请求公有证书 - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

请求公有证书

以下各部分讨论如何使用 ACM 控制台或 Amazon CLI 来请求公有 ACM 证书。请求公有证书后,必须完成 验证域所有权 中所述的其中一个程序。

公有 ACM 证书遵循 X.509 标准,并具有以下限制:

  • 名称:必须使用符合 DNS 的主题名称。有关更多信息,请参阅 域名

  • 算法:对于加密,证书私有密钥算法必须是 2048 位 RSA、256 位 ECDSA 或 384 位 ECDSA。

  • 有效期:每个证书的有效期为 13 个月(395 天)。

  • 续订:ACM 会在 11 个月后尝试自动续订私有证书。

如果在请求证书时遇到问题,请参阅排查证书请求问题

注意

管理员可以使用 ACM 条件密钥政策控制最终用户如何颁发新证书。这些条件密钥能够对域、验证方法以及与证书请求相关的其他属性施加限制。

注意

除非您选择退出,否则公开受信任的 ACM 证书将自动记录在至少两个证书透明度数据库中。目前,您不能使用控制台来选择退出。您必须使用 Amazon CLI 或 ACM API。有关更多信息,请参阅 选择退出证书透明度日志记录。有关透明度日志的一般信息,请参阅证书透明度日志

使用控制台请求公有证书

请求 ACM 公有证书(控制台)
  1. 登录Amazon管理控制台并从以下位置打开 ACM 控制台:https://console.aws.amazon.com/acm/home

    选择请求证书

  2. Domain names(域名)部分,键入您的域名。

    您可以使用完全限定域名 (FQDN)(例如 www.example.com),或者裸域名或顶点域名(例如 example.com)。您还可以在最左侧位置使用星号 (*) 作为通配符来保护同一域中的多个站点名称。例如,*.example.com 可以保护 corp.example.comimages.example.com。通配符名称将显示在 ACM 证书的 Subject(主题)字段和 Subject Alternative Name(主题替代名称)扩展中。

    请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 可以保护 login.example.comtest.example.com,但不能保护 test.login.example.com。另请注意,*.example.com 保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。要同时保护二者,请参阅下一个步骤。

    注意

    为满足 RFC 5280 要求,在此步骤中输入的域名(技术术语为“公用名”)的长度不能超过 64 个八位字节(字符),包括句点。但是,您(在下一步中)提供的每个后续主题替代名称 (SAN) 的长度最多可达 253 个八位字节。

    要添加其他名称,请选择 Add another name to this certificate (向此证书添加另一个名称),然后在文本框中键入名称。这对于同时保护裸域或顶点域(例如 example.com)及其子域(例如 *.example.com)非常有用。

  3. Validation method(验证方法)部分,根据您的需要选择 DNS validation – recommended(DNS 验证 – 推荐)或 Email validation(电子邮件验证)。

    注意

    如果您可以编辑 DNS 配置,建议使用 DNS 域验证而不是电子邮件验证。相对于电子邮件验证,DNS 验证有多种优势。请参阅DNS 验证

    ACM 在颁发证书之前,会验证您是否拥有或控制证书请求中的域名。您可以使用电子邮件验证或 DNS 验证。

    如果选择电子邮件验证,则对于每一个域名,ACM 都会将验证电子邮件发送到在 WHOIS 数据库中注册的三个联系人地址和最多五个常用系统管理地址。您或授权代表必须回复其中的一封电子邮件。有关更多信息,请参阅 电子邮件验证

    如果使用 DNS 验证,则只需将 ACM 提供的别名记录写入您的 DNS 配置。有关 DNS 验证的更多信息,请参阅DNS 验证

  4. Key algorithm(密钥算法)部分中,选择三种可用算法之一:

    • RSA 2048(默认)

    • ECDSA P 256

    • ECDSA P 384

    有关帮助您选择算法的信息,请参阅 密钥算法 和 Amazon 博客文章如何在 Amazon Certificate Manager 中评估和使用 ECDSA 证书

  5. Tags(标签)页面上,您可以选择为证书添加标签。标签是键值对,用作标识和组织Amazon资源的元数据。有关 ACM 标签参数的列表以及有关如何在创建证书后向证书添加标签的说明,请参阅 标记 Amazon Certificate Manager 证书

    完成添加标签后,选择 Request(请求)。

  6. 处理请求后,控制台将返回证书列表,其中会显示有关新证书的信息。

    在接到请求时,证书的状态将变为 Pending validation(等待验证),除非因故障排除主题证书请求失败中列出的任何原因导致请求失败。ACM 重复尝试验证书达 72 小时,然后超时。如果证书的状态显示为 Failed(已失败)或 Validation timed out(验证超时),则删除请求,更正 DNS 验证电子邮件验证问题,然后重试。如果验证成功,则证书的状态将变为 Issued(已颁发)。

    注意

    根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。

使用 CLI 请求公有证书

在命令行上使用 request-certificate 命令请求新的公有 ACM 证书。验证方法的可选值是 DNS 和 EMAIL(电子邮件)。密钥算法的可选值是 RSA_2048(如果未明确提供参数,则为默认值)、EC_prime256v1 和 EC_secp384r1。

aws acm request-certificate \ --domain-name www.example.com \ --key-algorithm EC_Prime256v1 \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED

此命令输出新公有证书的 Amazon Resource Name (ARN)。

{ "CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID" }