证书和密钥的导入格式

ACM 要求您单独导入证书、证书链和私有密钥（如有），并以 PEM 格式对每个组件进行编码。PEM 代表 Privacy Enhanced Mail。PEM 格式经常用于表示证书、证书请求、证书链和密钥。PEM 格式文件的典型扩展名是 .pem，但这并非强制要求。

注意

AWS 不提供用于操作 PEM 文件或其他证书格式的实用程序。以下示例依赖于通用文本编辑器进行简单操作。如果您需要执行更复杂的任务（例如转换文件格式或提取密钥），随时可以使用免费的开源工具（如 OpenSSL）。

下面的示例介绍了要导入的文件格式。如果在单个文件中向您提供这些组件，请使用文本编辑器将它们拆分成三个文件（务必仔细）。注意，如果错误地编辑 PEM 文件中的任何字符，或者向任意行的末尾添加一个或多个空格，则证书、证书链或私有密钥无效。

例 1. PEM 编码的证书

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

例 2. PEM 编码的证书链

一个证书链包含一个或多个证书。您可以使用文本编辑器、Windows 的 copy 命令或 Linux 的 cat 命令将证书文件连接到链中。证书必须按顺序连接，使得每个证书都直接认证前一个证书。如要导入私有证书，请最后复制根证书。以下示例包含三个证书，但您的证书链可能包含更多或更少的证书。

重要

不要将证书复制到证书链中。

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

例 3. PEM 编码的私有密钥

X.509 版本 3 证书使用公有密钥算法。在创建 X.509 证书或证书请求时，需要指定创建私有-公有密钥对时必须使用的算法和密钥位大小。公有密钥放置在证书或请求中。您必须妥善保管关联的私有密钥。在导入证书时指定私有密钥。不得将密钥加密。下面的示例介绍一个 RSA 私有密钥。

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

下面的示例介绍一个 PEM 编码的椭圆曲线私有密钥。根据您创建密钥的方式，可能不包含参数块。如果包含参数块，ACM 会在导入过程中使用此密钥前将其删除。

-----BEGIN EC PARAMETERS-----
Base64–encoded parameters
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
Base64–encoded private key
-----END EC PRIVATE KEY-----