định dạng nhãn tên miền nào?

ACM chỉ cho phép mã ASCII \mã hóa UTF-8, bao gồm các nhãn chứa “xn—”, thường được gọi là Punycode cho tên miền. ACM không chấp nhận nội dung nhập Unicode (u-label) cho tên miền.

Câu hỏi: Tôi có thể nhập chứng chỉ của bên thứ ba và sử dụng chứng chỉ này với các dịch vụ AWS không?

Có. Nếu muốn sử dụng chứng chỉ của bên thứ ba với Amazon CloudFront, Elastic Load Balancing hoặc Amazon API Gateway, bạn có thể nhập chứng chỉ đó vào ACM bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc các API ACM. ACM không quản lý quy trình gia hạn cho các chứng chỉ được nhập vào. Bạn có thể sử dụng Bảng điều khiển quản lý AWS để theo dõi ngày hết hạn của chứng chỉ được nhập vào và nhập chứng chỉ mới của bên thứ ba để thay thế chứng chỉ hết hạn.

Chứng chỉ ACM công khai

Câu hỏi: Chứng chỉ công khai là gì?

Cả chứng chỉ riêng và công khai đều giúp khách hàng xác định tài nguyên trên mạng và bảo mật giao tiếp giữa các tài nguyên này. Chứng chỉ công khai xác định tài nguyên trên Internet.

Câu hỏi: ACM cung cấp loại chứng chỉ công khai nào?

ACM cung cấp chứng chỉ công khai Xác thực miền (DV) để sử dụng với các trang web và ứng dụng xử lý điểm cuối SSL/TLS. Để biết thêm chi tiết về chứng chỉ ACM, vui lòng xem Đặc điểm chứng chỉ.

Câu hỏi: Các chứng chỉ ACM công khai có được các trình duyệt, hệ điều hành và thiết bị di động tin cậy không?

Chứng chỉ công khai của ACM được hầu hết các các trình duyệt, hệ điều hành và thiết bị di động hiện nay tin cậy. Các chứng chỉ do ACM cung cấp có mặt trên 99% trình duyệt và hệ điều hành, bao gồm Windows XP SP3 và Java 6 trở đi.

Câu hỏi: Làm thế nào để xác nhận rằng trình duyệt của tôi tin cậy các chứng chỉ ACM công khai?

Một số trình duyệt tin cậy chứng chỉ ACM sẽ hiển thị biểu tượng khóa và không đưa ra cảnh báo chứng chỉ khi được kết nối với trang web sử dụng chứng chỉ ACM thay vì SSL/TLS, ví dụ như sử dụng HTTPS.

Chứng chỉ ACM công khai được xác minh bởi nhà cung cấp chứng chỉ (CA) của Amazon. Mọi trình duyệt, ứng dụng hoặc hệ điều hành bao gồm Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2 đều tin cậy chứng chỉ ACM. Để biết thêm thông tin về CA gốc, hãy truy cập Kho lưu trữ Amazon Trust Services.

Câu hỏi: ACM có cung cấp chứng chỉ Xác thực tổ chức (OV) hoặc Xác thực mở rộng (EV) công khai không?

Không.

Câu hỏi: Amazon mô tả chính sách và phương pháp phát hành chứng chỉ công khai của mình ở đâu?

Các chính sách và biện pháp thực hành được mô tả trong các Chính sách chứng chỉ Amazon Trust Services và các tài liệu Tuyên bố về Thực hành chứng chỉ Amazon Trust Services. Vui lòng tham khảo kho lưu trữ Amazon Trust Services để biết các phiên bản mới nhất.

Câu hỏi: Chứng chỉ cho www.example.com có hoạt động cho example.com không?

Không. Nếu bạn muốn trang web của bạn được tham chiếu đến bởi cả hai tên miền (www.example.com và example.com) bạn phải yêu cầu chứng chỉ cho cả hai tên.

Câu hỏi: ACM có thể giúp tổ chức của tôi đáp ứng các yêu cầu tuân thủ như thế nào?

Sử dụng ACM giúp bạn tuân thủ các yêu cầu quy định bằng cách dễ dàng tạo điều kiện cho các kết nối an toàn, một yêu cầu chung trong nhiều chương trình tuân thủ như PCI, FedRAMP và HIPAA. Để biết thông tin cụ thể về tính tuân thủ, vui lòng tham khảo http://aws.amazon.com/compliance.

Câu hỏi: ACM có cung cấp thỏa thuận mức dịch vụ (SLA) không?

Không, ACM không cung cấp SLA. 

Câu hỏi: ACM có cung cấp con dấu trang web hoặc logo tin cậy bảo mật để tôi hiển thị trên trang web của mình không?

Không. Nếu bạn muốn sử dụng con dấu trang web, bạn có thể nhận được con dấu từ nhà cung cấp bên thứ ba. Chúng tôi khuyên bạn nên chọn một nhà cung cấp đánh giá và khẳng định tính bảo mật của trang web hoặc thông lệ kinh doanh của bạn hoặc cả hai điều trên.

Câu hỏi: Amazon có cho phép nhãn hiệu hoặc logo của mình được sử dụng làm huy hiệu chứng chỉ, con dấu trang web hoặc logo tin cậy không?

Không. Con dấu và huy hiệu loại này có thể bị sao chép vào các trang web không sử dụng dịch vụ ACM và bị sử dụng một cách không phù hợp để tạo niềm tin không có thật. Để bảo vệ khách hàng của chúng tôi và danh tiếng của Amazon, chúng tôi không cho phép sử dụng logo của chúng tôi theo cách này.

 

Cung cấp chứng chỉ công khai

Câu hỏi: Làm thế nào để cấp chứng chỉ công khai từ ACM?

Bạn có thể sử dụng Bảng điều khiển quản lý AWS, AWS CLI hoặc các API/SDK ACM. Để sử dụng Bảng điều khiển quản lý AWS, hãy điều hướng đến Certificate Manager, chọn Yêu cầu chứng chỉ, chọn Yêu cầu chứng chỉ công khai, nhập tên miền cho trang web của bạn và làm theo hướng dẫn trên màn hình để hoàn thành yêu cầu của bạn. Bạn có thể thêm tên miền bổ sung vào yêu cầu của mình nếu người dùng có thể tiếp cận trang web của bạn bằng tên khác. Trước khi ACM có thể cấp chứng chỉ, dịch vụ xác nhận rằng bạn sở hữu hoặc kiểm soát các tên miền trong yêu cầu chứng chỉ của bạn. Bạn có thể chọn xác thực DNS hoặc xác thực email khi yêu cầu một chứng chỉ. Với xác thực DNS, bạn ghi một bản ghi vào cấu hình DNS công khai cho tên miền của bạn để thiết lập rằng bạn sở hữu hoặc kiểm soát tên miền. Sau khi sử dụng xác thực DNS một lần để thiết lập kiểm soát tên miền của mình, bạn có thể nhận thêm chứng chỉ và ACM gia hạn chứng chỉ hiện có cho tên miền chừng nào bản ghi vẫn được giữ nguyên và chứng chỉ vẫn được sử dụng. Bạn không phải xác thực lại quyền kiểm soát tên miền. Nếu bạn chọn xác thực email thay vì xác thực DNS, email sẽ được gửi đến chủ sở hữu tên miền yêu cầu phê duyệt phát hành chứng chỉ. Sau khi xác thực bạn sở hữu hoặc kiểm soát từng tên miền trong yêu cầu của bạn, chứng chỉ được phát hành và sẵn sàng được cấp với các dịch vụ AWS khác, chẳng hạn như Elastic Load Balancing hoặc Amazon CloudFront. Vui lòng tham khảo Tài liệu ACM để biết chi tiết.

Câu hỏi: Tại sao ACM xác thực quyền sở hữu tên miền cho chứng chỉ công khai?

Chứng chỉ được sử dụng để thiết lập nhận dạng trang web của bạn và kết nối an toàn giữa các trình duyệt, ứng dụng và trang web của bạn. Để phát hành chứng chỉ được công khai tin cậy, Amazon phải xác thực rằng người yêu cầu chứng chỉ có quyền kiểm soát tên miền trong yêu cầu chứng chỉ.

Câu hỏi: ACM xác thực quyền sở hữu tên miền như thế nào trước khi cấp chứng chỉ công khai cho tên miền?

Trước khi cấp chứng chỉ, ACM xác nhận bạn sở hữu hoặc kiểm soát tên miền trong yêu cầu chứng chỉ của bạn. Bạn có thể chọn xác thực DNS hoặc xác thực email khi yêu cầu một chứng chỉ. Với xác thực DNS, bạn có thể xác thực quyền sở hữu miền bằng cách thêm bản ghi CNAME vào cấu hình DNS của bạn. Vui lòng tham khảo Xác thực DNS để biết thêm chi tiết. Nếu bạn không có khả năng viết bản ghi vào cấu hình DNS công khai cho miền của mình, bạn có thể sử dụng xác thực email thay vì xác thực DNS. Với xác thực email, ACM gửi email đến chủ sở hữu tên miền đã đăng ký và chủ sở hữu hoặc đại diện ủy quyền có thể phê duyệt việc phát hành cho mỗi tên miền trong yêu cầu chứng chỉ. Vui lòng tham khảo Xác thực email để biết thêm chi tiết.

Câu hỏi: Tôi nên sử dụng phương pháp xác thực nào cho chứng chỉ công khai của mình: DNS hay email?

Chúng tôi khuyên bạn nên sử dụng xác thực DNS nếu bạn có khả năng thay đổi cấu hình DNS cho tên miền của mình. Các khách hàng không thể nhận email xác thực từ ACM và những người sử dụng công ty đăng ký tên miền không xuất bản thông tin liên hệ email của chủ sở hữu tên miền trong WHOIS nên sử dụng xác thực DNS. Nếu không thể sửa đổi cấu hình DNS của mình, bạn nên sử dụng xác thực email.

Câu hỏi: Tôi có thể chuyển đổi chứng chỉ công khai hiện có từ xác thực email sang xác thực DNS không?

Không, nhưng bạn có thể yêu cầu một chứng chỉ mới, miễn phí từ ACM và chọn xác thực DNS cho chứng chỉ mới.

Câu hỏi: Quá trình phát hành một chứng chỉ công khai diễn ra trong bao lâu?

Thời gian phát hành chứng chỉ sau khi tất cả các tên miền trong yêu cầu chứng chỉ đã được xác thực có thể là vài giờ hoặc lâu hơn.

Câu hỏi: Điều gì xảy ra khi tôi yêu cầu một chứng chỉ công khai?

ACM cố gắng xác thực quyền sở hữu hoặc kiểm soát từng tên miền trong yêu cầu chứng chỉ của bạn, theo phương pháp xác thực bạn đã chọn, DNS hoặc email, khi bạn đưa ra yêu cầu. Trạng thái của yêu cầu chứng chỉ là Đang chờ xác thực khi ACM cố gắng xác thực bạn là người sở hữu hoặc kiểm soát tên miền. Vui lòng tham khảo các phần Xác thực DNS và Xác thực email dưới đây để biết thêm thông tin về quy trình xác thực. Sau khi tất cả các tên miền trong yêu cầu chứng chỉ được xác nhận, thời gian phát hành chứng chỉ có thể vài giờ hoặc lâu hơn. Khi chứng chỉ được phát hành, trạng thái của yêu cầu chứng chỉ thay đổi thành Đã phát hành và bạn có thể bắt đầu sử dụng chứng chỉ với các dịch vụ AWS khác được tích hợp với ACM.

Câu hỏi: ACM có kiểm tra bản ghi về Cấp phép Cơ quan cấp chứng chỉ DNS (CAA) trước khi cấp chứng chỉ công khai không?

Có. Bản ghi Cấp phép Cơ quan cấp chứng chỉ DNS (CAA) cho phép chủ sở hữu tên miền chỉ định tổ chức cấp phép chứng chỉ nào được ủy quyền cấp chứng chỉ cho miền của họ. Khi bạn yêu cầu Chứng chỉ ACM, AWS Certificate Manager tìm kiếm bản ghi CAA trong cấu hình vùng DNS cho miền của bạn. Nếu không có bản ghi CAA, Amazon có thể cấp chứng chỉ cho miền của bạn. Hầu hết khách hàng đều thuộc nhóm này.

Nếu cấu hình DNS của bạn chứa bản ghi CAA, bản ghi đó phải chỉ định một trong các CA sau trước khi Amazon có thể cấp chứng chỉ cho tên miền của bạn: amazon.com, amazontrust.com, awstrust.com hoặc amazonaws.com. Vui lòng tham khảo Cấu hình bản ghi CAA hoặc Khắc phục sự cố CAA trong Hướng dẫn sử dụng Trình quản lý chứng chỉ của AWS để biết thêm thông tin.

Câu hỏi: ACM có hỗ trợ bất kỳ phương pháp nào khác để xác thực tên miền không?

Vào thời điểm này thì không.

Xác thực DNS

Hỏi: Xác thực DNS là gì?

Với xác thực DNS, bạn có thể xác thực quyền sở hữu tên miền của mình bằng cách thêm bản ghi CNAME vào cấu hình DNS của bạn. Xác thực DNS giúp bạn dễ dàng thiết lập quyền sở hữu tên miền khi yêu cầu chứng chỉ SSL/TLS công khai từ ACM.

Hỏi: Lợi ích của việc xác thực DNS là gì?

Xác thực DNS giúp dễ dàng xác thực quyền sở hữu hoặc kiểm soát tên miền của bạn để bạn có thể nhận chứng chỉ SSL/TLS. Với xác thực DNS, bạn chỉ cần viết bản ghi CNAME vào cấu hình DNS để thiết lập quyền kiểm soát tên miền của mình. Để đơn giản hóa quá trình xác thực DNS, bảng điều khiển quản lý ACM có thể cấu hình các bản ghi DNS cho bạn nếu bạn quản lý các bản ghi DNS của mình với Amazon Route 53. Tính năng này giúp bạn dễ dàng thiết lập quyền kiểm soát tên miền của mình chỉ bằng một vài cú nhấp chuột. Khi bản ghi CNAME được cấu hình, ACM sẽ tự động gia hạn các chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) khi nào bản ghi xác thực DNS vẫn còn. Gia hạn hoàn toàn tự động và không cần thao tác can thiệp.

Câu hỏi: Ai nên sử dụng xác thực DNS?

Bất kỳ ai yêu cầu chứng chỉ qua ACM và có khả năng thay đổi cấu hình DNS cho tên miền mà họ đang yêu cầu nên xem xét việc sử dụng xác thực DNS.

Câu hỏi: ACM vẫn còn hỗ trợ xác thực email?

Có. ACM tiếp tục hỗ trợ xác thực email cho những khách hàng không thể thay đổi cấu hình DNS của họ.

Câu hỏi: Tôi cần thêm bản ghi nào vào cấu hình DNS của mình để xác thực tên miền?

Bạn phải thêm bản ghi CNAME cho miền bạn muốn xác thực. Ví dụ: để xác thực tên www.example.com, bạn thêm bản ghi CNAME vào vùng cho example.com. Bản ghi bạn thêm chứa một token duy nhất do ACM tạo riêng cho tên miền và tài khoản AWS của bạn. Bạn có thể nhận hai phần của bản ghi CNAME (tên và nhãn) từ ACM. Để biết thêm hướng dẫn, hãy tham khảo Hướng dẫn sử dụng ACM.

Câu hỏi: Tôi có thể thêm hoặc sửa đổi bản ghi DNS cho tên miền của mình như thế nào?

Để biết thêm thông tin về cách thêm hoặc sửa đổi bản ghi DNS, hãy kiểm tra với nhà cung cấp DNS của bạn. Tài liệu DNS Amazon Route 53 cung cấp thêm thông tin cho những khách hàng sử dụng DNS Amazon Route 53.

Câu hỏi: ACM có thể đơn giản hóa xác thực DNS cho khách hàng của DNS Amazon Route 53 không?

Có. Đối với những khách hàng đang sử dụng DNS Amazon Route 53 để quản lý bản ghi DNS, bảng điều khiển ACM có thể thêm bản ghi vào cấu hình DNS khi bạn yêu cầu một chứng chỉ. Vùng lưu trữ DNS Route 53 của bạn phải được cấu hình trong cùng một tài khoản AWS mà bạn đang thực hiện yêu cầu và bạn phải có đủ quyền để thay đổi cấu hình Amazon Route 53 của mình. Để biết thêm hướng dẫn, hãy tham khảo Hướng dẫn sử dụng ACM.

Câu hỏi: Xác thực DNS có yêu cầu tôi sử dụng nhà cung cấp DNS cụ thể không?

Không. Bạn có thể sử dụng xác thực DNS với bất kỳ nhà cung cấp DNS nào nếu nhà cung cấp đó cho phép bạn thêm bản ghi CNAME vào cấu hình DNS của bạn.

Câu hỏi: Tôi cần bao nhiêu bản ghi DNS nếu tôi muốn nhiều chứng chỉ cho cùng một tên miền?

Một. Bạn có thể nhận được nhiều chứng chỉ cho cùng một tên miền trong cùng một tài khoản AWS bằng một bản ghi CNAME. Ví dụ: nếu thực hiện 2 yêu cầu chứng chỉ từ cùng một tài khoản AWS cho cùng một tên miền, bạn chỉ cần 1 bản ghi DNS CNAME.

Câu hỏi: Tôi có thể xác thực nhiều tên miền với cùng một bản ghi CNAME không?

Không. Mỗi tên miền phải có một bản ghi CNAME duy nhất.

Câu hỏi: Tôi có thể xác nhận tên miền ký tự đại diện bằng việc sử dụng xác thực DNS không?

Có.

Câu hỏi: ACM xây dựng bản ghi CNAME như thế nào?

Bản ghi DNS CNAME có hai thành phần: tên và nhãn. Thành phần tên của CNAME do ACM tạo ra được xây dựng từ một ký tự gạch dưới (_) sau đó là token, là một chuỗi duy nhất được gắn với tài khoản AWS và tên miền của bạn. ACM thêm ký tự gạch dưới và token vào đầu tên miền của bạn để xây dựng thành phần tên. ACM xây dựng nhãn từ ký tự gạch dưới được thêm vào đầu một token khác. Token này cũng được liên kết với tài khoản AWS và tên miền của bạn. ACM thêm ký tự gạch dưới và token vào đầu tên miền DNS được AWS sử dụng để xác thực: acm-validations.aws. Các ví dụ sau cho biết định dạng của CNAME cho www.example.com, subdomain.example.com và *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Lưu ý rằng ACM loại bỏ nhãn ký tự đại diện (*) khi tạo bản ghi CNAME cho các tên ký tự đại diện. Do đó, bản ghi CNAME do ACM tạo ra cho một tên ký tự đại diện (chẳng hạn như *.example.com) cũng là bản ghi được trả về cho tên miền không có nhãn ký tự đại diện (example.com).

Câu hỏi: Tôi có thể xác thực tất cả tên miền con của một tên miền bằng một bản ghi CNAME không?

Không. Mỗi tên miền, bao gồm tên máy chủ và tên miền con, phải được xác thực riêng biệt, mỗi tên miền con có một bản ghi CNAME duy nhất.

Câu hỏi: Tại sao ACM sử dụng bản ghi CNAME để xác thực DNS thay vì bản ghi TXT?

Sử dụng bản ghi CNAME cho phép ACM gia hạn chứng chỉ chừng nào còn bản ghi CNAME. Bản ghi CNAME chuyển hướng bản ghi TXT vào một tên miền AWS (acm-validations.aws) mà ACM có thể cập nhật khi cần để xác thực hoặc xác thực lại tên miền mà không cần thao tác nào từ bạn.

Câu hỏi: Xác thực DNS có hoạt động giữa các khu vực AWS không?

Có. Bạn có thể tạo một bản ghi DNS CNAME và sử dụng bản ghi để nhận được chứng chỉ trong cùng một tài khoản AWS ở bất kỳ khu vực AWS nào có cung cấp ACM. Cấu hình bản ghi CNAME một lần và bạn có thể được ACM cấp và gia hạn chứng chỉ cho tên miền đó mà không cần tạo bản ghi khác.

Câu hỏi: Tôi có thể chọn các phương pháp xác thực khác nhau trong cùng một chứng chỉ không?

Không. Mỗi chứng chỉ chỉ có một phương pháp xác thực.

Câu hỏi: Làm thế nào để gia hạn một chứng chỉ được xác thực bằng xác thực DNS?

ACM tự động gia hạn các chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) khi nào bản ghi xác thực DNS vẫn được giữ nguyên.

Câu hỏi: Tôi có thể thu hồi quyền cấp chứng chỉ cho tên miền của mình không?

Có. Bạn chỉ cần xóa bản ghi CNAME. ACM không cấp hoặc gia hạn chứng chỉ cho tên miền của bạn bằng cách sử dụng xác thực DNS sau khi bạn xóa bản ghi CNAME và sự thay đổi được phân phối thông qua DNS. Thời gian lan truyền thay đổi để xóa bản ghi phụ thuộc vào nhà cung cấp DNS của bạn.

Câu hỏi: Điều gì sẽ xảy ra nếu tôi xóa bản ghi CNAME?

ACM không thể phát hành hoặc gia hạn chứng chỉ cho tên miền của bạn bằng việc sử dụng xác thực DNS nếu bạn xóa bản ghi CNAME.

Xác thực email

Câu hỏi: Xác thực email là gì?

Với xác thực email, một yêu cầu phê duyệt email được gửi đến chủ sở hữu tên miền đã đăng ký cho mỗi tên miền trong yêu cầu chứng chỉ. Chủ sở hữu miền hoặc đại diện ủy quyền (người phê duyệt) có thể phê duyệt yêu cầu chứng chỉ bằng cách làm theo hướng dẫn trong email. Các hướng dẫn đưa người phê duyệt điều hướng đến trang web phê duyệt và nhấp vào liên kết trong email hoặc dán liên kết từ email vào trình duyệt để điều hướng đến trang web phê duyệt. Người phê duyệt xác nhận thông tin được liên kết với yêu cầu chứng chỉ, chẳng hạn như tên miền, ID chứng chỉ (ARN) và ID tài khoản AWS khởi tạo yêu cầu và phê duyệt yêu cầu nếu thông tin là chính xác.

Câu hỏi: Khi tôi yêu cầu chứng chỉ và chọn xác thực email, yêu cầu phê duyệt chứng chỉ được gửi đến địa chỉ email nào?

Khi bạn yêu cầu một chứng chỉ bằng xác thực email, tra cứu WHOIS cho mỗi tên miền trong yêu cầu chứng chỉ được sử dụng để truy xuất thông tin liên hệ cho tên miền. Email được gửi đến người đăng ký tên miền, địa chỉ liên hệ về quản trị và địa chỉ liên hệ về kỹ thuật được liệt kê cho tên miền. Email cũng được gửi đến năm địa chỉ email đặc biệt, được tạo thành bằng cách thêm admin@, administrator@, hostmaster@, webmaster@ và postmaster@ vào tên miền bạn đang yêu cầu. Ví dụ: nếu bạn yêu cầu chứng chỉ cho server.example.com, email được gửi đến người đăng ký tên miền, địa chỉ liên hệ về kỹ thuật và địa chỉ liên hệ về quản trị sử dụng thông tin liên hệ được truy vấn WHOIS trả về cho miền example.com, kèm theo admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com và webmaster@server.example.com.

Năm địa chỉ email đặc biệt được xây dựng khác nhau cho các tên miền bắt đầu bằng "www" hoặc tên ký tự đại diện bắt đầu bằng dấu hoa thị (*). ACM xóa "www" hoặc dấu hoa thị ở đầu và gửi email đến các địa chỉ về quản trị được hình thành từ việc thêm admin@, administrator@, hostmaster@, postmaster@ và webmaster@ vào phần còn lại của tên miền. Ví dụ: nếu bạn yêu cầu chứng chỉ cho www.example.com, email được gửi đến các địa chỉ liên hệ WHOIS, như được mô tả trước đó, kèm theo admin@example.com thay vì admin@www.example.com. Bốn địa chỉ email đặc biệt còn lại được hình thành tương tự.

Sau khi yêu cầu một chứng chỉ, bạn có thể hiển thị danh sách các địa chỉ email được gửi cho từng miền bằng cách sử dụng bảng điều khiển ACM, AWS CLI hoặc API.

Câu hỏi: Tôi có thể cấu hình địa chỉ email được gửi yêu cầu phê duyệt chứng chỉ không?

Không, nhưng bạn có thể cấu hình tên miền cơ sở mà bạn muốn gửi email xác thực. Tên miền cơ sở phải là tên miền cấp cao hơn của tên miền trong yêu cầu chứng chỉ. Ví dụ: nếu muốn yêu cầu chứng chỉ cho server.domain.example.com nhưng muốn chuyển email phê duyệt đến admin@domain.example.com, bạn có thể thực hiện điều này bằng việc sử dụng AWS CLI hoặc API. Xem Tham khảo ACM CLI và Tham khảo ACM API để biết thêm chi tiết.

Câu hỏi: Tôi có thể sử dụng các miền có thông tin liên hệ proxy (chẳng hạn như Privacy Guard hoặc WhoisGuard) không?

Có; tuy nhiên, việc gửi email có thể bị trì hoãn do proxy. Email được gửi qua proxy có thể nằm trong thư mục spam của bạn. Vui lòng tham khảo Hướng dẫn sử dụng ACM để biết các gợi ý khắc phục sự cố.

Câu hỏi: ACM có thể xác thực nhận dạng bằng cách sử dụng địa chỉ liên hệ về kỹ thuật cho tài khoản AWS của tôi không?

Không. Các thủ tục và chính sách để xác thực nhận dạng chủ sở hữu tên miền rất nghiêm ngặt và được xác định theo tiêu chuẩn chính sách cho cơ quan cấp chứng chỉ đáng tin cậy công khai do CA/Browser Forum đặt ra. Để tìm hiểu thêm, vui lòng tham khảo Tuyên bố về Thực hành chứng chỉ Amazon Trust Services trong Kho lưu trữ Amazon Trust Services.

Câu hỏi: Tôi nên làm gì nếu tôi không nhận được email phê duyệt?

Vui lòng tham khảo Hướng dẫn sử dụng ACM để biết các gợi ý khắc phục sự cố.

Bảo vệ khóa riêng

Câu hỏi: Khóa riêng của chứng chỉ do ACM cung cấp được quản lý như thế nào?

Một cặp khóa được tạo cho mỗi chứng chỉ do ACM cung cấp. ACM được thiết kế để bảo vệ và quản lý các khóa riêng được sử dụng với chứng chỉ SSL/TLS. Phương pháp mã hóa mạnh mẽ và các biện pháp thực hành quản lý khóa tốt nhất được áp dụng khi bảo vệ và lưu trữ các khóa riêng.

Câu hỏi: ACM có sao chép các chứng chỉ giữa các khu vực AWS không

Không. Khóa riêng của mỗi chứng chỉ ACM được lưu trữ trong khu vực mà bạn yêu cầu chứng chỉ. Ví dụ: khi bạn nhận được một chứng chỉ mới ở khu vực Miền Đông Hoa Kỳ (Bắc Virginia), ACM lưu trữ khóa riêng trong khu vực Bắc Virginia. Chứng chỉ ACM chỉ được sao chép giữa các khu vực nếu chứng chỉ được liên kết với phân phối CloudFront. Trong trường hợp đó, CloudFront phân phối chứng chỉ ACM đến các vị trí địa lý được cấu hình cho phân phối của bạn.

Gia hạn và triển khai được quản lý

Câu hỏi: Gia hạn và triển khai được quản lý của ACM là gì?

Gia hạn và triển khai được quản lý của ACM quản lý quá trình gia hạn các chứng chỉ ACM SSL/TLS và triển khai các chứng chỉ này sau khi chúng được gia hạn.

Câu hỏi: Lợi ích của việc sử dụng gia hạn và triển khai được quản lý của ACM là gì?

ACM có thể quản lý gia hạn và triển khai chứng chỉ SSL/TLS thay mặt bạn. ACM giúp việc cấu hình và duy trì SSL/TLS cho dịch vụ web bảo mật hoặc ứng dụng hoạt động hiệu quả hơn so với các quy trình thủ công có khả năng xảy ra lỗi. Gia hạn và triển khai được quản lý có thể giúp bạn tránh thời gian ngừng hoạt động do hết hạn chứng chỉ. ACM hoạt động như một dịch vụ được tích hợp với các dịch vụ AWS khác. Điều này nghĩa là bạn có thể quản lý và triển khai tập trung các chứng chỉ trên nền tảng AWS bằng cách sử dụng bảng điều khiển quản lý AWS, AWS CLI hoặc API. Với CA riêng, bạn có thể tạo và xuất các chứng chỉ riêng. ACM gia hạn chứng chỉ đã xuất, cho phép tải xuống và triển khải mã tự động ứng dụng phía máy khách. 

Câu hỏi: Các chứng chỉ ACM nào có thể được gia hạn và triển khai tự động

Chứng chỉ công khai

ACM có thể gia hạn và triển khai chứng chỉ ACM công khai mà không cần bất kỳ xác thực bổ sung nào từ chủ sở hữu tên miền. Nếu một chứng chỉ không thể gia hạn khi không có xác thực bổ sung, ACM sẽ quản lý quy trình gia hạn bằng cách xác thực quyền sở hữu hoặc kiểm soát từng tên miền trong chứng chỉ. Sau khi mỗi tên miền trong chứng chỉ đã được xác thực, ACM gia hạn chứng chỉ và tự động triển khai các chứng chỉ với các tài nguyên AWS của bạn. Nếu ACM không thể xác thực quyền sở hữu tên miền, chúng tôi sẽ thông báo cho bạn (chủ sở hữu tài khoản AWS) biết.

Nếu bạn chọn xác thực DNS trong yêu cầu chứng chỉ, ACM có thể gia hạn chứng chỉ của bạn vô thời hạn mà không cần bất kỳ thao tác nào của bạn, nếu chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) và bản ghi CNAME của bạn vẫn còn. Nếu đã chọn xác thực email khi yêu cầu chứng chỉ, bạn có thể cải thiện khả năng tự động gia hạn và triển khai chứng chỉ ACM, bằng cách đảm bảo chứng chỉ đang được sử dụng, tất cả tên miền có trong chứng chỉ có thể dẫn đến trang web của bạn và tên miền có thể truy cập từ Internet.

Chứng chỉ riêng

ACM cung cấp hai tùy chọn để quản lý chứng chỉ riêng do CA riêng của AWS phát hành. ACM cung cấp các khả năng gia hạn khác nhau tùy thuộc vào cách bạn quản lý chứng chỉ riêng của mình. Bạn có thể chọn tùy chọn quản lý tốt nhất cho từng chứng chỉ riêng mà bạn cấp.

1) ACM có thể tự động hóa hoàn toàn việc gia hạn và triển khai các chứng chỉ riêng do CA riêng của AWS cấp và được sử dụng với các dịch vụ tích hợp ACM, chẳng hạn như Cân bằng tải linh hoạt và Cổng API. ACM có thể gia hạn và triển khai chứng chỉ riêng được cấp và quản lý thông qua ACM nếu CA riêng cấp chứng chỉ đó vẫn ở trạng thái Hoạt động.
2) Đối với chứng chỉ riêng mà bạn xuất từ ACM để sử dụng với tài nguyên tại chỗ, các phiên bản EC2 và thiết bị IoT, ACM tự động gia hạn chứng chỉ thay bạn. Bạn có trách nhiệm truy xuất chứng chỉ và khóa riêng mới đồng thời triển khai chúng cùng với ứng dụng của mình.

Câu hỏi: Khi nào ACM gia hạn chứng chỉ?

ACM bắt đầu quá trình gia hạn trước khi hết hạn của chứng chỉ tối đa 60 ngày. Thời hạn hiệu lực cho các chứng chỉ ACM hiện tại là 13 tháng (395 ngày). Vui lòng tham khảo Hướng dẫn sử dụng ACṂ để biết thêm thông tin về quá trình gia hạn được quản lý.

Câu hỏi: Tôi có được thông báo trước khi chứng chỉ được gia hạn và chứng chỉ mới được triển khai không?

Không. ACM có thể gia hạn hoặc cấp lại khóa chứng chỉ và thay thế chứng chỉ cũ mà không cần thông báo trước.

Câu hỏi: ACM có thể gia hạn chứng chỉ công khai chứa các tên miền trống, chẳng hạn như “example.com” (còn được gọi là zone apex hoặc tên miền không tiền tố) không?

Nếu bạn đã chọn xác thực DNS trong yêu cầu chứng chỉ của mình cho chứng chỉ công khai thì ACM có thể gia hạn chứng chỉ mà không cần bất kỳ thao tác nào từ bạn, nếu chứng chỉ đang được sử dụng (được liên kết với các tài nguyên AWS khác) và bản ghi CNAME của bạn vẫn được giữ nguyên.

Nếu bạn đã chọn xác thực email khi yêu cầu chứng chỉ công khai với tên miền trống, đảm bảo tra cứu DNS của tên miền trống dẫn đến tài nguyên AWS được liên kết với chứng chỉ. Việc dẫn tên miền trống vào một tài nguyên AWS có thể sẽ trở nên khó khăn trừ khi bạn sử dụng Route 53 hoặc nhà cung cấp DNS khác hỗ trợ bản ghi tài nguyên bí danh (hoặc tương đương) để ánh xạ các tên miền trống đến tài nguyên AWS. Để biết thêm thông tin, vui lòng tham khảo Hướng dẫn dành cho nhà phát triển Route 53.

Câu hỏi: Trang web của tôi có hủy các kết nối hiện có khi ACM triển khai chứng chỉ được gia hạn không?

Không, các kết nối được thiết lập sau khi triển khai chứng chỉ mới sẽ sử dụng chứng chỉ mới và các kết nối hiện tại không bị ảnh hưởng.

Câu hỏi: Tôi có thể sử dụng cùng một chứng chỉ với các bộ cân bằng tải Elastic Load Balancing và các bản phân phối CloudFront không?

Có.

Câu hỏi: Tôi có thể sử dụng chứng chỉ công khai cho các bộ cân bằng tải của dịch vụ Cân bằng tải linh hoạt nội bộ không có truy cập Internet công cộng không?

Có, nhưng bạn cũng có thể xem xét sử dụng CA riêng của AWS để cấp các chứng chỉ riêng có thể được ACM gia hạn mà không cần xác thực. Xem Gia hạn và triển khai được quản lý để biết chi tiết về việc ACM xử lý gia hạn cho các chứng chỉ riêng và chứng chỉ công khai không thể truy cập từ Internet như thế nào.

Tạo bản ghi

Câu hỏi: Tôi có thể kiểm tra việc sử dụng khóa riêng của chứng chỉ không?

Có. Sử dụng AWS CloudTrail bạn có thể xem lại bản ghi để biết khóa riêng cho các chứng chỉ được sử dụng khi nào.

Câu hỏi: Thông tin nhật ký nào được cung cấp từ AWS CloudTrail?

Bạn có thể xác định người dùng và tài khoản nào đã gọi các API AWS cho các dịch vụ được AWS CloudTrail hỗ trợ, địa chỉ IP nguồn thực hiện lệnh gọi và thời điểm xảy ra lệnh gọi. Ví dụ: bạn có thể xác định người dùng nào đã thực hiện lệnh gọi API để liên kết chứng chỉ do ACM cung cấp với Bộ cân bằng tải co giãn và khi nào dịch vụ Elastic Load Balancing giải mã khóa bằng lệnh gọi API KMS.

Tính phí

Câu hỏi: Tôi sẽ được tính phí như thế nào cho việc sử dụng các chứng chỉ ACM?

Các chứng chỉ riêng và công khai được cung cấp thông qua Trình quản lý chứng chỉ của AWS được sử dụng với các dịch vụ tích hợp ACM, chẳng hạn như các dịch vụ Cân bằng tải linh hoạt, Amazon CloudFront và Cổng API Amazon đều miễn phí. Bạn chỉ phải trả phí cho các tài nguyên AWS mà bạn tạo để chạy ứng dụng của mình. CA riêng của AWS có giá theo mức sử dụng; truy cập trang Giá CA riêng của AWS để biết thêm chi tiết và ví dụ.

Nhà cung cấp chứng chỉ riêng của AWS

Câu hỏi: Tôi có thể tìm thông tin về CA riêng của AWS ở đâu?

Vui lòng xem Câu hỏi thường gặp về AWS CA riêng để xem các câu hỏi về việc sử dụng AWS CA riêng.

Tìm hiểu về Nhà cung cấp chứng chỉ riêng trong Trình quản lý chứng chỉ của AWS

Truy cập trang.

Tìm hiểu thêm 
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS. 

Đăng ký 
Bắt đầu xây dựng trong bảng điều khiển

Bắt đầu xây dựng với AWS Certificate Manager trong Bảng điều khiển quản lý AWS.

Đăng nhập