一般性问题
问:什么是 Amazon Certificate Manager (ACM)?
Amazon Certificate Manager 是一项服务,可帮助您轻松地预置、管理和部署公有安全套接字层/传输层安全性 (SSL/TLS) 证书,以便用于 亚马逊云科技 服务和您的内部互联资源。SSL/TLS 证书用于保护网络通信的安全,并确认网站在互联网上的身份以及资源在私有网络上的身份。使用 Amazon Certificate Manager,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。利用 Amazon Certificate Manager,您可以快速请求证书,在 亚马逊云科技 资源(如 Elastic Load Balancer、和 API Gateway 上的 API)上部署该证书,并让 Amazon Certificate Manager 处理证书续订事宜。通过 Amazon Certificate Manager 预置的专用于 ACM 集成服务(例如 Elastic Load Balancing 和 Amazon API Gateway)的公有 SSL/TLS 证书是免费的。您只需为您创建的用于运行应用程序的 亚马逊云科技 资源付费。
问:什么是 SSL/TLS 证书?
SSL/TLS 证书使 Web 浏览器能够标识使用安全套接字层/传输层安全性 (SSL/TLS) 协议的网站并与之建立加密的网络连接。证书在被称为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。可在《ACM 用户指南》中的概念主题查看更多背景信息和定义。
问:使用 Amazon Certificate Manager (ACM) 有什么好处?
借助 ACM,您可以更加轻松地为 亚马逊云科技 平台上的网站或应用程序启用 SSL/TLS。使用 ACM,您无需再像之前那样经历与使用和管理 SSL/TLS 证书相关的大量手动流程。ACM 还可管理证书续订,从而帮助您避免因证书配置错误、吊销或过期而导致的停机。您可获得 SSL/TLS 保护并轻松管理证书。为面向 Internet 的站点启用 SSL/TLS 有助于提高站点的搜索排名,并帮助您满足加密动态数据的合规性要求。当您使用 ACM 管理证书时,它会应用强加密和密钥管理最佳实践来确保证书私有密钥得到安全保护和存储。通过 ACM,您可以使用 亚马逊云科技 管理控制台、Amazon CLI 或 Amazon Certificate Manager API 来集中管理 亚马逊云科技 中国区域中的所有 SSL/TLS ACM 证书。ACM 与其他 亚马逊云科技 服务集成,因此您可以请求 SSL/TLS 证书,然后通过 亚马逊云科技 管理控制台、Amazon CLI 命令或 API 调用,为 Elastic Load Balancing 负载均衡器预置证书。
问:可以使用 ACM 创建和管理哪些类型的证书?
使用 ACM,您可以管理公有证书的生命周期。ACM 的功能取决于证书是否为公有证书、您获得证书的方式,以及证书的部署位置。请参阅“ACM 公有证书”,了解有关公有证书的更多信息。公有证书 – ACM 管理用于 ACM 集成服务(包括 Elastic Load Balancing 和 Amazon API Gateway)的公有证书的续订和部署。已导入证书 – 如果想将第三方证书与 Elastic Load Balancing 或 Amazon API Gateway 配合使用,您可以使用 亚马逊云科技 管理控制台、Amazon CLI 或 ACM API 将该证书导入 ACM。ACM 不会管理已导入证书的续订流程。您负责监控所导入证书的到期日期,并在到期之前续订。您可以使用 亚马逊云科技 管理控制台监控已导入证书的到期日期,并导入新的第三方证书来替换即将到期的证书。
问:如何开始使用 ACM?
要开始使用 Amazon Certificate Manager,请导航到 亚马逊云科技 管理控制台中的“证书管理”,使用向导请求 SSL/TLS 证书,然后输入您的站点名称。您也可以使用 Amazon CLI 或 API 请求证书。证书颁发后,您可以将其用于与 ACM 集成的其他 亚马逊云科技 服务。对于每项集成的服务,您只需在 亚马逊云科技 管理控制台中从下拉列表中选择所需的 SSL/TLS 证书即可。或者,您也可以执行一个 Amazon CLI 命令或调用一个 Amazon API,将该证书与您的资源关联起来。集成的服务随后会将该证书部署到您选择的资源。有关请求和使用 Amazon Certificate Manager 提供的证书的更多信息,请访问《Amazon Certificate Manager 用户指南》中的入门。
问:可以将 ACM 证书用于哪些 亚马逊云科技 服务?
您可以将公有 ACM 证书用于以下 亚马逊云科技 服务:
- Elastic Load Balancing – 请参阅 Elastic Load Balancing 文档
- Amazon API Gateway – 请参阅 API Gateway 文档
- Amazon Elastic Beanstalk – 请参阅 Amazon Elastic Beanstalk 文档
- Amazon CloudFormation – 目前仅支持使用电子邮件验证的公有证书。请参阅 Amazon CloudFormation 文档。
问:ACM 已在哪些区域提供?
请访问 亚马逊云科技 中国区域表页面,了解目前提供 亚马逊云科技 服务的区域。
ACM 证书
问:ACM 管理哪些类型的证书?
ACM 管理公有证书和导入证书。请参阅 [问:如何使用 ACM 管理证书?],详细了解 ACM 如何管理各类证书。
问:ACM 是否可以提供具有多个域名的证书?
可以。每个证书必须包括至少一个域名,并且您可以根据需要在证书中添加更多域名。例如,您可以将域名“www.example.net”添加到用于“www.example.com”的证书,前提是用户通过这两个域名都可以访问您的站点。对于证书请求中包括的所有名称,您必须具有所有权和控制权。
问:什么是通配符域名?
通配符域名匹配域中的所有一级子域或主机名。一级子域是一个不包含句号(圆点)的单个域名标签。例如,您可以使用名称 *.example.com 来保护 www.example.com、images.example.com 以及以 .example.com 结尾的任何其他主机名或一级子域。有关更多详细信息,请参阅 ACM 用户指南。
问:ACM 是否可以提供具有通配符域名的证书?
可以。
问:ACM 是否提供除 SSL/TLS 外的其他证书?
托管在 ACM 中的证书旨在与 SSL/TLS 一起使用。
问:是否可以使用 ACM 证书进行代码签名或电子邮件加密?
不可以。
问:ACM 是否提供用于签名和加密电子邮件的证书(S/MIME 证书)?
目前不提供。
问:ACM 证书的有效期是多长时间?
通过 ACM 颁发的证书有效期为 13 个月。
问:ACM 证书使用什么算法?
托管在 ACM 中的证书使用的是采用 2048 位模数和 SHA-256 的 RSA 密钥。
问:如何吊销证书?
您可以通过访问 亚马逊云科技Support 中心并创建一个案例来请求 ACM 吊销公有证书。
问:是否可以在 亚马逊云科技 中国区域之间复制证书?
目前,您不能在区域之间复制 ACM 管理的证书。
问:是否可以在多个 亚马逊云科技 中国区域中使用同一个 ACM 证书?
要在不同区域内针对同一站点(具有相同的完全限定域名 [FQDN] 或 FQDN 集)将某个证书与 Elastic Load Balancing 配合使用,您需要为计划使用该证书的每个区域申请新证书。
问:对于同一域名,如果我已经拥有来自其他提供商的证书,是否还能使用 ACM 来预置证书?
可以。
问:是否可以在 Amazon EC2 实例或自己的服务器上使用证书?
目前,公有 ACM 证书仅可用于特定 亚马逊云科技 服务。请参阅可以将 ACM 证书用于哪些 亚马逊云科技 服务?
问:ACM 是否允许域名(也称为国际化域名 (IDN))中包含本地语言字符?
ACM 不支持采用 Unicode 编码的本地语言字符。不过,ACM 支持在域名中使用 ASCII 编码的本地语言字符。
问:ACM 支持哪些域名标签格式?
ACM 仅支持采用 UTF-8 编码的 ASCII,包括包含“xn—”的标签(通常称为域名的 Punycode)。ACM 不支持在域名中使用 Unicode 输入 (u-label)。
ACM 公有证书
问:什么是公有证书?
公有证书可以帮助客户识别网络上的资源,并确保这些资源之间的通信安全。公有证书用于识别 Internet 上的资源。
问:ACM 提供哪些类型的公有证书?
ACM 提供域验证 (DV) 公有证书,供终止 SSL/TLS 的网站和应用程序使用。有关 ACM 证书的更多详细信息,请参阅证书特征。
问:ACM 公有证书是否受浏览器、操作系统和移动设备信任?
ACM 公有证书受大多数现代浏览器、操作系统和移动设备信任。ACM 提供的证书在浏览器和操作系统(包括 Windows XP SP3 和 Java 6 及更高版本)中的普及率高达 99%。
问:如何确认浏览器是否信任 ACM 公有证书?
信任 ACM 证书的浏览器会显示一个锁形图标,并且在连接到使用基于 SSL/TLS(例如使用 HTTPS)的 ACM 证书的站点时不会发出证书警告。
公有 ACM 证书由 Amazon 证书颁发机构 (CA) 验证。任何包含 Amazon Root CA 1、Starfield Services Root Certificate Authority - G2 或 Starfield Class 2 Certification Authority 的浏览器、应用程序和操作系统均信任 ACM 证书。
问:ACM 是否可以提供公有组织验证 (OV) 或扩展验证 (EV) 证书?
目前不提供。
问:Amazon 在哪里介绍关于颁发公有证书的策略和规范?
“Amazon Trust Services 证书策略”和“Amazon Trust Services 证书规范声明”文档中提供了相关信息。有关最新版本,请参阅 Amazon Trust Services 存储库。
问:如果公有证书中的信息发生更改,我该如何通知 亚马逊云科技?
您可以发送电子邮件至 validation-questions[at]amazonaws.cn 来通知 亚马逊云科技。
预置 ACM 公有证书
问:如何预置 ACM 提供的公有证书?
您可以使用 亚马逊云科技 管理控制台、Amazon CLI 或 ACM API/开发工具包。要使用 亚马逊云科技 管理控制台,请导航至“证书管理”,依次选择“请求证书”、“请求公有证书”,输入站点的域名,然后按照屏幕上的说明完成请求。如果用户可以通过其他名称访问您的站点,则可以在请求中添加其他域名。在 ACM 可以颁发证书之前,它会验证您对证书请求中的域名的所有权或控制权。请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以将记录写入域的公有 DNS 配置,以建立您对域的所有权或控制权。在您使用一次 DNS 验证来建立对域的控制权之后,只要记录依然存在并且证书仍在使用中,您就可以获得其他证书,并让 ACM 续订域的现有证书。您无需重新验证域的控制权。如果您选择电子邮件验证而不是 DNS 验证,则系统会将电子邮件发送给请求批准颁发证书的域拥有者。在验证了您对请求中的每个域名拥有所有权或控制权后,系统将颁发证书并准备好为其他 亚马逊云科技 服务(如 Elastic Load Balancing)预置证书。有关详细信息,请参阅 ACM 文档。
问:ACM 为什么要验证公有证书的域所有权?
证书用于确定您站点的身份,并确保浏览器和应用程序与站点之间的连接的安全。要颁发公开可信的证书,Amazon 必须验证证书请求者是否拥有对证书请求中域名的控制权。
问:在为域颁发公有证书之前,ACM 如何验证域所有权?
在颁发证书之前,ACM 会验证您对证书请求中域名的所有权或控制权。请求证书时,您可以选择 DNS 验证或电子邮件验证。使用 DNS 验证,您可以通过将别名记录添加到 DNS 配置来验证域所有权。请参阅 DNS 验证,了解更多详细信息。如果您无法将记录写入域的公有 DNS 配置,则可以使用电子邮件验证而不是 DNS 验证。使用电子邮件验证,ACM 会向已注册的域拥有者发送电子邮件,并且所有者或授权代表可以批准为证书请求中的每个域名颁发证书。请参阅电子邮件验证,了解更多详细信息。
问:我的公有证书应该使用哪种验证方法:DNS 还是电子邮件?
如果您能够更改域的 DNS 配置,我们建议您使用 DNS 验证。如果客户无法接收来自 ACM 的验证电子邮件,或者使用的域注册商没有在 WHOIS 中发布域所有者的电子邮件联系信息,则应使用 DNS 验证。如果您无法修改 DNS 配置,则应使用电子邮件验证。
问:是否可以将现有公有证书从电子邮件验证转换为 DNS 验证?
不可以。但是您可以向 ACM 申请一个新的免费证书,然后为新证书选择 DNS 验证。
问:颁发公有证书需要多长时间?
证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更久。
问:请求公有证书时会发生什么情况?
ACM 将根据您在提出请求时选择的验证方法(DNS 或电子邮件),尝试验证证书请求中每个域名的所有权或控制权。当 ACM 尝试验证您对域的所有权或控制权时,证书请求的状态为“等待验证”。请参阅下面的 DNS 验证和电子邮件验证部分,了解有关验证过程的更多信息。证书请求中的所有域名都经过验证后,颁发证书的时间可能会持续几个小时或更久。证书颁发后,证书请求的状态将变为“已颁发”,之后您便可以开始将其用于与 ACM 集成的其他 亚马逊云科技 服务。
问:在颁发公有证书之前,ACM 是否会检查 DNS 证书颁发机构授权 (CAA) 记录?
会。借助 DNS 证书颁发机构授权 (CAA) 记录,域所有者可以指定哪些证书颁发机构有权为他们的域颁发证书。在您请求 ACM 证书时,Amazon Certificate Manager 会在您域中 DNS 区域配置内查找 CAA 记录。如果找不到 CAA 记录,那么 Amazon 将为您的域颁发一个证书。大多数客户都属于这一类。
如果您的 DNS 配置中含有 CAA 记录,则该记录必须指定以下任一证书颁发机构 (CA),Amazon 才能为您的域颁发证书:amazon.com、amazontrust.com、awstrust.com 或 amazonaws.com。请参阅《Amazon Certificate Manager 用户指南》中的配置 CAA 记录或排查 CAA 问题,了解更多信息。
问:ACM 是否支持任何其他验证域的方法?
目前不支持。
DNS 验证(公有证书)
问:什么是 DNS 验证?
使用 DNS 验证,您可以通过将别名记录添加到 DNS 配置来验证您对域的所有权。使用 DNS 验证,在向 ACM 申请 SSL/TLS 证书时,您可以轻松建立对域的所有权。
问:DNS 验证有什么好处?
使用 DNS 验证,可以轻松验证您对域的所有权或控制权,从而获得 SSL/TLS 证书。使用 DNS 验证,您只需将别名记录写入 DNS 配置,即可建立对域名的控制权。这样,单击几次鼠标即可轻松建立对域名的控制权。配置别名记录后,只要 DNS 验证记录依然存在,ACM 就会自动续订正在使用的证书(与其他 亚马逊云科技 资源相关联)。续订是完全自动和非接触式的。
问:哪些人员应该使用 DNS 验证?
任何通过 ACM 请求证书并能够更改所请求域的 DNS 配置的人员都应考虑使用 DNS 验证。
问:ACM 是否仍然支持电子邮件验证?
是。对于无法更改自己的 DNS 配置的客户,ACM 会继续支持电子邮件验证。
问:我需要将哪些记录添加到 DNS 配置中才能验证域?
您必须为要验证的域添加别名记录。例如,要验证名称 www.example.com,您可以向 example.com 的区域添加别名记录。您添加的记录包含一个随机令牌,该令牌是 ACM 专门为您的域和 亚马逊云科技 账户生成的。您可以从 ACM 获取别名记录的两个部分(名称和标签)。有关更多信息,请参阅 ACM 用户指南。
问:如何为域添加或修改 DNS 记录?
有关添加或修改 DNS 记录的更多信息,请咨询您的 DNS 提供商。
问:DNS 验证是否会要求我使用特定的 DNS 提供商?
不会。只要提供商允许您将别名记录添加至自己的 DNS 配置中,您即可通过任何 DNS 提供商使用 DNS 验证。
问:如果我希望为同一域配置多个证书,我需要准备多少份 DNS 记录?
一份 DNS 记录即可。您可以在同一 亚马逊云科技 账户中使用一条别名记录为同一域名获取多个证书。例如,如果您从同一 亚马逊云科技 账户下针对同一域名发出 2 个证书请求,仅需使用 1 个 DNS 别名记录即可。
问:我是否可以使用相同别名记录验证多个域名?
不可以。每个域名必须拥有唯一的别名记录。
问:我是否可以使用 DNS 验证方法验证通配符域名?
可以。
问:ACM 构建别名记录的工作原理是什么?
DNS 别名记录由两部分组成:名称和标签。ACM 生成的别名记录名称组件由后跟令牌的下划线字符 (_) 组成。该令牌是您的 亚马逊云科技 账户与域名相关联的唯一字符串。ACM 在您的域名前添加下划线和令牌,从而构成名称组件。ACM 将带下划线字符的标签添加到另一个令牌前。该令牌同样与您的 亚马逊云科技 账户和域名相关联。ACM 将下划线和令牌添加到 亚马逊云科技 用于验证的 DNS 域名前:acm-validations.aws。以下示例显示了用于 www.example.com、subdomain.example.com 和 *.example.com 的别名记录的格式。
_TOKEN1.www.example.com 别名记录 _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com 别名记录 _TOKEN4.acm-validations.aws
_TOKEN5.example.com 别名记录 _TOKEN6.acm-validations.aws
请注意,ACM 在为通配符名称生成别名记录时将会删除通配符标签 (*)。因此,ACM 为通配符名称(如 *.example.com)生成的别名记录与不含通配符标签(example.com)域名的返回记录相同。
问:我是否可以使用一个别名记录验证某个域的所有子域名?
不可以。必须分别验证每个域名,包括主机名和子域名。每个域名均拥有唯一别名记录。
问:为什么 ACM 使用别名记录进行 DNS 验证,而不使用 TXT 文本文件记录验证?
只要存在别名记录,ACM 即会使用别名记录续订证书。别名记录定向到 亚马逊云科技 域(acm-validations.aws)中的 TXT 记录,使 ACM 可以根据需要进行更新,以验证或重新验证域名,无需您手动执行任何操作。
问:是否可以跨多个 亚马逊云科技 中国区域运行 DNS 验证?
可以。您可以创建一个 DNS 别名记录,并使用该别名记录在任何提供 ACM 的 亚马逊云科技 中国区域为同一 亚马逊云科技 账户获取证书。成功配置别名记录后,您即可通过 ACM 为该名称颁发和续订证书,无需创建其他记录。
问:我是否可以在同一证书中选择不同验证方法?
不可以。每个证书仅能使用一种验证方法。
问:如何续订经 DNS 验证的证书?
只要 DNS 验证记录仍然存在,ACM 就会自动续订正在使用的证书(与其他 亚马逊云科技 资源关联)。
问:我是否可以撤销为自己的域名颁发证书的权限?
可以。删除别名记录即可。删除别名记录且变更操作通过 DNS 分发后,ACM 则不会再使用 DNS 验证为域颁发或续订证书。删除记录的传递时间依您的 DNS 提供商而定。
问:如果我删除了别名记录会怎么样?
如果删除别名记录,ACM 则无法再使用 DNS 验证为域颁发或续订证书。
电子邮件验证(公有证书)
问:什么是电子邮件验证?
通过电子邮件验证,可将证书请求中每个域名的审批请求邮件发送给已注册域拥有者。域拥有者或授权代表(审批人)可以按照电子邮件随附说明审批证书请求。相关说明将引导审批人访问审批网站。通过单击电子邮件中的链接,或将此链接粘贴到浏览器地址栏中,以访问和浏览审批网站。审批人需确认域名、证书 ID (ARN) 和发起请求的 亚马逊云科技 账户 ID 等与证书请求相关的信息。如果信息准确无误,则可批准请求。
问:在我申请证书并选择电子邮件验证后,证书审批请求会发送至哪个电子邮件地址?
当您使用电子邮件验证方法请求证书时,在 WHOIS 中查找证书请求中每个域名将为该域检索联系信息。将向域注册人、管理联系人和负责该域的技术联系人发送电子邮件。还将向五个特定电子邮件地址发送电子邮件,即以 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 名称开头,加上您正在申请的域名所组成的电子邮件地址。例如,如果您为 server.example.com 申请证书,则将使用 WHOIS 查询为 example.com 域所返回的信息向域注册人、技术联系人和管理联系人,以及 admin@server.example.com, administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com 和webmaster@server.example.com 发送电子邮件。
对以“www”开头的域名或以星号 (*) 开头的通配符名称,这五个特殊的电子邮件地址的结构均不相同。ACM 会删除开头的“www”或星号,电子邮件将发送至以 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 开头,加上域名其余部分所构成的电子邮件地址。例如,如前所述,如果您为 www.example.com 申请证书,则电子邮件会发送至 WHOIS 联系人及 admin@example.com,而不会发送至 admin@example.com。其余四个特殊电子邮件地址的结构与上述结构类似。
在请求证书后,您可以使用 ACM 控制台、Amazon CLI 或 API 显示接收为每个域发送的电子邮件的电子邮件地址列表。
问:我是否可以配置接收证书审批请求的目标电子邮件地址?
不可以。但您可以配置您希望接收验证电子邮件的目标基本域名。基础域名必须是证书请求中域名的超级域。例如,如果您希望为 server.domain.example.com 请求证书,但希望将审批电子邮件定向到 admin@domain.example.com,则可以使用 Amazon CLI 或 API 执行此操作。请参阅 ACM CLI 参考和 ACM API 参考,了解更多详细信息。
问:我是否可以使用具有代理联系人信息(如 Privacy Guard 或 WhoisGuard)的域?
可以;但是,使用代理可能会导致电子邮件发送出现延迟。通过代理发送的电子邮件最终可能会出现在您的垃圾邮件文件夹里。有关故障排除建议,请参阅 ACM 用户指南。
问:ACM 是否可以使用我的 亚马逊云科技 账户技术联系人验证我的身份?
不可以。验证域拥有者身份的程序和策略极为严格,并且由为公开可信的证书颁发机构设置策略标准的 CA/Browser Forum 论坛决定。如需了解更多信息,请参阅 Amazon Trust Services 存储库中最新的“Amazon Trust Services 认证规范声明”。
问:如果我没有收到审批电子邮件,应当如何处理?
有关故障排除建议,请参阅 ACM 用户指南。
私有密钥保护
问:如何托管 ACM 提供的证书的私有密钥?
将为 ACM 提供的每个证书创建密钥对。Amazon Certificate Manager 专用于保护和管理与 SSL/TLS 证书配合使用的私有密钥。在保护和存储私有密钥时,采用更强的加密和密钥管理最佳实践。
问:ACM 是否可以跨多个 亚马逊云科技 中国区域复制证书?
不可以。每个 ACM 证书的私有密钥均将存储在您请求证书的中国区域。例如,当您在 亚马逊云科技 中国(北京)区域或 亚马逊云科技 中国(宁夏)区域获得新证书后,ACM 会将私有密钥存储在对应的中国区域。
问:是否可以对证书私有密钥的使用情况进行审查?
可以。您可以使用 Amazon CloudTrail 审查日志,了解使用证书私有密钥的时间。
计费
问:使用 ACM 证书如何收费和计费?
通过 Amazon Certificate Manager 预置的用于 ACM 集成服务(例如 Elastic Load Balancing 和 Amazon API Gateway 服务)的公有证书和私有证书是免费的。您只需为您创建的用于运行应用程序的 亚马逊云科技 资源付费。
详细信息
问:我是否可以将同一证书用于多个 Elastic Load Balancing 负载均衡器和多个 CloudFront 分配?
可以。
问:我是否可以在不访问公共网络的情况下将公有证书用于内部 Elastic Load Balancing 负载均衡器?
可以,请参阅托管续订与部署,了解更多关于 ACM 如何处理无法通过互联网访问的公有证书续订。
问:www.example.com 所用证书是否可以对 example.com 使用?
不可以。如果您希望两个域(www.example.com 和 example.com)都引用您的网站,您必须申请包含这两个名称的证书。
问:我是否可以导入第三方证书,并将其与多个 亚马逊云科技 服务配合使用?
可以。如果想将第三方证书与 Elastic Load Balancing 或 Amazon API Gateway 配合使用,您可以使用 亚马逊云科技 管理控制台、Amazon CLI 或 ACM API 将该证书导入 ACM。ACM 不会管理已导入证书的续订流程。您可以使用 亚马逊云科技 管理控制台监控已导入证书的到期日期,并导入新的第三方证书来替换即将到期的证书。
问:ACM 如何帮助我的组织满足合规性要求?
使用 ACM 轻松实现安全连接,帮助您满足法规要求。这是许多合规性程序(如 PCI、FedRAMP 和 HIPAA)的共同要求。有关合规性的具体信息,请参阅 https://www.amazonaws.cn/compliance/
问:ACM 是否提供服务等级协议 (SLA)?
ACM 不提供 SLA。
问:ACM 是否提供可以在我的网站上显示的安全网站签章或信任徽标?
不提供。如果您想使用网站签章,可以从第三方供应商处获取。我们建议您选择一家供应商对您的网站安全性和/或商务实践进行评估,并声明结果。
问:Amazon 是否允许将其商标或徽标用作证书徽章、网站签章或信任徽标?
不允许。常规情况下,此类签章和徽章可以复制到不使用 ACM 服务的网站,和以虚假借口使用不当手段建立信任的网站。但为了保护我们客户的利益和 Amazon 的声誉,我们不允许以这种方式使用我们的徽标。
日志记录
问:Amazon CloudTrail 可以提供哪些日志记录信息?
您可以确定哪些用户和账户为支持 Amazon CloudTrail 的服务调用了 Amazon API、发起调用时的源 IP 地址以及调用的发生时间。例如,您可以标识哪个用户曾调用 API 将 ACM 提供的证书与 Elastic Load Balancer 相关联,以及哪个用户在 Elastic Load Balancing 服务使用 KMS API 调用解密密匙时调用过 API。
托管续订和部署
问:什么是 ACM 托管续订和部署?
ACM 托管续订和部署管理续订 SSL/TLS ACM 证书的流程,并在续订证书后部署证书。
问:使用 ACM 托管续订和部署有哪些好处?
ACM 可以代您管理 SSL/TLS 证书的续订和部署。相比容易出错的手动操作流程,ACM 使安全网站服务或应用程序的 SSL/TLS 配置和维护流程更稳定。托管续订和部署可帮助您避免因证书过期而导致的停机。ACM 会作为与其他 亚马逊云科技 服务集成的服务运行。这就意味着您可以使用 亚马逊云科技 管理控制台、Amazon CLI 或 API 通过 亚马逊云科技 平台集中管理和部署证书。
问:哪些 ACM 证书可以自动续订和部署?
公有证书
ACM 可以续订和部署公有 ACM 证书,无需域拥有者进行其他验证。如果不进行其他验证就无法完成证书续订,那么 ACM 将通过验证证书中每个域名的拥有权或控制权来管理续订流程。对证书中每个域名完成验证后,ACM 将续订证书,并自动将其部署到您的 亚马逊云科技 资源中。如果 ACM 无法验证域拥有权,我们将通知您(亚马逊云科技 账户拥有者)相关情况。
如果您在证书请求中选择了 DNS 验证,只要证书仍处于使用状态(与其他 亚马逊云科技 资源相关联),且您的别名记录仍然存在,ACM 则可以无限期续订您的证书,无需您执行任何进一步操作。如果您在请求证书时选择了电子邮件验证,即可通过确保证书仍在使用中、证书中包含的所有域名均可以解析到您的网站,且所有域名均可通过互联网访问,以此提高 ACM 自动更新和部署 ACM 证书的能力。
问:ACM 会在何时续订证书?
ACM 将在证书到期日期前最多 60 天内启动续订流程。目前 ACM 证书的有效期为 13 个月。请参阅 ACM 用户指南,了解托管续订的更多信息。
问:我是否会在续订证书和部署新证书之前收到相关通知?
不会。ACM 可直接续订或重新加密证书并替换旧证书,无需事先通知。
问:ACM 是否可以续订包含裸域的公有证书,如 “example.com”(又称为顶级域名或裸域)?
如果您在公有证书的证书请求中选择了 DNS 验证,只要证书仍处于使用状态(与其他 亚马逊云科技 资源相关联),且您的别名记录仍然存在,ACM 则可以续订您的证书,无需您执行任何进一步操作。
如果您在请求具有裸域的公有证书时选择了电子邮件验证,请确保裸域的 DNS 查找解析到与证书相关的 亚马逊云科技 资源。除非您使用支持别名资源记录(或其等效记录)的 DNS 提供程序将裸域映射到 亚马逊云科技 资源,否则将裸域解析到 亚马逊云科技 资源可能会有一定的难度。
问:在 ACM 部署已续订的证书时,我的网站是否会删除现有连接?
不会,部署新证书后建立的连接将使用新证书,同时现有连接不会受到影响。