Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Richiedi un certificato privato in AWS Certificate Manager
<a name="gs-acm-request-private"></a>

## Richiedi un certificato privato (console)
<a name="request-private-console"></a>

1. Accedi alla console di AWS gestione e apri la console ACM da [https://console.aws.amazon.com/acm/casa](https://console.aws.amazon.com/acm/home).

   Scegli **Request a certificate** (Richiedi un certificato).

1. Nella pagina **Request certificate (Richiedi un certificato)** scegli **Request a private certificate (Richiedi un certificato privato)** e **Next (Avanti)** per continuare.

1. Nella sezione **Dettagli dell'autorità di certificazione**, seleziona il menu **Autorità di certificazione** e scegli una delle opzioni private CAs disponibili. Se la CA è condivisa da un altro account, l'ARN precede le informazioni sulla proprietà.

   Vengono visualizzate dettagli sulla CA per aiutarti a verificare di aver scelto la quella corretta:
   + **Proprietario**
   + **Type** (Tipo)
   + **Common name (CN)** (Nome comune)
   + **Organizzazione (O)**
   + **Organization unit (OU)** (Unità organizzativa)
   + **Nome paese (C)**
   + **State or province** (Stato o provincia)
   + **Locality name** (Nome località)

1. Nella sezione **Domain names** (Nomi di dominio) digita il nome di dominio. È possibile utilizzare un nome di dominio completo (FQDN) come **www.example.com** o un nome di dominio essenziale o apex come **example.com**. È inoltre possibile utilizzare un asterisco (**\***) come carattere jolly nella posizione più a sinistra per proteggere diversi nomi di siti nello stesso dominio. Ad esempio, **\*.example.com** protegge **corp.example.com** e **images.example.com**. Il nome del carattere jolly verrà visualizzato nel campo **Oggetto** e nell'estensione **Subject Alternative Name** del certificato ACM. 
**Nota**  
Quando si fa richiesta di un certificato jolly, l'asterisco (**\***) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, **\*.example.com** può proteggere **login.example.com** e **test.example.com**, ma non può proteggere **test.login.example.com**. Si noti inoltre come **\*.example.com** protegga *solo* i sottodomini di **example.com** e non il dominio essenziale o apex (**example.com**). Per proteggere entrambi, consulta la fase successiva

   Facoltativamente, puoi scegliere **Aggiungi un altro nome al certificato** e digitare il nome nella casella di testo. Questo è utile per autenticare sia un dominio essenziale o apex (ad esempio **example.com**) che i relativi sottodomini (**\*.example.com**).

1. Nella sezione **Algoritmo chiave**, scegli un algoritmo.

   Per informazioni su come scegliere un algoritmo, consulta il post del AWS blog [Come valutare e utilizzare i certificati ECDSA](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/) in. AWS Certificate Manager

1. Nella sezione **Tags** (Tag) è possibile taggare facoltativamente il certificato. I tag sono coppie chiave-valore che fungono da metadati per identificare e organizzare le risorse. AWS Per un elenco dei parametri dei tag ACM e per istruzioni su come aggiungere tag ai certificati dopo la creazione, consulta [AWS Certificate Manager Risorse per tag](tags.md).

1. Nella sezione **Certificate renewal permissions (Autorizzazioni di rinnovo dei certificati)**, riconosce l'avviso sulle autorizzazioni di rinnovo del certificato. Queste autorizzazioni consentono il rinnovo automatico dei certificati PKI privati firmati con la CA selezionata. Per ulteriori informazioni consulta [Utilizzo di un ruolo collegato ai servizi con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). 

1. Dopo aver fornito tutte le informazioni richieste, scegli **Request (Richiesta)**. La console ti restituisce all'elenco dei certificati, dove puoi visualizzare il nuovo certificato.
**Nota**  
A seconda di come hai ordinato l'elenco, un certificato che stai cercando potrebbe non essere immediatamente visibile. È possibile fare clic sul triangolo nero a destra per modificare l'ordine. È inoltre possibile navigare tra più pagine di certificati utilizzando i numeri di pagina in alto a destra.

## Richiedi un certificato privato (CLI)
<a name="request-private-cli"></a>

È possibile usare il comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) per richiedere un certificato privato in ACM. 

**Nota**  
Quando si richiede un certificato PKI privato firmato da una CA di AWS Private CA, la famiglia di algoritmi di firma specificata (RSA o ECDSA) deve corrispondere alla famiglia di algoritmi della chiave segreta della CA.

```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:{{Region}}:{{444455556666}}:\
certificate-authority/{{CA_ID}}
```

Questo comando restituisce l'Amazon Resource Name (ARN) del nuovo certificato privato.

```
{
    "CertificateArn": "arn:aws:acm:{{Region}}:{{444455556666}}:certificate/{{certificate_ID}}"
}
```

Nella maggior parte dei casi, ACM assegna automaticamente un ruolo collegato ai servizii (SLR) all'account la prima volta che si utilizza una CA condivisa. Il SLR abilita il rinnovo automatico dei certificati di entità finale rilasciati da te. Per verificare se il SLR è presente, è possibile eseguire una query IAM con il comando seguente:

```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```

Se il SLR è presente, l'output del comando dovrebbe essere simile al seguente:

```
{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}
```

Se manca il SLR, consulta [Utilizzo di un ruolo collegato ai servizi con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).