请求公有证书 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

请求公有证书

以下各部分将讨论如何使用 ACM 控制台或 AWS CLI 来请求公有 ACM 证书。

如果在请求证书时遇到问题,请参阅排查证书请求问题

要使用私有证书颁发机构 (CA) 请求私有证书,请参阅

使用控制台请求公有证书

请求 ACM 公有证书(控制台)

  1. 登录 AWS 管理控制台,并通过以下网址打开 ACM 控制台:https://console.amazonaws.cn/acm/home

    选择请求证书

  2. Request a certificate (请求证书) 页面上,选择 Request a public certificate (请求公有证书)Request a certificate (请求证书) 以继续。

  3. Add domain names (添加域名) 页面上,键入您的域名。您可以使用完全限定域名 (FQDN)(例如 www.example.com),或者裸域名或顶点域名(例如 example.com)。您还可以在最左侧位置使用星号 (*) 作为通配符来保护同一域中的多个站点名称。例如,*.example.com 可以保护 corp.example.comimages.example.com。通配符名称将显示在 ACM 证书的 Subject (主题) 字段和 Subject Alternative Name (主题替代名称) 扩展中。

    注意

    请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 可以保护 login.example.comtest.example.com,但不能保护 test.login.example.com。另请注意,*.example.com 保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。要同时保护二者,请参阅下一个步骤。

  4. 要添加其他名称,请选择 Add another name to this certificate (向此证书添加另一个名称),然后在文本框中键入名称。这对于同时保护裸域或顶点域(例如 example.com)及其子域(例如 *.example.com)非常有用。

    完成添加名称后,选择 Next (下一步)

  5. Select validation method (选择验证方法) 页面上,根据您的需要选择 DNS validation (DNS 验证)Email validation (电子邮件验证)

    注意

    如果您可以编辑 DNS 配置,建议使用 DNS 域验证而不是电子邮件验证。相对于电子邮件验证,DNS 验证有多种优势。请参阅 使用 DNS 验证域所有权

    在 ACM 颁发证书之前,它会验证您是否拥有或可以控制证书请求中的域名。您可以使用电子邮件验证或 DNS 验证。如果选择电子邮件验证,则对于每一个域名,ACM 都会将验证电子邮件发送到在 WHOIS 数据库中注册的三个联系人地址和五个常用系统管理地址。您或授权代表必须回复其中的一封电子邮件。有关更多信息,请参阅使用电子邮件验证域所有权。如果使用 DNS 验证,则只需将 ACM 提供的 CNAME 记录写入您的 DNS 配置。有关 DNS 验证的更多信息,请参阅使用 DNS 验证域所有权

    选择验证方法后,选择 Next (下一步)

  6. Add tags (添加标签) 页面上,您可以选择为证书添加标签。标签是键/值对,用作标识和组织 AWS 资源的元数据。有关 ACM 标签参数的列表以及有关如何在创建后向证书添加标签的说明,请参阅为 AWS Certificate Manager 证书添加标签

    完成添加标签后,选择 Review (审核)

  7. 如果 Review (审核) 页面包含有关您请求的正确信息,请选择 Confirm and request (确认并请求)。确认页面显示正在处理您的请求,并且正在验证证书域。等待验证的证书处于 Pending validation (等待验证) 状态。

    重要

    除非您选择退出,否则您的证书将自动记录在至少两个公有证书透明度数据库中。目前,您不能使用控制台来选择退出。您必须使用 AWS CLI 或 API。有关更多信息,请参阅选择退出证书透明度日志记录。有关透明度日志的一般信息,请参阅证书透明度日志

    选择 Continue (继续) 以返回 ACM 控制台。

使用 CLI 请求公有证书

在命令行上使用 request-certificate 命令请求新的公有 ACM 证书。

aws acm request-certificate \ --domain-name www.example.com \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED

此命令输出新公有证书的 Amazon 资源名称 (ARN)。

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }