Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Richiedi un certificato privato (console)
-
Accedi alla console di AWS gestione e apri la console ACM da https://console.aws.amazon.com/acm/casa
. Scegli Request a certificate (Richiedi un certificato).
-
Nella pagina Request certificate (Richiedi un certificato) scegli Request a private certificate (Richiedi un certificato privato) e Next (Avanti) per continuare.
-
Nella sezione Dettagli dell'autorità di certificazione, fai clic sul menu Autorità di certificazione e scegli una delle opzioni private CAs disponibili. Se la CA è condivisa da un altro account, l'ARN precede le informazioni sulla proprietà.
Vengono visualizzate dettagli sulla CA per aiutarti a verificare di aver scelto la quella corretta:
-
Proprietario
-
Type (Tipo)
-
Common name (CN) (Nome comune)
-
Organizzazione (O)
-
Organization unit (OU) (Unità organizzativa)
-
Nome paese (C)
-
State or province (Stato o provincia)
-
Locality name (Nome località)
-
-
Nella sezione Domain names (Nomi di dominio) digita il nome di dominio. È possibile utilizzare un nome di dominio completo (FQDN) come
www.example.como un nome di dominio essenziale o apex comeexample.com. È inoltre possibile utilizzare un asterisco (*) come carattere jolly nella posizione più a sinistra per proteggere diversi nomi di siti nello stesso dominio. Ad esempio,*.example.comproteggecorp.example.comeimages.example.com. Il nome del carattere jolly apparirà nel campo Subject (Oggetto) e nell'estensione Subject Alternative Name (Nome oggetto alternativo) del certificato ACM.Nota
Quando si fa richiesta di un certificato jolly, l'asterisco (
*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio,*.example.compuò proteggerelogin.example.cometest.example.com, ma non può proteggeretest.login.example.com. Si noti inoltre come*.example.comprotegga solo i sottodomini diexample.come non il dominio essenziale o apex (example.com). Per proteggere entrambi, consulta la fase successivaFacoltativamente, puoi scegliere Aggiungi un altro nome al certificato e digitare il nome nella casella di testo. Questo è utile per autenticare sia un dominio essenziale o apex (ad esempio
example.com) che i relativi sottodomini (*.example.com). -
Nella sezione Algoritmo chiave, scegli un algoritmo.
Per informazioni su come scegliere un algoritmo, consulta AWS Certificate Manager Risorse per tag.
-
Nella sezione Tags (Tag) è possibile taggare facoltativamente il certificato. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse. AWS Per un elenco dei parametri dei tag ACM e per istruzioni su come aggiungere tag ai certificati dopo la creazione, consulta AWS Certificate Manager Risorse per tag.
-
Nella sezione Certificate renewal permissions (Autorizzazioni di rinnovo dei certificati), riconosce l'avviso sulle autorizzazioni di rinnovo del certificato. Queste autorizzazioni consentono il rinnovo automatico dei certificati PKI privati firmati con la CA selezionata. Per ulteriori informazioni consulta Utilizzo di un ruolo collegato ai servizi con ACM.
-
Dopo aver fornito tutte le informazioni richieste, scegli Request (Richiesta). La console ti restituisce all'elenco dei certificati, dove puoi visualizzare il nuovo certificato.
Nota
A seconda di come hai ordinato l'elenco, un certificato che stai cercando potrebbe non essere immediatamente visibile. È possibile fare clic sul triangolo nero a destra per modificare l'ordine. È inoltre possibile navigare tra più pagine di certificati utilizzando i numeri di pagina in alto a destra.
Richiedi un certificato privato (CLI)
È possibile usare il comando request-certificate per richiedere un certificato privato in ACM.
Nota
Quando si richiede un certificato PKI privato firmato da una CA di AWS Private CA, la famiglia di algoritmi di firma specificata (RSA o ECDSA) deve corrispondere alla famiglia di algoritmi della chiave segreta della CA.
aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\ certificate-authority/CA_ID
Questo comando restituisce l'Amazon Resource Name (ARN) del nuovo certificato privato.
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} Nella maggior parte dei casi, ACM assegna automaticamente un ruolo collegato ai servizii (SLR) all'account la prima volta che si utilizza una CA condivisa. Il SLR abilita il rinnovo automatico dei certificati di entità finale rilasciati da te. Per verificare se il SLR è presente, è possibile eseguire una query IAM con il comando seguente:
aws iam get-role --role-name AWSServiceRoleForCertificateManager
Se il SLR è presente, l'output del comando dovrebbe essere simile al seguente:
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}Se manca il SLR, consulta Utilizzo di un ruolo collegato ai servizi con ACM.
