As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
ACMcaracterísticas do certificado
Os certificados públicos fornecidos pela ACM têm as características descritas nesta página .
nota
Essas características se aplicam somente aos certificados fornecidos pelaACM. Eles podem não se aplicar aos certificados para os quais você importa ACM.
-
Os certificados públicos que você solicita por meio ACM da Amazon Trust Services
, uma autoridade de certificação pública (CA) gerenciada pela Amazon. O Amazon Root CAs 1 a 4 tem assinatura cruzada por uma raiz mais antiga chamada Starfield G2 Root Certificate Authority - G2. A raiz Starfield é confiável em dispositivos Android a partir das versões mais novas do Gingerbread e, no iOS, a partir da versão 4.1 do sistema. As raízes da Amazon são consideradas confiáveis pelo iOS a partir da versão 11. Qualquer navegador, aplicativo ou sistema operacional que inclua as raízes Amazon ou Starfield confiará nos certificados públicos obtidos deACM. Os certificados preliminares ou de entidade final ACM emitidos aos clientes derivam sua autoridade de uma CA raiz do Amazon Trust Services por meio de qualquer um dos vários intermediários. CAs ACMatribui aleatoriamente uma CA intermediária com base no tipo de certificado (RSAouECDSA) solicitado. Como a CA intermediária é selecionada aleatoriamente após a geração da solicitação, ACM não fornece informações da CA intermediária.
- Confiança de navegadores e aplicações
-
ACMos certificados são confiáveis por todos os principais navegadores, incluindo Google Chrome, Microsoft Internet Explorer e Microsoft Edge, Mozilla Firefox e Apple Safari. Os navegadores que confiam em ACM certificados exibem um ícone de cadeado na barra de status ou na barra de endereço quando conectados porSSL/TLSa sites que usam ACM certificados. ACMos certificados também são confiáveis para o Java.
- Rotação de CA intermediária e raiz
-
Para manter uma infraestrutura de certificados ágil e resiliente, a Amazon pode, a qualquer momento, optar por descontinuar uma CA intermediária sem aviso prévio. Mudanças desse tipo não têm impacto nos clientes. Para obter mais informações, consulte a postagem “Amazon introduces dynamic intermediate certificate authorities”
(Amazon apresenta autoridades de certificação intermediárias dinâmicas) no blog. No caso improvável de a Amazon descontinuar uma CA raiz, a alteração ocorrerá tão rapidamente quanto as circunstâncias exigirem. Devido ao grande impacto dessa mudança, a Amazon usará todos os mecanismos disponíveis para notificar AWS os clientes, incluindo e-mail para proprietários de contas e contato com gerentes técnicos de contas. AWS Health Dashboard
- Acesso ao firewall para revogação
-
Se um certificado de entidade final não for mais confiável, ele será revogado. OCSPe CRLs são os mecanismos padrão usados para verificar se um certificado foi revogado ou não. OCSPe CRLs são os mecanismos padrão usados para publicar informações de revogação. Alguns firewalls de clientes podem precisar de regras adicionais para permitir que esses mecanismos funcionem.
O exemplo de padrões URL curinga a seguir pode ser usado para identificar o tráfego de revogação. Um caractere-curinga asterisco (*) representa um ou mais caracteres alfanuméricos, um ponto de interrogação (?) representa um único caractere alfanumérico e uma marca de hash (#) representa um número.
-
OCSP
http://ocsp.?????.amazontrust.comhttp://ocsp.*.amazontrust.com -
CRL
http://crl.?????.amazontrust.com/?????.crlhttp://crl.*.amazontrust.com/*.crl
-
- Validação de domínio (DV)
-
Os certificados do ACM têm validação de domínio. Ou seja, o campo de assunto de um ACM certificado identifica um nome de domínio e nada mais. Ao solicitar um ACM certificado, você deve validar que você possui ou controla todos os domínios especificados na solicitação. Você pode validar a propriedade usando e-mail ouDNS. Para ter mais informações, consulte Validação de e-mail e DNSvalidação.
- Período de validade
-
O período de validade ACM dos certificados é de 13 meses (395 dias).
- Renovação e implantação gerenciadas
-
ACMgerencia o processo de renovação ACM e provisionamento dos certificados após a renovação. A renovação automática pode ajudá-lo a evitar tempo de inatividade devido a certificados configurados incorretamente, revogados ou expirados. Para obter mais informações, consulte Renovação gerenciada para ACM certificados.
- Vários nomes de domínio
-
Cada ACM certificado deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN), e você pode adicionar outros nomes se quiser. Por exemplo, ao criar um ACM certificado para
www.example.com, você também pode adicionar o nomewww.example.netse os clientes conseguirem acessar seu site usando qualquer um dos nomes. Isso também é verdadeiro para domínios vazios (também conhecidos como o apex de zona ou domínios nus). Ou seja, você pode solicitar um ACM certificado para www.exemplo.com e adicionar o nome exemplo.com. Para obter mais informações, consulte Solicitação de um certificado público. - Nomes curinga
-
ACMpermite que você use um asterisco (*) no nome do domínio para criar um ACM certificado contendo um nome curinga que pode proteger vários sites no mesmo domínio. Por exemplo,
*.example.comprotegewww.example.comeimages.example.com.nota
Quando você solicita um certificado curinga, o asterisco (
*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o*.example.compode protegerlogin.example.cometest.example.commas não consegue protegertest.login.example.com. Note também que*.example.comprotege apenas os subdomínios deexample.com, ele não protege o domínio vazio ou apex (example.com). No entanto, você pode solicitar um certificado que proteja um domínio vazio ou apex ou seus subdomínios, especificando vários nomes de domínio em sua solicitação. Por exemplo, você pode solicitar um certificado que protejaexample.come*.example.com. - Algoritmos-chave
-
Um certificado deve especificar um algoritmo e um tamanho de chave. Atualmente, os seguintes algoritmos de chave pública RSA e o Elliptic Curve Digital Signature Algorithm (ECDSA) são suportados pelo. ACM ACMpode solicitar a emissão de novos certificados usando algoritmos marcados com um asterisco (*). Os algoritmos restantes são suportados somente para certificados importados.
nota
Quando você solicita um PKI certificado privado assinado por uma CA AWS Private CA, a família de algoritmos de assinatura especificada (RSAouECDSA) deve corresponder à família de algoritmos da chave secreta da CA.
-
RSA1024 bits ()
RSA_1024 -
RSA2048 bits (
RSA_2048) * -
RSA3072 bits ()
RSA_3072 -
RSA4096 bits ()
RSA_4096 -
ECDSA256 bits (
EC_prime256v1) * -
ECDSA384 bits (
EC_secp384r1) * -
ECDSA521 bits ()
EC_secp521r1
ECDSAas chaves são menores, oferecendo segurança comparável às RSA chaves, mas com maior eficiência computacional. No entanto, não ECDSA é suportado por todos os clientes da rede. A tabela a seguir, adaptada de NIST
, mostra a força de segurança representativa de RSA e ECDSA com chaves de vários tamanhos. Todos os valores estão em bits. Comparando segurança para algoritmos e chavesForça de segurança
RSAtamanho da chave
ECDSAtamanho da chave
128
3072 256 192
7680 384 256
15360 521 A força de segurança, entendida como uma potência de 2, está relacionada ao número de tentativas necessárias para quebrar a criptografia. Por exemplo, tanto uma chave de 3072 bits quanto uma RSA chave de 256 bits ECDSA podem ser recuperadas com no máximo 2.128 suposições.
Para obter informações para ajudá-lo a escolher um algoritmo, consulte a postagem do AWS blog Como avaliar e usar ECDSA certificados em AWS Certificate Manager
. Importante
Observe que os serviços integrados permitem apenas que sejam associados aos recursos os algoritmos e os tamanhos de chaves compatíveis. Além disso, seu suporte difere dependendo se o certificado é importado para IAM ou para dentroACM. Para obter mais informações, consulte a documentação para cada serviço.
-
Para o Elastic Load Balancing, consulte HTTPSListeners for Your Application Load Balancer.
-
Para isso CloudFront, consulte SupportedSSL/TLSProtocols and Ciphers.
-
- Punycode
-
É necessário satisfazer os seguintes requisitos de Punycode
relacionados a Internationalized Domain Names (Nomes de domínio internacionalizados): -
Nomes de domínio que comecem com o padrão “<character><character>--” devem corresponder a “xn--”.
-
Nomes de domínio que comecem com “xn--” também devem ser nomes de domínio internacionalizado válidos.
Exemplos de PunycodeNome do domínio
Satisfaz o n.º 1
Satisfaz o n.º 2
Permitido
Observação
exemplo.com
n/a
n/a
✓
Não começa com “<character><character>--”
a--example.com
n/a
n/a
✓
Não começa com “<character><character>--”
abc--example.com
n/a
n/a
✓
Não começa com “<character><character>--”
xn--xyz.com
Sim
Sim
✓
Nome de domínio internacionalizado válido (é resolvido para 简.com)
xn--example.com
Sim
Não
✗
Não é um nome de domínio internacionalizado válido
ab--example.com
Não
Não
✗
Deve começar com “xn--”
-
- Exceções
-
Observe o seguinte:
-
ACMnão fornece certificados de validação estendida (EV) nem certificados de validação organizacional (OV).
-
ACMnão fornece certificados para nada além dos TLS protocolos SSL /.
-
Você não pode usar ACM certificados para criptografia de e-mail.
-
ACMatualmente, não permite que você opte por não receber a renovação gerenciada de ACM certificados. Além disso, a renovação gerenciada não está disponível para certificados para os quais você importaACM.
-
Você não pode solicitar certificados para nomes de domínio pertencentes à Amazon, como aqueles que terminam em amazonaws.com, cloudfront.net ou elasticbeanstalk.com.
-
Você não pode baixar a chave privada de um ACM certificado.
-
Você não pode instalar ACM certificados diretamente em seu site ou aplicativo Amazon Elastic Compute Cloud (AmazonEC2). No entanto, você pode usar o certificado com qualquer serviço integrado. Para obter mais informações, consulte Serviços integrados com AWS Certificate Manager.
-
