导出私有证书 - Amazon Certificate Manager
导出私有证书(控制台)导出私有证书 (CLI)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

导出私有证书

您可以导出 ACM Private CA 颁发的证书,以在私有 PKI 环境中的任何位置使用。导出的文件包含证书、证书链和加密的私有密钥。此文件必须安全存储。有关私有 ACM Private CA 的更多信息,请参阅 Amazon Certificate Manager Private Certificate Authority 用户指南

注意

不能导出公开信任的 ACM 证书或其私有密钥。

导出私有证书(控制台)

  1. 登录Amazon管理控制台并通过以下网址打开 ACM 控制台:https://console.aws.amazon.com/acm/home

  2. 选择 Certificate Manager

  3. 选择您要导出的证书。

  4. Actions 菜单上,选择 Export (private certificates only)

  5. 输入并确认私有密钥的密码。

    注意

    创建密码短语时,您可以使用除 #、$ 或 % 之外的任何 ASCII 字符。

  6. 选择 Generate PEM Encoding

  7. 您可以将证书、证书链和加密密钥复制到内存中,或者为每个选择 Export to a file

  8. 选择完成

导出私有证书 (CLI)

使用 export-certificate 命令导出私有证书和私有密钥。运行命令时,您必须指定密码。为了提高安全性,请使用文件编辑器将密码短语存储在文件中,然后通过提供文件来提供密码短语。这样可以防止密码存储在命令历史记录中,并防止在您键入密码时其他人看到密码。

注意

包含该密码的文件不得以行终止符结尾。您可以如下所示检查密码文件:

$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators

以下示例将命令输出发送到 jq 以便应用 PEM 格式。 

$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file  \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'

这会输出 base64 编码的 PEM 格式证书,还包含证书链和加密的私有密钥,如下面的简短示例所示。

-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----

要将所有内容输出到文件,请将 > 重定向器附加到上面的示例中,从而生成如下结果。 

$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt