Meminta sertifikat publik - AWS Certificate Manager
Minta sertifikat publik menggunakan konsolMeminta sertifikat publik menggunakan CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meminta sertifikat publik

Bagian berikut membahas cara menggunakan ACM konsol atau AWS CLI meminta ACM sertifikat publik. Setelah Anda meminta sertifikat publik, Anda harus menyelesaikan salah satu prosedur yang dijelaskan dalamMemvalidasi kepemilikan domain.

ACMSertifikat publik mengikuti standar X.509 dan tunduk pada batasan berikut:

  • Nama: Anda harus menggunakan nama subjek DNS yang sesuai. Untuk informasi selengkapnya, lihat Nama Domain.

  • Algoritma: Untuk enkripsi, algoritma kunci privat sertifikat harus berupa 2048-bitRSA, ECDSA 256-bit, atau 384-bit. ECDSA

  • Kedaluwarsa: Setiap sertifikat berlaku selama 13 bulan (395 hari).

  • Perpanjangan: ACM upaya untuk memperbarui sertifikat pribadi secara otomatis setelah 11 bulan.

Jika Anda mengalami masalah saat meminta sertifikat, lihatMemecahkan masalah permintaan sertifikat.

Untuk meminta sertifikat untuk PKI penggunaan pribadi AWS Private CA, lihatMeminta sertifikat pribadi PKI.

catatan

Administrator dapat menggunakan Kebijakan Kunci ACM Bersyarat untuk mengontrol cara pengguna akhir mengeluarkan sertifikat baru. Kunci bersyarat ini memungkinkan pembatasan ditempatkan pada domain, metode validasi, dan atribut lain yang terkait dengan permintaan sertifikat.

catatan

Kecuali Anda memilih untuk memilih keluar, ACM sertifikat tepercaya publik secara otomatis dicatat dalam setidaknya dua database transparansi sertifikat. Saat ini Anda tidak dapat menggunakan konsol untuk memilih keluar. Anda harus menggunakan AWS CLI atau ACMAPI. Untuk informasi selengkapnya, lihat Memilih keluar dari pencatatan transparansi sertifikat. Untuk informasi umum tentang log transparansi, lihatPencatatan Transparansi Sertifikat.

Minta sertifikat publik menggunakan konsol

Untuk meminta sertifikat ACM publik (konsol)

  1. Masuk ke Konsol AWS Manajemen dan buka ACM konsol di https://console.aws.amazon.com/acm/rumah.

    Pilih Minta sertifikat.

  2. Di bagian Nama domain, ketikkan nama domain Anda.

    Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), sepertiwww.example.com, atau nama domain telanjang atau apex seperti. example.com Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar di posisi paling kiri untuk melindungi beberapa nama situs di domain yang sama. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com. Nama kartu liar akan muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek sertifikat. ACM

    Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com dapat melindungilogin.example.com, dantest.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Untuk melindungi keduanya, lihat langkah selanjutnya.

    catatan

    Sesuai dengan RFC5280, panjang nama domain (secara teknis, Nama Umum) yang Anda masukkan dalam langkah ini tidak boleh melebihi 64 oktet (karakter), termasuk periode. Setiap Nama Alternatif Subjek berikutnya (SAN) yang Anda berikan, seperti pada langkah berikutnya, dapat mencapai panjang hingga 253 oktet.

    Untuk menambahkan nama lain, pilih Tambahkan nama lain ke sertifikat ini dan ketikkan nama di kotak teks. Ini berguna untuk melindungi domain telanjang atau puncak (sepertiexample.com) dan subdomainnya seperti). *.example.com

  3. Di bagian Metode validasi, pilih DNSvalidasi — direkomendasikan atau validasi Email, tergantung pada kebutuhan Anda.

    catatan

    Jika Anda dapat mengedit DNS konfigurasi Anda, kami sarankan Anda menggunakan validasi DNS domain daripada validasi email. DNSvalidasi memiliki banyak manfaat dibandingkan validasi email. Lihat DNSvalidasi.

    Sebelum ACM mengeluarkan sertifikat, itu memvalidasi bahwa Anda memiliki atau mengontrol nama domain dalam permintaan sertifikat Anda. Anda dapat menggunakan validasi email atau DNS validasi.

    Jika Anda memilih validasi email, ACM mengirimkan email validasi ke domain yang Anda tentukan di bidang nama domain. Jika Anda menentukan domain validasi, ACM kirimkan email ke domain validasi tersebut. Untuk informasi selengkapnya tentang validasi email, lihatValidasi email.

    Jika Anda menggunakan DNS validasi, Anda cukup menambahkan CNAME catatan yang disediakan oleh ACM ke DNS konfigurasi Anda. Untuk informasi selengkapnya tentang DNS validasi, lihatDNSvalidasi.

  4. Di bagian Algoritma kunci, pilih salah satu dari tiga algoritma yang tersedia:

    • RSA2048 (default)

    • ECDSAP 256

    • ECDSAP 384

    Untuk informasi yang membantu Anda memilih algoritme, lihat Algoritma kunci dan posting AWS blog Cara mengevaluasi dan menggunakan ECDSA sertifikat di AWS Certificate Manager.

  5. Di halaman Tag, Anda dapat menandai sertifikat Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter ACM tag dan petunjuk tentang cara menambahkan tag ke sertifikat setelah pembuatan, lihatMenandaiAWS Certificate Manager sertifikat penandaan sertifikat.

    Setelah selesai menambahkan tag, pilih Permintaan.

  6. Setelah permintaan diproses, konsol mengembalikan Anda ke daftar sertifikat Anda, di mana informasi tentang sertifikat baru ditampilkan.

    Sertifikat memasuki status Validasi tertunda setelah diminta, kecuali jika gagal karena salah satu alasan yang diberikan dalam topik pemecahan masalah Permintaan sertifikat gagal. ACMmelakukan upaya berulang untuk memvalidasi sertifikat selama 72 jam dan kemudian habis waktu. Jika sertifikat menunjukkan status Gagal atau Waktu validasi habis, hapus permintaan, perbaiki masalah dengan DNSvalidasi atau validasi Email, dan coba lagi. Jika validasi berhasil, sertifikat memasuki status Diterbitkan.

    catatan

    Bergantung pada bagaimana Anda memesan daftar, sertifikat yang Anda cari mungkin tidak segera terlihat. Anda dapat mengklik segitiga hitam di sebelah kanan untuk mengubah urutan. Anda juga dapat menavigasi melalui beberapa halaman sertifikat menggunakan nomor halaman di kanan atas.

Meminta sertifikat publik menggunakan CLI

Gunakan perintah request-certificate untuk meminta ACM sertifikat publik baru pada baris perintah. Nilai opsional untuk metode validasi adalah DNS danEMAIL. Nilai opsional untuk algoritma kunci adalah RSA _2048 (default jika parameter tidak disediakan secara eksplisit), EC_Prime256v1, dan EC_secp384R1.

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

Perintah ini menampilkan Amazon Resource Name (ARN) dari sertifikat publik baru Anda.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}