請求公有憑證 - AWS Certificate Manager
使用主控台請求公有憑證使用 CLI 請求公有憑證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

請求公有憑證

下列各節將討論如何使用 ACM 主控台或 AWS CLI 要求公用 ACM 憑證。請求公有憑證之後,您必須完成驗證網域所有權所述的任何一個程序。

公有 ACM 憑證遵循 X.509 標準,且受制於下列各項限制:

  • 名稱:您必須使用符合 DNS 規範的主旨名稱。如需詳細資訊,請參閱 網域名稱

  • 演算法:針對加密,憑證私有金鑰演算法必須是 2048 位元 RSA、256 位元的 ECDSA 或 384 位元 ECDSA。

  • 有效期限:每個憑證的有效期限皆為 13 個月 (395 天)。

  • 續約:ACM 會在 11 個月後自動嘗試續約私有憑證。

如果您在要求憑證時遇到問題,請參閱憑證請求疑難排解

若要使用要求私人 PKI 的憑證 AWS 私有 CA,請參閱請求私有 PKI 憑證

注意

管理員可以使用 ACM 條件索引鍵政策,控制最終使用者發行新憑證的方式。透過這些條件索引鍵,您可對與憑證請求相關的網域、驗證方法和其他屬性設下限制。

注意

除非您選擇退出,否則公開信任的 ACM 憑證會自動記錄在至少兩個憑證透明度資料庫中。目前,您不能使用主控台來選擇退出。您必須使用 AWS CLI 或 ACM API。如需詳細資訊,請參閱 取消使用憑證透明度記錄功能。如需透明度日誌的一般資訊,請參閱憑證透明度記錄

使用主控台請求公有憑證

請求 ACM 公有憑證 (主控台)

  1. 登入 AWS 管理主控台,然後開啟 ACM 主控台,網址為 https://console.aws.amazon.com/acm/home

    選擇 Request a certificate (請求憑證)

  2. Domain names(網域名稱)部分,輸入您的網域名稱。

    您可以使用完整網域名稱 (FQDN),例如 www.example.com 或 bare 或 apex 網域名稱,例如 example.com。您也可以在最左方使用星號 (*) 做為萬用字元,以保護相同網域中的多個網站名稱。例如,*.example.com 可保護 corp.example.comimages.example.com。萬用字元名稱會顯示於 ACM 憑證的 Subject (主體) 欄位和 ACM 憑證的 Subject Alternative Name (主體別名) 延伸。

    請求萬用字元憑證時,星號 (*) 必須在網域名稱的最左方,而且僅能保護一個子網域層級。例如,*.example.com 可以保護 login.example.comtest.example.com,但不能保護 test.login.example.com。另請注意,*.example.com 可以保護 example.com 的子網域,無法保護 bare 或 apex 網域 (example.com)。若要保護兩者,請參閱下一個步驟。

    注意

    為遵循 RFC 5280,您在此步驟中輸入的網域名稱 (技術上來說為「通用名稱」) 長不得超過 64 個八位元組 (字元),包括句點在內。但您之後提供的每個主體別名 (SAN) 長度最高可達 253 個八位元,如同下個步驟所示。

    若要新增其他名稱,請選擇 Add another name to this certificate (將其他名稱新增至此憑證),然後在文字方塊中輸入名稱。若要同時保護 bare 或 apex 網域 (例如 example.com) 及其子網域 (例如 *.example.com),此功能非常實用。

  3. 根據您的需求,在 Validation method (驗證方法) 區段,選擇 DNS validation – recommended (DNS 驗證 – 建議) 或 Email validation (電子郵件驗證)。

    注意

    如果您能編輯 DNS 組態,我們建議您使用 DNS 網域驗證,而不使用電子郵件驗證。與電子郵件驗證相比,DNS 驗證有多個優點。請參閱DNS 驗證

    ACM 發行憑證前,會先驗證您是否擁有或控制憑證請求中的網域名稱。您可以使用電子郵件驗證或 DNS 驗證。

    如果您選擇電子郵件驗證,則 ACM 會針對每個網域名稱,傳送驗證電子郵件到 WHOIS 資料庫中註冊的三個聯絡地址和最多五個常用系統管理地址。您或授權代表必須回覆其中一封電子郵件訊息。如需詳細資訊,請參閱 電子郵件驗證

    如果您使用 DNS 驗證,則只需將 ACM 提供的 CNAME 記錄新增至您的 DNS 組態。如需 DNS 驗證的詳細資訊,請參閱 DNS 驗證

  4. 金鑰演算法區段中,選擇三種可用演算法之一:

    • RSA 2048 (預設)

    • ECDSA P 256

    • ECDSA P 384

    如需協助您選擇演算法的資訊,請參閱金鑰演算法和部 AWS 落格文章如何在中評估和使用 ECDSA 憑證。 AWS Certificate Manager

  5. Tags(標籤)頁面上,您可以選擇標記您的憑證。標籤是索引鍵值配對,可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明,請參閱「標記 AWS Certificate Manager 憑證」。

    完成新增標籤後,請選擇 Request(請求)

  6. 處理要求之後,主控台會將您返回憑證清單,其中會顯示新憑證相關的資訊。

    憑證被請求後會進入待驗證狀態,除非憑證請求因為出現「憑證請求失敗」故障排除主題中列出的情況而失敗。ACM 會重複嘗試驗憑證 72 小時,然後逾時。如果憑證顯示失敗或者驗證逾時狀態,請刪除請求,修正 DNS 驗證或者電子郵件驗證問題,然後重試。如果驗證成功,憑證會進入已發行狀態。

    注意

    視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。

使用 CLI 請求公有憑證

在命令列中使用 request-certificate 命令來請求新的公有 ACM 憑證。驗證方法的可選值是 DNS 和 EMAIL (電子郵件)。金鑰演算法的選用值為 RSA_2048 (若未明確提供參數,則為預設值)、EC_PRIME256v1 和 EC_secp384r1。

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

此命令會輸出新公有憑證的 Amazon Resource Name (ARN)。

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}