证书和密钥的导入格式 - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

证书和密钥的导入格式

ACM 要求您单独导入证书、证书链和私有密钥(如有),并以 PEM 格式对每个组件进行编码。PEM 代表 Privacy Enhanced Mail。PEM 格式经常用于表示证书、证书请求、证书链和密钥。PEM 格式文件的典型扩展名是 .pem,但这并非强制要求。

注意

Amazon 不提供用于操作 PEM 文件或其他证书格式的实用程序。以下示例依赖于通用文本编辑器进行简单操作。如果您需要执行更复杂的任务(例如转换文件格式或提取密钥),随时可以使用免费的开源工具(如 OpenSSL)。

下面的示例介绍了要导入的文件格式。如果在单个文件中向您提供这些组件,请使用文本编辑器将它们拆分成三个文件(务必仔细)。注意,如果错误地编辑 PEM 文件中的任何字符,或者向任意行的末尾添加一个或多个空格,则证书、证书链或私有密钥无效。

例 1. PEM 编码的证书
-----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
例 2. PEM 编码的证书链

一个证书链包含一个或多个证书。您可以使用文本编辑器、Windows 的 copy 命令或 Linux 的 cat 命令将证书文件连接到链中。证书必须按顺序连接,使得每个证书都直接认证前一个证书。如要导入私有证书,请最后复制根证书。以下示例包含三个证书,但您的证书链可能包含更多或更少的证书。

重要

不要将证书复制到证书链中。

-----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
例 3. PEM 编码的私有密钥

X.509 版本 3 证书使用公有密钥算法。在创建 X.509 证书或证书请求时,需要指定创建私有-公有密钥对时必须使用的算法和密钥位大小。公有密钥放置在证书或请求中。您必须妥善保管关联的私有密钥。在导入证书时指定私有密钥。不得将密钥加密。下面的示例介绍一个 RSA 私有密钥。

-----BEGIN RSA PRIVATE KEY----- Base64–encoded private key -----END RSA PRIVATE KEY-----

下面的示例介绍一个 PEM 编码的椭圆曲线私有密钥。根据您创建密钥的方式,可能不包含参数块。如果包含参数块,ACM 会在导入过程中使用此密钥前将其删除。

-----BEGIN EC PARAMETERS----- Base64–encoded parameters -----END EC PARAMETERS----- -----BEGIN EC PRIVATE KEY----- Base64–encoded private key -----END EC PRIVATE KEY-----