本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 证书管理 您可以使用 ACM 控制台或 Amazon CLI 来管理账户中的证书。 + [列出证书](gs-acm-list.md) 查看 ACM 管理的证书。显示的列表包含有关每个证书的摘要信息。 + [查看 证书详细信息](gs-acm-describe.md) 查看单个证书的详细信息。 + [删除证书](gs-acm-delete.md) 将其从您的账户中移除。删除的证书可能会在删除后的短时间内出现在列表中。 # 列出由管理的证书 Amazon Certificate Manager 列出证书 您可以使用 ACM 控制台或 Amazon CLI 列出 ACM 管理的证书。控制台在一个页面中最多可以列出 500 个证书,CLI 最多可以列出 1000 个证书。 **使用控制台列出证书** 1. 打开 ACM 控制台,网址为。[https://console.aws.amazon.com/acm/](https://console.amazonaws.cn/acm/) 1. 查看证书列表中的信息。您可以使用右上角的页码浏览多页证书。每个证书占据一行,默认情况下为每个证书显示以下列: + **Domain Name(域名)**– 证书的完全限定域名 (FQDN)。 + **Type**(类型)– 证书的类型。可能的值包括:**Amazon issued**(Amazon 已颁发)\$1 **Private**(私有)\$1 **Imported**(已导入) + **Status(状态)**– 证书状态。可能的值包括:**Pending validation**(等待验证)\$1 **Issued**(已颁发)\$1 **Inactive**(非活动)\$1 **Expired**(已过期)\$1 **Revoked**(已吊销)\$1 **Failed**(失败)\$1 **Validation timed out**(验证超时) + **正在使用?** — ACM 证书是否与诸如 Elastic Load Balancing 之类的 Amazon 服务主动关联还是。 CloudFront值可以是 **No** 或 **Yes**。 + **Renewal eligibility**(续订资格) – 当证书临近到期时,ACM 是否可以自动续订证书。可能的值为:**Eligible**(有资格) \$1 **Ineligible**(没有资格)。有关资格规则,请参阅 [中的托管证书续订 Amazon Certificate Manager](managed-renewal.md)。 通过选择控制台右上角的设置图标,您可以自定义页面上显示的证书数量、指定单元格内容的换行方式以及显示其他信息字段。以下可选字段可用: + **Additional domain names**(其他域名) – 证书中包含的一个或多个域名(主题备用名称)。 + **Requested at**(请求时间) – ACM 请求证书的时间。 + **Issued at**(颁发时间) – 颁发证书的时间。此信息仅适用于 Amazon 颁发的证书,不适用于导入的证书。 + **Not before**(不早于) – 证书无效之前的时间。 + **Not after**(不晚于) – 在该时间之后证书失效。 + **Revoked at**(吊销时间) – 对于已吊销的证书,这是指吊销时间。 + **Name tag**(名称标签) – 此证书上名为 *Name* 的标签的值(如果存在这样的标签)。 + **Renewal status**(续订状态)- 证书请求续订的状态。只有在请求续订时,此字段才会显示并具有值。可能的值为:**Pending automatic renewal**(待自动续订)\$1 **Pending validation**(待验证)\$1 **Success**(成功)\$1 **Failure**(失败)。 **注意** 对证书状态的更改可能需要数小时才能生效。如果遇到问题,则证书请求会在 72 小时后超时,并且必须从头开始重复颁发或续订过程。 **Page size**(页面大小)首选项指定了每个控制台页面上返回的证书数量。 有关可用证书详细信息的更多信息,请参阅 [查看 Amazon Certificate Manager 证书详情](gs-acm-describe.md)。 **要列出您的证书,请使用 Amazon CLI** 使用 [list-certificates](https://docs.amazonaws.cn/cli/latest/reference/acm/list-certificates.html) 命令列出 ACM 管理的证书,如以下示例所示: ``` $ aws acm list-certificates --max-items 10 ``` 命令返回类似于下文的信息: ``` { "CertificateSummaryList": [ { "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID", "DomainName": "example.com" "SubjectAlternativeNameSummaries": [ "example.com", "other.example.com" ], "HasAdditionalSubjectAlternativeNames": false, "Status": "ISSUED", "Type": "IMPORTED", "KeyAlgorithm": "RSA-2048", "KeyUsages": [ "DIGITAL_SIGNATURE", "KEY_ENCIPHERMENT" ], "ExtendedKeyUsages": [ "NONE" ], "InUse": false, "RenewalEligibility": "INELIGIBLE", "NotBefore": "2022-06-14T23:42:49+00:00", "NotAfter": "2032-06-11T23:42:49+00:00", "CreatedAt": "2022-08-25T19:28:05.531000+00:00", "ImportedAt": "2022-08-25T19:28:05.544000+00:00" },... ] } ``` 预设情况下,只返回具有 **keyTypes** `RSA_1024` 或 `RSA_2048` 并且至少有一个指定域的证书。要查看您控制的其他证书,例如无域证书或使用不同算法或位大小的证书,请提供 `--includes` 参数,如以下示例所示。利用此参数,您可以指定[筛选器](https://docs.amazonaws.cn/acm/latest/APIReference/API_Filters.html)结构的成员。 ``` $ aws acm list-certificates --max-items 10 --includes keyTypes=RSA_4096 ``` # 查看 Amazon Certificate Manager 证书详情 查看 证书详细信息 您可以使用 ACM 控制台或列 Amazon CLI 出有关您的证书的详细元数据。 **在控制台中查看证书详细信息** 1. 打开 ACM 控制台[https://console.aws.amazon.com/acm/](https://console.amazonaws.cn/acm/)以显示您的证书。您可以使用右上角的页码浏览多页证书。 1. 要显示所列证书的详细元数据,请选择证书 ID。此时将打开页面,其中显示以下信息: + **证书状态** + **Identifier**(标识符)– 证书的 32 字节十六进制唯一标识符 + **ARN** - `arn:aws:acm:Region:444455556666:certificate/certificate_ID` 格式的 Amazon Resource Name (ARN) + **Type(类型)**- 标识 ACM 证书的管理类别。可能的值有:**Amazon Issued(Amazon 已颁发)**\$1**Private(私有)**\$1**Imported(导入)**。有关更多信息,请参阅 [Amazon Certificate Manager 公共证书](gs-acm-request-public.md)或 [将证书导入 Amazon Certificate Manager](import-certificate.md)。 + **Status**(状态)– 证书状态。可能的值包括:**Pending validation**(等待验证)\$1 **Issued**(已颁发)\$1 **Inactive**(非活动)\$1 **Expired**(已过期)\$1 **Revoked**(已吊销)\$1 **Failed**(失败)\$1 **Validation timed out**(验证超时) + **Detailed status**(详细状态)- 颁发或导入证书的日期和时间 + **域** + **Domain**(域)– 证书的完全限定域名 (FQDN)。 + **Status**(状态)– 域验证状态。可能的值包括:**Pending validation**(等待验证)\$1 **Revoked**(已吊销)\$1 **Failed**(失败)\$1 **Validation timed out**(验证超时)\$1 **Success**(成功) + **详细信息** + **正在使用?** – 证书是否与[Amazon 集成服务](acm-services.md)关联,可能的值有:**Yes(是)**\$1**No(否)** + **Domain name**(域名)– 证书的完全限定域名 (FQDN)。 + **Managed by**(管理者)- 标识使用 ACM 管理证书的 Amazon 服务。 + **Number of additional names**(其他名称的数量)– 证书对其有效的域名数 + **Serial number**(序列号)- 证书的 16 字节十六进制序列号 + **Public key info**(公有密钥信息)- 生成密钥对的加密算法 + **Signature algorithm(签名算法)**- 用于对证书进行签名的加密算法。 + **Can be used with**(可以用于)- 支持具有这些参数的证书的 ACM [集成服务](https://docs.amazonaws.cn/acm/latest/userguide/acm-services.html)列表 + **Requested at**(请求时间)– 颁发请求的日期和时间 + **Issued at**(颁发时间)– 颁发的日期和时间(如果适用) + **Imported at**(导入时间)– 导入的日期和时间(如果适用) + **Not before**(不早于)– 证书有效期的开始时间 + **Not after**(不晚于)- 证书的到期日期和时间。 + **Renewal eligibility**(续订资格)– 可能的值为:**Eligible**(有资格)\$1 **Ineligible**(没有资格)。有关资格规则,请参阅 [中的托管证书续订 Amazon Certificate Manager](managed-renewal.md)。 + **Renewal status**(续订状态)- 证书请求续订的状态。只有在请求续订时,此字段才会显示并具有值。可能的值为:**Pending automatic renewal**(待自动续订)\$1 **Pending validation**(待验证)\$1 **Success**(成功)\$1 **Failure**(失败)。 **注意** 对证书状态的更改可能需要数小时才能生效。如果遇到问题,则证书请求会在 72 小时后超时,并且必须从头开始重复颁发或续订过程。 + **CA** – 签名 CA 的 ARN + **标签** + **键** + **值** + **Validation state(验证状态)**- 如果适用,可能的值为: + **Pending(挂起)**– 已请求验证,但尚未完成。 + **Validation timed out(验证超时)**- 请求的验证已超时,但您可以重复该请求。 + **None(无)**- 证书用于私有 PKI 或自签名,不需要验证。 **要查看证书详细信息,请使用 Amazon CLI** 使用中的[描述证书](https://docs.amazonaws.cn/cli/latest/reference/acm/describe-certificate.html)显示证书详细信息,如以下命令所示: Amazon CLI ``` $ aws acm describe-certificate --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID ``` 命令返回类似于下文的信息: ``` { "Certificate": { "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID", "Status": "EXPIRED", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED" }, "SubjectAlternativeNames": [ "example.com", "www.example.com" ], "DomainName": "gregpe.com", "NotBefore": 1450137600.0, "RenewalEligibility": "INELIGIBLE", "NotAfter": 1484481600.0, "KeyAlgorithm": "RSA-2048", "InUseBy": [ "arn:aws:cloudfront::account:distribution/E12KXPQHVLSYVC" ], "SignatureAlgorithm": "SHA256WITHRSA", "CreatedAt": 1450212224.0, "IssuedAt": 1450212292.0, "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE" }, { "Name": "KEY_ENCIPHERMENT" } ], "Serial": "07:71:71:f4:6b:e7:bf:63:87:e6:ad:3c:b2:0f:d0:5b", "Issuer": "Amazon", "Type": "AMAZON_ISSUED", "ExtendedKeyUsages": [ { "OID": "1.3.6.1.5.5.7.3.1", "Name": "TLS_WEB_SERVER_AUTHENTICATION" }, { "OID": "1.3.6.1.5.5.7.3.2", "Name": "TLS_WEB_CLIENT_AUTHENTICATION" } ], "DomainValidationOptions": [ { "ValidationEmails": [ "hostmaster@example.com", "admin@example.com", "postmaster@example.com", "webmaster@example.com", "administrator@example.com" ], "ValidationDomain": "example.com", "DomainName": "example.com" }, { "ValidationEmails": [ "hostmaster@example.com", "admin@example.com", "postmaster@example.com", "webmaster@example.com", "administrator@example.com" ], "ValidationDomain": "www.example.com", "DomainName": "www.example.com" } ], "Subject": "CN=example.com" } } ``` # 删除由管理的证书 Amazon Certificate Manager 删除证书 您可以使用 ACM 控制台或 Amazon CLI 删除证书。删除票证具有最终一致性。证书在删除后可能会短时间出现在列表中。 **重要** 您无法删除正在由其他 Amazon 服务使用的 ACM 证书。要删除正在使用的证书,您必须先删除证书关联。这是使用*相关服务*的控制台或 CLI 完成的。 删除由私有证书颁发机构 (CA) 颁发的证书对 CA 没有影响。您将继续为 CA 支付费用,直到删除该 CA 为止。有关更多信息,请参阅*《Amazon 私有证书颁发机构 用户指南》*中的[删除私有证书](https://docs.amazonaws.cn/privateca/latest/userguide/PCADeleteCA.html)。 **使用控制台删除证书** 1. 打开 ACM 控制台,网址为。[https://console.aws.amazon.com/acm/](https://console.amazonaws.cn/acm/) 1. 在证书列表中,选中 ACM 证书对应的复选框,然后选择 **Delete**(删除)。 **注意** 根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。 **要使用删除证书 Amazon CLI** 使用 [delete-certificate](https://docs.amazonaws.cn/cli/latest/reference/acm/delete-certificate.html) 命令删除证书,如以下命令所示: ``` $ aws acm delete-certificate --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID ```