Demande de certificat public - AWS Certificate Manager
Demande de certificat public à l’aide de la consoleDemandez un certificat public à l'aide du CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demande de certificat public

Les sections suivantes expliquent comment utiliser la ACM console ou AWS CLI demander un ACM certificat public. Après la demande d'un certificat public, suivez l'une des procédures décrites dans Validation de la propriété du domaine.

ACMLes certificats publics respectent la norme X.509 et sont soumis aux restrictions suivantes :

  • Noms : vous devez utiliser des noms de sujets DNS compatibles. Pour plus d’informations, consultez Noms de domaine.

  • Algorithme : pour le chiffrement, l'algorithme de clé privée du certificat doit être de 2048 bitsRSA, 256 bits ou 384 bitsECDSA. ECDSA

  • Expiration : chaque certificat est valide pendant une durée de13 mois (395 jours).

  • Renouvellement : ACM tente de renouveler automatiquement un certificat privé après 11 mois.

Si vous rencontrez des problèmes lors d'une demande de certificat, veuillez consultez Résolution des problèmes liés aux demandes de certificat.

Pour demander un certificat pour un PKI usage privé Autorité de certification privée AWS, voirDemande de PKI certificat privé.

Note

Les administrateurs peuvent utiliser des politiques de clé ACM conditionnelle pour contrôler la manière dont les utilisateurs finaux émettent de nouveaux certificats. Ces clés conditionnelles permettent d'imposer des restrictions sur les domaines, les méthodes de validation et d'autres attributs liés à une demande de certificat.

Note

À moins que vous ne choisissiez de vous désinscrire, les ACM certificats approuvés par le public sont automatiquement enregistrés dans au moins deux bases de données de transparence des certificats. Actuellement, vous ne pouvez pas utiliser la console pour vous désengager. Vous devez utiliser le AWS CLI ou le ACMAPI. Pour plus d’informations, consultez Refus de la journalisation de transparence des certificats. Pour obtenir des informations générales sur les journaux de transparence, consultez Journalisation de transparence des certificats.

Demande de certificat public à l’aide de la console

Pour demander un certificat ACM public (console)

  1. Connectez-vous à la console AWS de gestion et ouvrez-la à la ACM https://console.aws.amazon.com/acm/maison.

    Choisissez Request a certificate (Demander un certificat).

  2. Dans la page Ajouter des noms de domaine, saisissez votre nom de domaine.

    Vous pouvez utiliser un nom de domaine complet (FQDN), tel quewww.example.com, ou un nom de domaine brut ou apex tel queexample.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple, *.example.com protège corp.example.com et images.example.com. Le nom générique apparaîtra dans le champ Objet et dans l'extension Subject Alternative Name du ACM certificat.

    Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com il peut protéger login.example.com, et test.example.com, mais ne peut pas protéger test.login.example.com. Notez aussi que *.example.com protège uniquement les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étape suivante.

    Note

    Conformément à la RFCnorme 5280, la longueur du nom de domaine (techniquement, le nom commun) que vous entrez à cette étape ne peut pas dépasser 64 octets (caractères), points compris. Chaque nom alternatif de sujet (SAN) que vous fournissez ensuite, comme à l'étape suivante, peut avoir une longueur maximale de 253 octets.

    Pour ajouter un autre nom, choisissez Ajouter un autre nom à ce certificat et tapez le nom dans la zone de texte. Ceci est très utile pour protéger un nom de domaine strict ou apex (comme example.com) et ses sous-domaines (comme *.example.com).

  3. Dans la section Méthode de validation, choisissez soit la DNSvalidation recommandée, soit la validation par e-mail, en fonction de vos besoins.

    Note

    Si vous pouvez modifier votre DNS configuration, nous vous recommandons d'utiliser la validation de DNS domaine plutôt que la validation par e-mail. DNSla validation présente de nombreux avantages par rapport à la validation par e-mail. veuillez consulter DNSvalidation.

    Avant de ACM délivrer un certificat, il confirme que vous possédez ou contrôlez les noms de domaine figurant dans votre demande de certificat. Vous pouvez utiliser la validation ou DNS la validation par e-mail.

    Si vous choisissez la validation par e-mail, ACM envoie un e-mail de validation au domaine que vous spécifiez dans le champ du nom de domaine. Si vous spécifiez un domaine de validation, ACM envoie l'e-mail à ce domaine de validation à la place. Pour plus d'informations sur la validation par courriel, consultez Validation par e-mail.

    Si vous utilisez DNS la validation, il vous suffit d'ajouter un CNAME enregistrement fourni par ACM à votre DNS configuration. Pour plus d'informations sur DNS la validation, consultezDNSvalidation.

  4. Dans la section Key algorithm (Algorithme de clés), choisissez l'un des trois algorithmes disponibles :

    • RSA2048 (par défaut)

    • ECDSAP 256

    • ECDSAP 384

    Pour plus d'informations qui vous aideront à choisir un algorithme, consultez Algorithme de clés le billet de AWS blog Comment évaluer et utiliser les ECDSA certificats dans AWS Certificate Manager.

  5. Sur la page Balises vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser AWS les ressources. Pour obtenir la liste des paramètres des ACM balises et des instructions sur la façon d'ajouter des balises aux certificats après leur création, consultezBalisage des certificats AWS Certificate Manager.

    Lorsque vous avez terminé d'ajouter des balises, choisissez Demande.

  6. Une fois la demande traitée, la console vous renvoie à votre liste de certificats, où les informations sur le nouveau certificat sont affichées.

    Un certificat prend le statut En attente de validation sur demande, sauf s'il échoue pour l'une des raisons indiquées dans la rubrique de dépannage Échec de la demande de certificat. ACMtente à plusieurs reprises de valider un certificat pendant 72 heures, puis expire. Si le statut d'un certificat a échoué ou si le délai de validation a expiré, supprimez la demande, corrigez le problème de DNSvalidation ou de validation par e-mail, puis réessayez. Si la validation aboutit, le certificat prend le statut Émis.

    Note

    Selon la façon dont vous avez commandé la liste, un certificat que vous recherchez peut ne pas être immédiatement visible. Vous pouvez cliquer sur le triangle noir à droite pour modifier l'ordre. Vous pouvez également parcourir plusieurs pages de certificats à l'aide des numéros de page situés en haut à droite.

Demandez un certificat public à l'aide du CLI

Utilisez la commande request-certificate pour demander un nouveau ACM certificat public sur la ligne de commande. Les valeurs facultatives de la méthode de validation sont DNS etEMAIL. Les valeurs facultatives de l'algorithme clé sont RSA _2048 (valeur par défaut si le paramètre n'est pas explicitement fourni), EC_Prime256v1 et EC_SECP384r1.

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

Cette commande génère le nom de ressource Amazon (ARN) de votre nouveau certificat public.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}