请求公有证书 - AWS Certification
使用控制台请求公有证书使用申请公共证书 CLI

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

请求公有证书

以下各节讨论如何使用ACM控制台或 AWS CLI 申请公共ACM证书。请求公有证书后,必须完成 验证域所有权 中所述的其中一个程序。

公共ACM证书遵循 X.509 标准,并受以下限制:

  • 名称:必须使用DNS符合标准的主题名称。有关更多信息,请参阅 域名

  • 算法:对于加密,证书私钥算法必须是 2048 位RSA、256 ECDSA 位或 384 位。ECDSA

  • 有效期:每个证书的有效期为 13 个月(395 天)。

  • 续订:ACM尝试在 11 个月后自动续订私有证书。

如果在请求证书时遇到问题,请参阅排查证书请求问题

要申请证书供私人PKI使用 AWS 私有 CA,请参阅申请私有PKI证书

注意

管理员可以使用ACM条件密钥策略来控制最终用户如何颁发新证书。这些条件密钥能够对域、验证方法以及与证书请求相关的其他属性施加限制。

注意

除非您选择退出,否则公开信任的ACM证书将自动记录在至少两个证书透明度数据库中。目前,您不能使用控制台来选择退出。您必须使用 AWS CLI 或ACMAPI。有关更多信息,请参阅 选择退出证书透明度日志记录。有关透明度日志的一般信息,请参阅证书透明度日志

使用控制台请求公有证书

申请ACM公共证书(控制台)

  1. 登录 AWS 管理控制台并在https://console.aws.amazon.com/acm/家中打开ACM控制台。

    选择请求证书

  2. Domain names(域名)部分,键入您的域名。

    您可以使用完全限定的域名 (FQDN),例如www.example.com,也可以使用裸域名或顶点域名,例如example.com。您还可以在最左侧位置使用星号 (*) 作为通配符来保护同一域中的多个站点名称。例如,*.example.com 可以保护 corp.example.comimages.example.com。通配符名称将出现在证书的 “主题” 字段和 “使用者备用名称” 扩展名中ACM。

    请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 可以保护 login.example.comtest.example.com,但不能保护 test.login.example.com。另请注意,*.example.com 保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。要同时保护二者,请参阅下一个步骤。

    注意

    根据 RFC5280,您在此步骤中输入的域名(严格来说是公用名)的长度不能超过 64 个八位字节(字符),包括句点。与下一步一样,您提供的每个后续主题备用名称 (SAN) 的长度最多可达 253 个八位字节。

    要添加其他名称,请选择 Add another name to this certificate (向此证书添加另一个名称),然后在文本框中键入名称。这对于同时保护裸域或顶点域(例如 example.com)及其子域(例如 *.example.com)非常有用。

  3. 验证方法部分,根据需要选择DNS验证-推荐或电子邮件验证

    注意

    如果您能够编辑DNS配置,我们建议您使用DNS域名验证而不是电子邮件验证。DNS与电子邮件验证相比,验证有多种好处。请参阅 DNS验证

    在ACM颁发证书之前,它会验证您是否拥有或控制证书请求中的域名。您可以使用电子邮件验证或DNS验证。

    如果您选择电子邮件验证,则ACM会将验证电子邮件发送到您在域名字段中指定的域。如果您指定验证域,则改为将电子邮件ACM发送到该验证域。有关电子邮件验证的更多信息,请参阅电子邮件验证

    如果您使用DNS验证,则只需在DNS配置中ACM添加提供的CNAME记录即可。有关DNS验证的更多信息,请参阅DNS验证

  4. Key algorithm(密钥算法)部分中,选择三种可用算法之一:

    • RSA2048(默认)

    • ECDSAP 256

    • ECDSAP 384

    有关帮助您选择算法的信息,请参阅密钥算法中的 AWS 博客文章 “如何评估和使用ECDSA证书” AWS Certificate Manager。

  5. Tags(标签)页面上,您可以选择为证书添加标签。标签是键值对,用作识别和组织 AWS 资源的元数据。有关ACM标签参数列表以及如何在创建证书后向证书添加标签的说明,请参阅标记 AWS Certificate Manager 证书

    完成添加标签后,选择 Request(请求)。

  6. 处理请求后,控制台将返回证书列表,其中会显示有关新证书的信息。

    在接到请求时,证书的状态将变为 Pending validation(等待验证),除非因故障排除主题证书请求失败中列出的任何原因导致请求失败。ACM在 72 小时内反复尝试验证证书,然后超时。如果证书显示 “失败” 或 “验证超时” 状态,请删除该请求,通过DNS验证或电子邮件验证更正问题,然后重试。如果验证成功,则证书的状态将变为 Issued(已颁发)。

    注意

    根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。

使用申请公共证书 CLI

使用 request-cer tificate 命令在命令行上申请新的公共ACM证书。验证方法的可选值为DNS和EMAIL。密钥算法的可选值为 RSA _2048(如果未明确提供参数,则为默认值)、ec_prime256v1 和 ec_secp384r1。

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

此命令输出您的新公有证书的 Amazon 资源名称 (ARN)。

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}