导入证书的先决条件 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

导入证书的先决条件

要将自签名 SSL/TLS 证书导入到 ACM 中,您必须提供证书及其私有密钥。要导入由证书颁发机构 (CA) 签名的证书,必须包含证书链。证书必须符合以下标准:

  • 证书必须指定加密算法和密钥大小。ACM 支持以下算法(括号中为 API 名称):

    • 1024 位 RSA (RSA_1024)

    • 2048 位 RSA (RSA_2048)

    • 3072 位 RSA (RSA_3072)

    • 4096 位 RSA (RSA_4096)

    • Elliptic Prime Curve 256 位 (EC_prime256v1)

    • Elliptic Prime Curve 384 位 (EC_secp384r1)

    • Elliptic Prime Curve 521 位 (EC_secp521r1)

  • ACM 集成服务仅允许将其支持的算法和密钥大小与其资源关联。例如,CloudFront 仅支持 1024 位 RSA、2048 位 RSA 和 Elliptic Prime Curve 256 位密钥,而 Application Load Balancer 支持 ACM 提供的所有算法。有关详细信息,请参阅您使用的服务的文档。

  • 证书必须是 SSL/TLS X.509 版本 3 证书。它必须包含公有密钥、网站的完全限定域名 (FQDN) 或 IP 地址以及有关发布者的信息。证书可以由您的私有密钥或发证 CA 的私有密钥进行自签名。如果证书由 CA 签名,则在导入证书时必须包含证书链。

  • 证书在导入时必须是有效的。在证书的有效期开始之前或结束之后,无法导入证书。NotBefore 证书字段包含有效期的开始日期,NotAfter 字段包含有效期的结束日期。

  • 私有密钥必须是未加密的。您不能导入受密码或口令保护的私有密钥。

  • 导入证书的私有密钥不得大于 5 KB(5,120 字节)。

  • 证书、私有密钥和证书链必须采用 PEM 编码。有关更多信息以及示例,请参阅 证书和密钥的导入格式

  • 所导入证书的加密算法必须与签名 CA 的加密算法匹配。例如,如果签名 CA 的密钥类型为 RSA,则该证书的密钥类型也必须为 RSA。

  • 如果 KeyUsage 扩展名不存在于之前导入的证书中,则无法添加。

  • 如果 ExtendedKeyUsage 扩展名不存在于之前导入的证书中,则无法添加。