ACM 证书特征
ACM 提供的公有证书具有本页上所述的一些特征。
这些特征仅适用于 ACM 提供的证书。它们可能不适用于您导入到 ACM 中的证书。
- 证书颁发机构和层次结构
-
您通过 ACM 申请的公共证书是从 Amazon Trust Services
获得的,这是 Amazon 管理的公共证书颁发机构 (CA)。Amazon Root CA 1 到 4 由名为 Starfield G2 Root Certificate Authority - G2 的早期根交叉签名。Starfield 根在 Android 设备上受到信任,从较高版本的 Gingerbread 开始,而在 iOS 上则从 4.1 版本开始受到信任。iOS 从版本 11 开始信任 Amazon 根。任何包含 Amazon 或 Starfield 根的浏览器、应用程序或操作系统都将信任从 ACM 获得的公共证书。 ACM 向客户颁发的叶或终端实体证书的授权来自 Amazon Trust Services 根 CA,通过多个中间 CA 中的任何一个提供。ACM 根据申请的证书类型(RSA 或 ECDSA)随机分配中间 CA。由于中间 CA 是在生成请求后随机选择的,因此 ACM 不提供中间 CA 信息。
- 浏览器和应用程序信任
-
包括 Google Chrome、Microsoft Internet Explorer 和 Microsoft Edge、Mozilla Firefox 和 Apple Safari 在内的所有主要浏览器均信任 ACM 证书。通过 SSL/TLS 连接到使用 ACM 证书的站点时,信任 ACM 证书的浏览器会在其状态栏或地址栏中显示一个挂锁图标。Java 也信任 ACM 证书。
- 中间 CA 和根 CA 轮换
-
为了保持弹性和灵活的证书基础设施,Amazon 可以随时选择终止中间 CA,恕不另行通知。此类变更对客户没有影响。有关更多信息,请参阅博客文章 "Amazon introduces dynamic intermediate certificate authorities"
(Amazon 引入动态中间证书颁发机构)。 万一 Amazon 终止根 CA,则将在情况需要时尽快执行此类变更。由于此类变更的影响很大,Amazon 将使用所有可用的机制通知 Amazon 客户,包括 Amazon Health Dashboard、向账户所有者发送电子邮件以及对外联系技术客户经理。
- 用于吊销的防火墙访问权
-
如果终端实体证书不再可信,则该证书将被吊销。OCSP 和 CRL 是用于验证证书是否已被吊销的标准机制。OCSP 和 CRL 是用于发布吊销信息的标准机制。某些客户防火墙可能需要额外的规则才能使这些机制发挥作用。
以下示例 URL 通配符模式可用于识别吊销流量。星号 (*) 通配符代表一个或多个字母数字字符,问号 (?) 代表单个字母数字字符,哈希标记 (#) 则代表数字。
-
OCSP
http://ocsp.?????.amazontrust.comhttp://ocsp.*.amazontrust.com -
CRL
http://crl.?????.amazontrust.com/?????.crlhttp://crl.*.amazontrust.com/*.crl如果存在 CRL 分区,则其他 URL 采用以下格式:
http://crl.?????.amazontrust.com/?????p##.crl
-
- 域验证 (DV)
-
ACM 证书需要经过域验证。也就是说,ACM 证书的主题字段仅标识域名。请求 ACM 证书时,您必须验证自己拥有或可以控制请求中指定的所有域。您可以通过使用电子邮件或 DNS 来验证所有权。有关更多信息,请参阅 电子邮件验证 和 DNS 验证。
- 有效期
-
目前,ACM 证书的有效期为 13 个月(395 天)。
- 托管续订和部署
-
ACM 管理续订 ACM 证书以及续订之后预置证书的过程。自动续订可以帮助您避免因证书配置错误、撤销或过期而导致的停机。有关更多信息,请参阅ACM 证书的托管续订。
- 多个域名
-
每个 ACM 证书必须至少包括一个完全限定域名 (FQDN),并且您可以在需要时添加其它域名。例如,当您为
www.example.com创建 ACM 证书时,您也可以添加名称www.example.net,只要客户可以使用这两个名称之一访问您的站点即可。在空域方面 (也称为顶级域或裸域),情况同样如此。也就是说,您可以为 www.example.com 请求 ACM 证书并添加域名 example.com。有关更多信息,请参阅请求公有证书。 - 通配符名称
-
ACM 允许您在域名中使用星号 (*) 来创建包含通配符名称的 ACM 证书,该证书可以保护同一个域中的多个站点。例如,
*.example.com可以保护www.example.com和images.example.com。注意 请求通配符证书时,星号 (
*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com可以保护login.example.com和test.example.com,但不能保护test.login.example.com。另请注意,*.example.com仅保护example.com的子域,而不保护裸域或顶点域 (example.com)。但是,您可以通过在请求中指定多个域名来请求可保护空域或顶点域及其子域的证书。例如,您可以请求用于保护example.com和*.example.com的证书。 - 密钥算法
-
证书必须指定算法和密钥大小。目前,ACM 支持以下 RSA 和椭圆曲线数字签名算法 (ECDSA) 公有密钥算法。ACM 可以使用标有星号 (*) 的算法请求颁发新证书。导入的证书仅支持其余算法。
-
RSA 1024 位 (
RSA_1024) -
RSA 2048 位 (
RSA_2048)* -
RSA 3072 位 (
RSA_3072) -
RSA 4096 位 (
RSA_4096) -
ECDSA 256 位 (
EC_prime256v1)* -
ECDSA 384 位 (
EC_secp384r1)* -
ECDSA 521 位 (
EC_secp521r1)
ECDSA 密钥更小,提供的安全性与 RSA 密钥相当,但计算效率更高。但是,并非所有网络客户端都支持 ECDSA。下表改编自 NIST
,显示了 RSA 和 ECDSA 具有代表性的安全强度以及各种大小的密钥。所有值均以位为单位。 比较算法和密钥的安全性安全强度
RSA 密钥大小
ECDSA 密钥大小
128
3072 256 192
7680 384 256
15360 512 安全强度被理解为 2 的幂,与破解加密所需的猜测次数有关。例如,3072 位 RSA 密钥和 256 位 ECDSA 密钥都可以通过不超过 2128 次猜测来检索。
有关帮助您选择算法的信息,请参阅 Amazon 博客文章如何在 Amazon Certificate Manager 中评估和使用 ECDSA 证书
。 重要 请注意,集成服务仅允许将其支持的算法和密钥大小与其资源关联。此外,这种支持因证书是导入到 IAM 还是 ACM 而有所差别。有关更多信息,请参阅每个服务的 文档。
-
对于 Elastic Load Balancing,请参阅 Application Load Balancer 的 HTTPS 侦听器。
-
对于 CloudFront,请参阅受支持的 SSL/TLS 协议和密码。
-
- Punycode
-
-
以“<character><character>--”模式开头的域名必须与“xn--”一致。
-
以“xn--”开头的域名也必须是有效的国际化域名。
Punycode 示例域名
满足条件 1
满足条件 2
已允许
注意
example.com
不适用
不适用
✓
不是以“<character><character>--”开头
a--example.com
不适用
不适用
✓
不是以“<character><character>--”开头
abc--example.com
不适用
不适用
✓
不是以“<character><character>--”开头
xn--xyz.com
是
是
✓
有效的国际化域名(解析为简.com)
xn--example.com
是
否
✗
不是有效的国际化域名
ab--example.com
否
否
✗
必须以“xn--”开头
-
- 异常
-
请注意以下几点:
-
ACM 不提供扩展验证 (EV) 证书或企业验证 (OV) 证书。
-
ACM 不为 SSL/TLS 协议以外的任何其他协议提供证书。
-
您不能使用 ACM 证书进行电子邮件加密。
-
对于 ACM 证书,ACM 目前不允许您退出托管证书续订。此外,托管续订不适用于您导入到 ACM 中的证书。
-
您无法为 Amazon 拥有的域名 (例如以 amazonaws.com、cloudfront.net 或 elasticbeanstalk.com 结尾的域名) 请求证书。
-
您无法为 ACM 证书下载私有密钥。
-
您不能在 Amazon Elastic Compute Cloud (Amazon EC2) 网站或应用程序上直接安装 ACM 证书。但是,您可以将自己的证书用于任何集成服务。有关更多信息,请参阅与 Amazon Certificate Manager 集成的服务。
-