本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 证书和密钥的导入格式
<a name="import-certificate-format"></a>

ACM 要求您单独导入证书、证书链和私有密钥（如有），并以 PEM 格式对每个组件进行编码。PEM 代表 Privacy Enhanced Mail。PEM 格式经常用于表示证书、证书请求、证书链和密钥。PEM 格式文件的典型扩展名是 `.pem`，但这并非强制要求。

**注意**  
Amazon 不提供用于操作 PEM 文件或其他证书格式的实用程序。以下示例依赖于通用文本编辑器进行简单操作。如果您需要执行更复杂的任务（例如转换文件格式或提取密钥），随时可以使用免费的开源工具（如 [OpenSSL](https://www.openssl.org/docs/)）。

下面的示例介绍了要导入的文件格式。如果在单个文件中向您提供这些组件，请使用文本编辑器将它们拆分成三个文件（务必仔细）。注意，如果错误地编辑 PEM 文件中的任何字符，或者向任意行的末尾添加一个或多个空格，则证书、证书链或私有密钥无效。

**Example 1. PEM 编码的证书**  

```
-----BEGIN CERTIFICATE-----
{{Base64–encoded certificate}}
-----END CERTIFICATE-----
```

**Example 2. PEM 编码的证书链**  
一个证书链包含一个或多个证书。您可以使用文本编辑器、Windows 的 `copy` 命令或 Linux 的 `cat` 命令将证书文件连接到链中。证书必须按顺序连接，使得每个证书都直接认证前一个证书。如要导入私有证书，请最后复制根证书。以下示例包含三个证书，但您的证书链可能包含更多或更少的证书。  
不要将证书复制到证书链中。

```
-----BEGIN CERTIFICATE-----
{{Base64–encoded certificate}}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{Base64–encoded certificate}}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{Base64–encoded certificate}}
-----END CERTIFICATE-----
```

**Example 3. PEM 编码的私有密钥**  
X.509 版本 3 证书使用公有密钥算法。在创建 X.509 证书或证书请求时，需要指定创建私有-公有密钥对时必须使用的算法和密钥位大小。公有密钥放置在证书或请求中。您必须妥善保管关联的私有密钥。在导入证书时指定私有密钥。不得将密钥加密。下面的示例介绍一个 RSA 私有密钥。  

```
-----BEGIN PRIVATE KEY-----
{{Base64–encoded private key}}
-----END PRIVATE KEY-----
```
下面的示例介绍一个 PEM 编码的椭圆曲线私有密钥。根据您创建密钥的方式，可能不包含参数块。如果包含参数块，ACM 会在导入过程中使用此密钥前将其删除。  

```
-----BEGIN EC PARAMETERS-----
{{Base64–encoded parameters}}
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
{{Base64–encoded private key}}
-----END EC PRIVATE KEY-----
```