ACM 证书特征
ACM 提供的公有证书具有本页上所述的一些特征。
这些特征仅适用于 ACM 提供的证书。它们可能不适用于您导入到 ACM 中的证书。
- 域验证 (DV)
-
ACM 证书需要经过域验证。也就是说,ACM 证书的主题字段仅标识域名。请求 ACM 证书时,您必须验证自己拥有或可以控制请求中指定的所有域。您可以通过使用电子邮件或 DNS 来验证所有权。有关更多信息,请参阅 电子邮件验证 和 DNS 验证。
- 有效期
-
目前,ACM 证书的有效期为 13 个月(395 天)。
- 托管续订和部署
-
ACM 管理续订 ACM 证书以及续订之后预置证书的过程。自动续订可以帮助您避免因证书配置错误、撤销或过期而导致的停机。有关更多信息,请参阅 ACM 证书的托管续订。
- 浏览器和应用程序信任
-
包括 Google Chrome、Microsoft Internet Explorer 和 Microsoft Edge、Mozilla Firefox 和 Apple Safari 在内的所有主要浏览器均信任 ACM 证书。通过 SSL/TLS 连接到使用 ACM 证书的站点时,信任 ACM 证书的浏览器会在其状态栏或地址栏中显示一个挂锁图标。Java 也信任 ACM 证书。
- 多个域名
-
每个 ACM 证书必须至少包括一个完全限定域名 (FQDN),并且您可以在需要时添加其它域名。例如,当您为
www.example.com
创建 ACM 证书时,您也可以添加名称www.example.net
,只要客户可以使用这两个名称之一访问您的站点即可。在空域方面 (也称为顶级域或裸域),情况同样如此。也就是说,您可以为 www.example.com 请求 ACM 证书并添加域名 example.com。有关更多信息,请参阅 请求公有证书。 - 通配符名称
-
ACM 允许您在域名中使用星号 (*) 来创建包含通配符名称的 ACM 证书,该证书可以保护同一个域中的多个站点。例如,
*.example.com
可以保护www.example.com
和images.example.com
。注意 请求通配符证书时,星号 (
*
) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com
可以保护login.example.com
和test.example.com
,但不能保护test.login.example.com
。另请注意,*.example.com
仅保护example.com
的子域,而不保护裸域或顶点域 (example.com
)。但是,您可以通过在请求中指定多个域名来请求可保护空域或顶点域及其子域的证书。例如,您可以请求用于保护example.com
和*.example.com
的证书。 - 算法
-
证书必须指定算法和密钥大小。目前,ACM 支持以下公有密钥算法:
-
2048 位 RSA (
RSA_2048
) -
4096 位 RSA (
RSA_4096
) -
Elliptic Prime Curve 256 位 (
EC_prime256v1
) -
Elliptic Prime Curve 384 位 (
EC_secp384r1
)
重要 请注意,集成服务仅允许将其支持的算法和密钥大小与其资源关联。此外,这种支持因证书是导入到 IAM 还是 ACM 而有所差别。有关更多信息,请参阅每个服务的 文档。
-
对于 Elastic Load Balancing,请参阅 Application Load Balancer 的 HTTPS 侦听器。
-
对于 CloudFront,请参阅受支持的 SSL/TLS 协议和密码。
-
- 异常
-
请注意以下几点:
-
ACM 不提供扩展验证 (EV) 证书或企业验证 (OV) 证书。
-
ACM 不为 SSL/TLS 协议以外的任何其他协议提供证书。
-
您不能使用 ACM 证书进行电子邮件加密。
-
ACM 仅允许在域名中使用 UTF-8 编码的 ASCII 字符,包括包含“xn--”(Punycode) 的标签。ACM 不接受在域名中使用 Unicode 输入(u 型标签)。
-
对于 ACM 证书,ACM 目前不允许您退出托管证书续订。此外,托管续订不适用于您导入到 ACM 中的证书。
-
您无法为 Amazon 拥有的域名 (例如以 amazonaws.com、cloudfront.net 或 elasticbeanstalk.com 结尾的域名) 请求证书。
-
您无法为 ACM 证书下载私有密钥。
-
您不能在 Amazon Elastic Compute Cloud (Amazon EC2) 网站或应用程序上直接安装 ACM 证书。但是,您可以将自己的证书用于任何集成服务。有关更多信息,请参阅 与 Amazon Certificate Manager 集成的服务。
-
ACM 不支持为包含连字符作为第三个和第四个字符的域名颁发或续订证书。例如,不允许使用以下域名:
ab--example.com
-