Solicitar um certificado privado (console)Solicitar um certificado privado (CLI)

Solicitar um certificado privado no AWS Certificate Manager

Solicitar um certificado privado (console)

Faça login no Console de Gerenciamento da AWS e abra o console do ACM em https://console.aws.amazon.com/acm/home.

Selecione Request a certificate.
Na página Request certificate (Solicitar certificado), escolha Request a private certificate (Solicitar um certificado privado) e Next (Próximo) para continuar.
Na seção Certificate authority details (Detalhes da autoridade de certificação), clique no menu Certificate authority (Autoridade de certificação) e escolha uma das CAs privadas disponíveis. Se a CA for compartilhada de outra conta, o ARN será precedido de informações de propriedade.

Os seguintes detalhes sobre a CA são exibidos para ajudar você a verificar se escolheu a CA correta:
- Proprietário
- Tipo
- Nome comum (CN)
- Organização (O)
- Unidade organizacional (OU)
- Nome do país (C)
- Estado ou província
- Nome da localidade
Na seção Domain names (Nomes de domínio), digite seu nome de domínio. É possível usar um nome de domínio totalmente qualificado (FQDN), como www.example.com ou um nome de domínio vaziou ou apex, como example.com. Você também pode usar um asterisco (*) como um caractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio. Por exemplo, *.example.com protege corp.example.com e images.example.com. O nome-curinga será exibido no campo Subject (Assunto) e na extensão Subject Alternative Name (Nome alternativo do assunto) do certificado do ACM.

nota
Quando você solicita um certificado-curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o *.example.com pode proteger login.example.com e test.example.com mas não consegue proteger test.login.example.com. Note também que *.example.com protege apenas os subdomínios de example.com, ele não protege o domínio vazio ou apex (example.com). Para proteger ambos, consulte a próxima etapa

Opcionalmente, escolha Add another name to this certificate (Adicionar outro nome a este certificado) e digite o nome na caixa de texto. Isso é útil para autenticar tanto um domínio vazio ou apex (como example.com) e seus subdomínios (como *.example.com).
Na seção Algoritmo-chave, escolha um algoritmo.

Para obter informações que ajudem você a escolher um algoritmo, consulte Marcar recursos do AWS Certificate Manager.
Na seção Tags (Etiquetas), é possível marcar seu certificado opcionalmente. As tags são pares chave-valor que servem como metadados para identificar e organizar recursos da AWS. Para obter uma lista de parâmetros de tag do ACM e instruções sobre como adicionar tags a certificados após a criação, consulte Marcar recursos do AWS Certificate Manager.
Na seção Certificate renewal permissions (Permissões de renovação de certificado), confirme o aviso sobre permissões de renovação de certificado. Essas permissões permitem a renovação automática de certificados de PKI privados que você assina com a CA selecionada. Para obter mais informações, consulte usando uma função vinculada ao serviço com o ACM.
Após fornecer todas as informações necessárias, clique em Request (Solicitar). O console retorna para a lista de certificados, na qual você pode visualizar seu novo certificado.

nota
Dependendo de como tiver ordenado a lista, talvez o certificado procurado não esteja imediatamente visível. Você pode clicar no triângulo preto à direita para alterar a ordem. Também é possível navegar por várias páginas de certificados usando os números de página no canto superior direito.

Solicitar um certificado privado (CLI)

Use o comando request-certificate para solicitar um certificado privado no ACM.

nota

Quando você solicita um certificado PKI privado assinado por uma CA da AWS Private CA, a família especificada de algoritmos de assinatura (RSA ou ECDSA) deve corresponder à família de algoritmos da chave secreta da CA.


aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

Esse comando gera o nome de recurso da Amazon (ARN) do seu novo certificado privado.


{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

Na maioria dos casos, o ACM anexa automaticamente uma função vinculada ao serviço (SLR) à sua conta na primeira vez que você usa uma CA compartilhada. O SLR permite a renovação automática de certificados de entidade final que você emite. Para verificar se o SLR está presente, você pode consultar o IAM com o seguinte comando:


aws iam get-role --role-name AWSServiceRoleForCertificateManager

Se o SLR estiver presente, a saída do comando deve ser semelhante à seguinte:


{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

Se a SLR estiver ausente, consulte Uso de uma função vinculada ao serviço com o ACM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Condições de uso

Exportar certificado