Meminta sertifikat publik - AWS Certificate Manager
Minta sertifikat publik menggunakan konsolMinta sertifikat publik menggunakan CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meminta sertifikat publik

Bagian berikut membahas cara menggunakan konsol ACM atau AWS CLI meminta sertifikat ACM publik. Setelah Anda meminta sertifikat publik, Anda harus menyelesaikan salah satu prosedur yang dijelaskan dalamMemvalidasi kepemilikan domain.

Sertifikat ACM publik mengikuti standar X.509 dan tunduk pada batasan berikut:

  • Nama: Anda harus menggunakan nama subjek yang sesuai dengan DNS. Untuk informasi selengkapnya, lihat Nama Domain.

  • Algoritma: Untuk enkripsi, algoritma kunci privat sertifikat harus berupa RSA 2048-bit, ECDSA 256-bit, atau ECDSA 384-bit.

  • Kedaluwarsa: Setiap sertifikat berlaku selama 13 bulan (395 hari).

  • Perpanjangan: ACM mencoba memperbarui sertifikat pribadi secara otomatis setelah 11 bulan.

Jika Anda mengalami masalah saat meminta sertifikat, lihatMemecahkan masalah permintaan sertifikat.

Untuk meminta sertifikat untuk menggunakan PKI pribadi AWS Private CA, lihatMeminta sertifikat PKI pribadi.

catatan

Administrator dapat menggunakan Kebijakan Kunci Bersyarat ACM untuk mengontrol cara pengguna akhir mengeluarkan sertifikat baru. Kunci bersyarat ini memungkinkan pembatasan ditempatkan pada domain, metode validasi, dan atribut lain yang terkait dengan permintaan sertifikat.

catatan

Kecuali Anda memilih untuk memilih keluar, sertifikat ACM tepercaya publik secara otomatis dicatat dalam setidaknya dua database transparansi sertifikat. Saat ini Anda tidak dapat menggunakan konsol untuk memilih keluar. Anda harus menggunakan AWS CLI atau ACM API. Untuk informasi selengkapnya, lihat Memilih keluar dari pencatatan transparansi sertifikat. Untuk informasi umum tentang log transparansi, lihatPencatatan Transparansi Sertifikat.

Minta sertifikat publik menggunakan konsol

Untuk meminta sertifikat publik ACM (konsol)

  1. Masuk ke AWS Management Console dan buka konsol ACM di https://console.aws.amazon.com/acm/home.

    Pilih Minta sertifikat.

  2. Di bagian Nama domain, ketikkan nama domain Anda.

    Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), sepertiwww.example.com, atau nama domain telanjang atau puncak seperti. example.com Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar di posisi paling kiri untuk melindungi beberapa nama situs di domain yang sama. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com. Nama kartu liar akan muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek dari sertifikat ACM.

    Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com dapat melindungilogin.example.com, dantest.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Untuk melindungi keduanya, lihat langkah selanjutnya.

    catatan

    Sesuai dengan RFC 5280, panjang nama domain (secara teknis, Nama Umum) yang Anda masukkan dalam langkah ini tidak boleh melebihi 64 oktet (karakter), termasuk periode. Setiap Nama Alternatif Subjek (SAN) berikutnya yang Anda berikan, seperti pada langkah berikutnya, bisa mencapai panjang 253 oktet.

    Untuk menambahkan nama lain, pilih Tambahkan nama lain ke sertifikat ini dan ketikkan nama di kotak teks. Ini berguna untuk melindungi domain telanjang atau puncak (sepertiexample.com) dan subdomainnya seperti). *.example.com

  3. Di bagian Metode validasi, pilih validasi DNS — direkomendasikan atau validasi Email, tergantung pada kebutuhan Anda.

    catatan

    Jika Anda dapat mengedit konfigurasi DNS Anda, kami sarankan Anda menggunakan validasi domain DNS daripada validasi email. Validasi DNS memiliki banyak manfaat dibandingkan validasi email. Lihat Validasi DNS.

    Sebelum ACM mengeluarkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengontrol nama domain dalam permintaan sertifikat Anda. Anda dapat menggunakan validasi email atau validasi DNS.

    Jika Anda memilih validasi email, ACM mengirimkan email validasi ke tiga alamat kontak yang terdaftar di database WHOIS, dan hingga lima alamat administrasi sistem umum untuk setiap nama domain. Anda atau perwakilan resmi harus membalas salah satu pesan email ini. Untuk informasi selengkapnya, lihat Validasi email.

    Jika Anda menggunakan validasi DNS, Anda cukup menambahkan catatan CNAME yang disediakan oleh ACM ke konfigurasi DNS Anda. Untuk informasi selengkapnya tentang validasi DNS, lihat. Validasi DNS

  4. Di bagian Algoritma kunci, pilih salah satu dari tiga algoritma yang tersedia:

    • RSA 2048 (default)

    • ECDSA P 256

    • ECDSA P 384

    Untuk informasi yang membantu Anda memilih algoritme, lihat Algoritma kunci dan posting AWS blog Cara mengevaluasi dan menggunakan sertifikat ECDSA di. AWS Certificate Manager

  5. Di halaman Tag, Anda dapat menandai sertifikat Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter tag ACM dan petunjuk tentang cara menambahkan tag ke sertifikat setelah pembuatan, lihatMenandaiAWS Certificate Manager sertifikat penandaan sertifikat.

    Setelah selesai menambahkan tag, pilih Permintaan.

  6. Setelah permintaan diproses, konsol mengembalikan Anda ke daftar sertifikat Anda, di mana informasi tentang sertifikat baru ditampilkan.

    Sertifikat memasuki status Validasi tertunda setelah diminta, kecuali jika gagal karena salah satu alasan yang diberikan dalam topik pemecahan masalah Permintaan sertifikat gagal. ACM melakukan upaya berulang untuk memvalidasi sertifikat selama 72 jam dan kemudian habis waktu. Jika sertifikat menunjukkan status Gagal atau Waktu validasi habis, hapus permintaan, perbaiki masalah dengan validasi DNS atau validasi Email, dan coba lagi. Jika validasi berhasil, sertifikat memasuki status Diterbitkan.

    catatan

    Bergantung pada bagaimana Anda memesan daftar, sertifikat yang Anda cari mungkin tidak segera terlihat. Anda dapat mengklik segitiga hitam di sebelah kanan untuk mengubah urutan. Anda juga dapat menavigasi melalui beberapa halaman sertifikat menggunakan nomor halaman di kanan atas.

Minta sertifikat publik menggunakan CLI

Gunakan perintah request-certificate untuk meminta sertifikat ACM publik baru pada baris perintah. Nilai opsional untuk metode validasi adalah DNS dan EMAIL. Nilai opsional untuk algoritma kunci adalah RSA_2048 (default jika parameter tidak disediakan secara eksplisit), EC_Prime256v1, dan EC_Secp384R1.

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

Perintah ini mengeluarkan Nama Sumber Daya Amazon (ARN) dari sertifikat publik baru Anda.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}