在 IAM 中管理服务器证书

要在 Amazon 中启用与您的网站或应用程序的 HTTPS 连接，您需要 SSL/TLS 服务器证书。对于 Amazon Certificate Manager (ACM) 支持的区域中的证书，我们建议您使用 ACM 预置、管理和部署您的服务器证书。在不支持的区域中，您必须将 IAM 作为证书管理器。要了解 ACM 支持的区域，请参阅 Amazon 一般参考中的 Amazon Certificate Manager 端点和配额。

只有当您必须在 ACM 不支持的区域中支持 HTTPS 连接时，才应使用 IAM 作为证书管理器。IAM 安全地加密您的私有密钥并将加密的版本存储在 IAM SSL 证书存储中。IAM 支持在所有区域部署服务器证书，但您必须从外部提供商获取证书，以便与 Amazon 搭配使用。您无法将 ACM 证书上传到 IAM。此外，您还无法从 IAM 控制台管理证书，

有关将第三方证书上传到 IAM 的更多信息，请参阅以下主题。

上传服务器证书 (Amazon API)

要将服务器证书上传到 IAM，您必须提供证书及其匹配的私有密钥。如果证书不是自签名的，则您还必须提供证书链。(上传自签名证书时无需证书链。) 在上传证书前，请确保您已具有所有这些项目而且它们满足以下条件：

要使用 IAM API 上传证书，请发送 UploadServerCertificate 请求。以下示例说明如何使用 Amazon Command Line Interface (Amazon CLI) 执行该操作。示例假定以下各项：

要使用以下示例命令，请用自己的文件名替换这些文件名。将 ExampleCertificate 替换为已上传证书的名称。如果要标记证书，请将 ExampleKey 和 ExampleValue 标签键值对替换为您自己的值。在一个连续行上键入命令。为更便于阅读，以下示例包含了换行符和多余的空格。

aws iam upload-server-certificate --server-certificate-name ExampleCertificate
                                    --certificate-body file://Certificate.pem
                                    --certificate-chain file://CertificateChain.pem
                                    --private-key file://PrivateKey.pem
                                    --tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'

如果上述命令执行成功，则它将返回有关上传的证书的元数据，包括其 Amazon Resource Name (ARN)、友好名称、标识符 (ID)、到期日期、标签等。

要使用 Amazon Tools for Windows PowerShell上传证书，请使用 Publish-IAMServerCertificate。

检索服务器证书 (Amazon API)

要使用 IAM API 检索证书，请发送 GetServerCertificate 请求。以下示例说明如何使用 Amazon CLI 执行该操作。将 ExampleCertificate 替换为要检索的证书的名称。

aws iam get-server-certificate --server-certificate-name ExampleCertificate

如果上述命令执行成功，则它将返回证书、证书链 (如果已上传一个) 和有关证书的元数据。

要使用 Amazon Tools for Windows PowerShell 检索证书，请使用 Get-IAMServerCertificate。

列出服务器证书 (Amazon API)

要使用 IAM API 列出您已上传的服务器证书，请发送 ListServerCertificates 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

aws iam list-server-certificates

如果上述命令执行成功，则它将返回包含有关每个证书的元数据的列表。

要使用 Amazon Tools for Windows PowerShell 列出您已上传的服务器证书，请使用 Get-IAMServerCertificates。

标记和取消标记服务器证书 (Amazon API)

您可以将标签附加到 IAM 资源以组织和控制对这些资源的访问。要使用 IAM API 为现有的服务器证书添加证书，请发送 TagServerCertificate 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

aws iam tag-server-certificate --server-certificate-name ExampleCertificate
                                 --tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'

上述命令成功后，不会返回任何输出。

要使用 IAM API 取消标记服务器证书，请发送 UntagServerCertificate 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

aws iam untag-server-certificate --server-certificate-name ExampleCertificate
                                 --tag-keys ExampleKeyName

上述命令成功后，不会返回任何输出。

重命名服务器证书或更新其路径 (Amazon API)

要使用 IAM API 重命名服务器证书或更新其路径，请发送 UpdateServerCertificate 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

要使用以下示例命令，请将旧的证书名称和证书路径替换为新的，然后在一个连续行上键入命令。为更便于阅读，以下示例包含了换行符和多余的空格。

aws iam update-server-certificate --server-certificate-name ExampleCertificate
                                    --new-server-certificate-name CloudFrontCertificate
                                    --new-path /cloudfront/

如果上述命令执行成功，则它不会返回任何输出

要使用 Amazon Tools for Windows PowerShell 重命名服务器证书或更新其路径，请使用 Update-IAMServerCertificate。

删除服务器证书 (Amazon API)

要使用 IAM API 删除服务器证书，请发送 DeleteServerCertificate 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

要使用以下示例命令，请将 ExampleCertificate 替换为要删除的证书的名称。

aws iam delete-server-certificate --server-certificate-name ExampleCertificate

如果上述命令执行成功，则它不会返回任何输出

要使用 Amazon Tools for Windows PowerShell 删除服务器证书，请使用 Remove-IAMServerCertificate。

问题排查

您必须先确保证书、私有密钥和证书链均是 PEM 编码的，然后才能将证书上传到 IAM。您还必须确保私有密钥是未加密的。请见以下示例。

-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----

如果这些项目在上传到 IAM 时未采用正确的格式，您可以使用 OpenSSL 将其转换为正确的格式。