导入证书的先决条件 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入证书的先决条件

要将自签名 SSL/TLS 证书导入到 ACM 中,您必须提供证书及其私有密钥。要导入签名证书,还必须包含证书链。证书必须符合以下标准:

  • 证书必须指定加密算法和密钥大小。ACM 支持下列算法:

    • 1024 位 RSA (RSA_1024)

    • 2048 位 RSA (RSA_2048)

    • 4096 位 RSA (RSA_4096)

    • Elliptic Prime Curve 256 位 (EC_prime256v1)

    • Elliptic Prime Curve 384 位 (EC_secp384r1)

    • Elliptic Prime Curve 521 位 (EC_secp521r1)

重要

请注意,集成服务仅允许将其支持的算法和密钥大小与其资源关联。例如,若要与 CloudFront 集成,公有密钥长度必须是 1024 或 2048 位。有关更多信息,请参阅每个服务的 文档。

  • 证书必须是 SSL/TLS X.509 版本 3 证书。它必须包含公有密钥、网站的完全限定域名 (FQDN) 或 IP 地址以及有关发布者的信息。证书可以由您的私有密钥或发证 CA 的私有密钥进行自签名。如果证书由 CA 签名,则在导入证书时必须包含证书链。

  • 证书在导入时必须是有效的。在证书的有效期开始之前或结束之后,无法导入证书。NotBefore 证书字段包含有效期的开始日期,NotAfter 字段包含有效期的结束日期。

  • 私有密钥必须是未加密的。您不能导入受密码或口令保护的私有密钥。

  • 证书、私有密钥和证书链必须采用 PEM 编码。–有关更多信息以及示例,请参阅 证书和密钥的导入格式

  • 所导入证书的加密算法必须与签名 CA 的加密算法匹配。例如,如果签名 CA 的密钥类型为 RSA,则该证书的密钥类型也必须为 RSA。