ACM 证书特征 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

ACM 证书特征

ACM 提供的公有证书具有本页上所述的一些特征。

注意

这些特征仅适用于 ACM 提供的证书。它们可能不适用于您导入到 ACM 中的证书

域验证 (DV)

ACM 证书需要经过域验证。也就是说,ACM 证书的主题字段仅标识域名。请求 ACM 证书时,您必须验证自己拥有或可以控制请求中指定的所有域。您可以通过使用电子邮件或 DNS 来验证所有权。有关更多信息,请参阅 电子邮件验证DNS 验证

有效期

目前,ACM 证书的有效期为 13 个月(395 天)。

托管续订和部署

ACM 管理续订 ACM 证书以及续订之后预置证书的过程。自动续订可以帮助您避免因证书配置错误、撤销或过期而导致的停机。有关更多信息,请参阅ACM 证书的托管续订

浏览器和应用程序信任

包括 Google Chrome、Microsoft Internet Explorer 和 Microsoft Edge、Mozilla Firefox 和 Apple Safari 在内的所有主要浏览器均信任 ACM 证书。通过 SSL/TLS 连接到使用 ACM 证书的站点时,信任 ACM 证书的浏览器会在其状态栏或地址栏中显示一个挂锁图标。Java 也信任 ACM 证书。

多个域名

每个 ACM 证书必须至少包括一个完全限定域名 (FQDN),并且您可以在需要时添加其它域名。例如,当您为 www.example.com 创建 ACM 证书时,您也可以添加名称 www.example.net,只要客户可以使用这两个名称之一访问您的站点即可。在空域方面 (也称为顶级域或裸域),情况同样如此。也就是说,您可以为 www.example.com 请求 ACM 证书并添加域名 example.com。有关更多信息,请参阅请求公有证书

通配符名称

ACM 允许您在域名中使用星号 (*) 来创建包含通配符名称的 ACM 证书,该证书可以保护同一个域中的多个站点。例如,*.example.com 可以保护 www.example.comimages.example.com

注意

请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 可以保护 login.example.comtest.example.com,但不能保护 test.login.example.com。另请注意,*.example.com 保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。但是,您可以通过在请求中指定多个域名来请求可保护空域或顶点域及其子域的证书。例如,您可以请求用于保护 example.com*.example.com 的证书。

算法

证书必须指定算法和密钥大小。目前,ACM 支持以下公有密钥算法(括号中为 API 名称):

  • 1024 位 RSA (RSA_1024)

  • 2048 位 RSA (RSA_2048)

  • 3072 位 RSA (RSA_3072)

  • 4096 位 RSA (RSA_4096)

  • Elliptic Prime Curve 256 位 (EC_prime256v1)

  • Elliptic Prime Curve 384 位 (EC_secp384r1)

  • Elliptic Prime Curve 521 位 (EC_secp521r1)

重要

请注意,集成服务仅允许将其支持的算法和密钥大小与其资源关联。此外,这种支持因证书是导入到 IAM 还是 ACM 而有所差别。有关更多信息,请参阅每个服务的 文档。

Punycode

必须满足以下与国际化域名有关的 Punycode 要求:

  1. 以“<character><character>--”模式开头的域名必须与“xn--”一致。

  2. 以“xn--”开头的域名也必须是有效的国际化域名。

Punycode 示例

域名

满足条件 1

满足条件 2

已允许

注意

example.com

不适用

不适用

不是以“<character><character>--”开头

a--example.com

不适用

不适用

不是以“<character><character>--”开头

abc--example.com

不适用

不适用

不是以“<character><character>--”开头

xn--xyz.com

有效的国际化域名(解析为简.com)

xn--example.com

不是有效的国际化域名

ab--example.com

必须以“xn--”开头
异常

请注意以下几点:

  • ACM 不提供扩展验证 (EV) 证书或企业验证 (OV) 证书。

  • ACM 不为 SSL/TLS 协议以外的任何其他协议提供证书。

  • 您不能使用 ACM 证书进行电子邮件加密。

  • 对于 ACM 证书,ACM 目前不允许您退出托管证书续订。此外,托管续订不适用于您导入到 ACM 中的证书。

  • 您无法为 Amazon 拥有的域名 (例如以 amazonaws.com、cloudfront.net 或 elasticbeanstalk.com 结尾的域名) 请求证书。

  • 您无法为 ACM 证书下载私有密钥。

  • 您不能在 Amazon Elastic Compute Cloud (Amazon EC2) 网站或应用程序上直接安装 ACM 证书。但是,您可以将自己的证书用于任何集成服务。有关更多信息,请参阅与 Amazon Certificate Manager 集成的服务