导入证书的先决条件 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

导入证书的先决条件

要将自签名 SSL/TLS 证书导入到 ACM 中,您必须提供证书及其私有密钥。要导入由非Amazon证书颁发机构(CA)签署的证书,您还须包含该证书的私有密钥、该证书的公有密钥以及证书链。您的证书必须满足本主题中描述的所有条件。

对于所有导入的证书,必须指定加密算法和密钥大小。ACM 支持以下算法(括号中为 API 名称):

  • 1024 位 RSA (RSA_1024)

  • 2048 位 RSA (RSA_2048)

  • 3072 位 RSA (RSA_3072)

  • 4096 位 RSA (RSA_4096)

  • Elliptic Prime Curve 256 位 (EC_prime256v1)

  • Elliptic Prime Curve 384 位 (EC_secp384r1)

  • Elliptic Prime Curve 521 位 (EC_secp521r1)

另请注意以下额外要求:

  • ACM 集成服务仅允许将其支持的算法和密钥大小与其资源关联。例如,CloudFront 仅支持 1024 位 RSA、2048 位 RSA 和 Elliptic Prime Curve 256 位密钥,而 Application Load Balancer 支持 ACM 提供的所有算法。有关详细信息,请参阅您使用的服务的文档。

  • 证书必须是 SSL/TLS X.509 版本 3 证书。它必须包含公有密钥、网站的完全限定域名 (FQDN) 或 IP 地址以及有关发布者的信息。

  • 证书可以由您拥有的私有密钥或发证 CA 的私有密钥进行自签名。

    如果证书为自签名证书,则必须提供私有密钥。私有密钥不得超过 5KB(5,120 字节),且必须未加密。

    如果证书由 CA 签名,则必须提供证书链,并且证书的加密算法必须与 CA 的算法匹配。例如,如果 CA 密钥类型为 RSA,则该证书的密钥类型也必须为 RSA。

  • 证书在导入时必须是有效的。在证书的有效期开始之前或结束之后,无法导入证书。NotBefore 证书字段包含有效期的开始日期,NotAfter 字段包含有效期的结束日期。

  • 需要的所有证书材料(证书、私有密钥和证书链)均采用 PEM 编码。上传 DER 编码的材料会导致错误。有关更多信息以及示例,请参阅 证书和密钥的导入格式

  • 续订(重新导入)证书时,如果先前导入的证书中没有扩展,则无法添加 KeyUsageExtendedKeyUsage 扩展。