Richiesta di un certificato pubblico - AWS Certificate Manager
Richiedere un certificato pubblico utilizzando la consoleRichiesta di un certificato pubblico utilizzando CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Richiesta di un certificato pubblico

Nelle sezioni seguenti viene illustrato come utilizzare la console ACM o AWS CLI richiedere un certificato ACM pubblico. Dopo aver richiesto un certificato pubblico, è necessario completare una delle procedure descritte in Convalida della proprietà del dominio.

I certificati ACM pubblici sono conformi allo standard X.509 e sono soggetti alle seguenti restrizioni:

  • Nomi: è necessario utilizzare nomi di soggetti conformi al DNS. Per ulteriori informazioni, consulta Nomi di dominio.

  • Algoritmo: per la crittografia, l'algoritmo della chiave privata del certificato deve essere RSA a 2048 bit, ECDSA a 256 bit o ECDSA a 384 bit.

  • Scadenza: ogni certificato è valido per 13 mesi (395 giorni).

  • Rinnovo: ACM tenta di rinnovare automaticamente un certificato privato dopo 11 mesi.

Se si verificano problemi durante la richiesta di un certificato, consulta Risoluzione dei problemi relativi alle richieste di certificato.

Per richiedere un certificato per l'utilizzo CA privata AWS di una PKI privata, consulta. Richiesta di un certificato PKI privato

Nota

Gli amministratori possono utilizzare le policy delle chiavi di condizione ACM per controllare il modo in cui gli utenti finali emettono nuovi certificati. Queste chiavi di condizione consentono di applicare restrizioni su domini, metodi di convalida e altri attributi relativi a una richiesta di certificato.

Nota

Se non si sceglie di annullare, i certificati ACM pubblicamente attendibili vengono automaticamente registrati in almeno due database di trasparenza di certificati. Al momento, non è possibile utilizzare la console per annullare. È necessario utilizzare AWS CLI o l'API ACM. Per ulteriori informazioni, consulta Annullamento della registrazione della trasparenza del certificato.. Per informazioni generali sui log di trasparenza, consulta Registrazione della trasparenza del certificato.

Richiedere un certificato pubblico utilizzando la console

Per richiedere un certificato pubblico ACM (console)

  1. Accedi alla console di AWS gestione e apri la console ACM all'indirizzo https://console.aws.amazon.com/acm/home.

    Scegli Request a certificate (Richiedi un certificato).

  2. Nella sezione Domain names (Nomi di dominio) digitare il nome di dominio.

    È possibile utilizzare un nome di dominio completo (FQDN) come www.example.com o un nome di dominio essenziale o apex come example.com. È inoltre possibile utilizzare un asterisco (*) come carattere jolly nella posizione più a sinistra per proteggere diversi nomi di siti nello stesso dominio. Ad esempio, *.example.com protegge corp.example.com e images.example.com. Il nome del carattere jolly apparirà nel campo Subject (Oggetto) e nell'estensione Subject Alternative Name (Nome oggetto alternativo) del certificato ACM.

    Quando si fa richiesta di un certificato jolly, l'asterisco (*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, *.example.com può proteggere login.example.com e test.example.com, ma non può proteggere test.login.example.com. Si noti inoltre come *.example.com protegga solo i sottodomini di example.com e non il dominio essenziale o apex (example.com). Per proteggere entrambi, consulta la fase successiva.

    Nota

    In conformità con RFC 5280, la lunghezza del nome di dominio (tecnicamente, il nome comune) immesso in questo passaggio non può superare i 64 ottetti (caratteri), compresi i punti. Ogni successivo nome alternativo soggetto (SAN), tuttavia, può contenere fino a 253 ottetti.

    Per aggiungere un altro nome, scegli Aggiungi un altro nome al certificato e digita il nome nella casella di testo. Questo è utile per proteggere sia un dominio essenziale o apex (ad esempio example.com) che i relativi sottodomini (*.example.com).

  3. Nella sezione Validation method (Metodo di convalida), scegli DNS validation – recommended (Convalida del DNS – consigliata) o Email validation (Convalida dell'e-mail), a seconda delle esigenze.

    Nota

    Se si è in grado di modificare la configurazione DNS, si consiglia di utilizzare la convalida del dominio DNS anziché la convalida email. La convalida del DNS offre diversi vantaggi rispetto alla convalida dell'email. Per informazioni, consulta Convalida DNS.

    Prima di emettere un certificato, ACM convalida la proprietà e il controllo dei nomi di dominio nella richiesta di certificato. È possibile utilizzare la convalida dell'email o la convalida del DNS.

    Se scegli la convalida tramite email, ACM invia un'e-mail di convalida a tre indirizzi di contatto registrati nel database WHOIS e a cinque indirizzi comuni di amministrazione del sistema per ciascun nome di dominio. L'utente o un rappresentante autorizzato deve rispondere a uno di questi messaggi e-mail. Per ulteriori informazioni, consulta Convalida e-mail.

    Se usi la convalida DNS, è sufficiente aggiungere un registro CNAME fornito da ACM nella configurazione DNS. Per ulteriori informazioni sulla convalida DNS, consulta Convalida DNS.

  4. Nella sezione Key algorithm (Algoritmo chiave), scegli uno dei tre algoritmi disponibili:

    • RSA 2048 (impostazione predefinita)

    • ECDSA P 256

    • ECDSA P 384

    Per informazioni su come scegliere un algoritmo, consulta Algoritmi chiave il post AWS sul blog Come valutare e utilizzare i certificati ECDSA in. AWS Certificate Manager

  5. Nella pagina Tags (Tag) è possibile taggare facoltativamente il certificato. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse. AWS Per un elenco dei parametri dei tag ACM e per istruzioni su come aggiungere tag ai certificati dopo la creazione, consulta Tagging di certificati AWS Certificate Manager.

    Al termine dell'aggiunta di tag, scegli Request (Richiesta).

  6. Dopo l'elaborazione della richiesta, la console ti riporta all'elenco dei certificati, dove vengono visualizzate le informazioni relative al nuovo certificato.

    Un certificato entra nello stato Convalida in attesa al momento della richiesta, a meno che non abbia esito negativo per uno dei motivi indicati nell'argomento di risoluzione dei problemi Errore nella richiesta di certificato. ACM effettua ripetuti tentativi di convalidare un certificato per 72 ore, dopodiché va in time out. Se un certificato mostra lo stato Failed (Non riuscito) o Validation timed out (Convalida scaduta), elimina la richiesta, correggi l'errore con DNS validation (Convalida DNS) o Email validation (Convalida e-mail) e riprova. Se la convalida ha esito positivo, il certificato entra nello stato Issued (Emesso).

    Nota

    A seconda di come hai ordinato l'elenco, un certificato che stai cercando potrebbe non essere immediatamente visibile. È possibile fare clic sul triangolo nero a destra per modificare l'ordine. È inoltre possibile navigare tra più pagine di certificati utilizzando i numeri di pagina in alto a destra.

Richiesta di un certificato pubblico utilizzando CLI

Utilizza il comando request-certificate per richiedere un nuovo certificato ACM pubblico sulla riga di comando. I valori facoltativi per il metodo di convalida sono DNS ed EMAIL. I valori facoltativi per l'algoritmo chiave sono RSA_2048 (l'impostazione predefinita se il parametro non viene fornito esplicitamente), EC_Prime256v1 ed EC_secp384r1.

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

Questo comando restituisce l'Amazon Resource Name (ARN) del nuovo certificato pubblico.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}