Solicitação de um certificado público - AWS Certificate Manager
Solicitar um certificado público usando o consoleSolicite um certificado público usando o CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solicitação de um certificado público

As seções a seguir discutem como usar o ACM console ou AWS CLI solicitar um ACM certificado público. Após solicitar um certificado público, você deverá concluir um dos procedimentos descritos em Validação da propriedade de domínios.

ACMOs certificados públicos seguem o padrão X.509 e estão sujeitos às seguintes restrições:

  • Nomes: você deve usar nomes DNS de assuntos compatíveis. Para ter mais informações, consulte Nomes de domínio.

  • Algoritmo: para criptografia, o algoritmo da chave privada do certificado deve ser de 2048 bitsRSA, 256 ECDSA bits ou 384 bits. ECDSA

  • Expiração: cada certificado é válido por 13 meses (395 dias).

  • Renovação: ACM tenta renovar automaticamente um certificado privado após 11 meses.

Se você tiver problemas ao solicitar um certificado, consulte Solução de problemas de solicitações de certificado.

Para solicitar um certificado para PKI uso privado CA privada da AWS, consulteSolicitando um certificado privado PKI.

nota

Os administradores podem usar políticas de chave ACM condicional para controlar como os usuários finais emitem novos certificados. Essas chaves condicionais permitem que restrições sejam colocadas em domínios, métodos de validação e outros atributos relacionados a uma solicitação de certificado.

nota

A menos que você opte por não participar, os ACM certificados publicamente confiáveis são registrados automaticamente em pelo menos dois bancos de dados de transparência de certificados. No momento, não é possível usar o console para cancelar. Você deve usar o AWS CLI ou ACM API o. Para ter mais informações, consulte Cancelamento do registro em log de transparência de certificado. Para obter informações gerais sobre logs de transparência, consulte Registro de transparência de certificados.

Solicitar um certificado público usando o console

Para solicitar um certificado ACM público (console)

  1. Faça login no AWS Management Console e abra o ACM console em https://console.aws.amazon.com/acm/casa.

    Selecione Request a certificate.

  2. Na seção Domain names (Nomes de domínio), digite seu nome de domínio.

    Você pode usar um nome de domínio totalmente qualificado (FQDN), comowww.example.com, ou um nome de domínio simples ou ápice, como. example.com Você também pode usar um asterisco (*) como um caractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio. Por exemplo, *.example.com protege corp.example.com e images.example.com. O nome do curinga aparecerá no campo Assunto e na extensão Nome alternativo do assunto do ACM certificado.

    Quando você solicita um certificado-curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o *.example.com pode proteger login.example.com e test.example.com mas não consegue proteger test.login.example.com. Note também que *.example.com protege apenas os subdomínios de example.com, ele não protege o domínio vazio ou apex (example.com). Para proteger ambos, consulte a próxima etapa.

    nota

    Em conformidade com RFC5280, o tamanho do nome de domínio (tecnicamente, o nome comum) inserido nesta etapa não pode exceder 64 octetos (caracteres), incluindo pontos. Cada nome alternativo de assunto (SAN) subsequente que você fornecer, como na próxima etapa, pode ter até 253 octetos de comprimento.

    Para adicionar outro nome, escolha Add another name to this certificate (Adicionar outro nome a este certificado) e digite o nome na caixa de texto. Isso é útil para proteger tanto o domínio vazio ou apex (como example.com) e seus subdomínios (*.example.com).

  3. Na seção Método de validação, escolha DNSvalidação — recomendada ou validação por e-mail, dependendo de suas necessidades.

    nota

    Se você conseguir editar sua DNS configuração, recomendamos usar a validação de DNS domínio em vez da validação de e-mail. DNSa validação tem vários benefícios em relação à validação de e-mail. Consulte DNSvalidação.

    Antes de ACM emitir um certificado, ele valida que você possui ou controla os nomes de domínio em sua solicitação de certificado. Você pode usar a validação ou DNS validação de e-mail.

    Se você escolher a validação de e-mail, ACM enviará um e-mail de validação para o domínio especificado no campo do nome do domínio. Se você especificar um domínio de validação, em vez disso, ACM envia o e-mail para esse domínio de validação. Para obter mais informações sobre a validação de e-mail, consulte Validação de e-mail.

    Se você usar a DNS validação, basta adicionar um CNAME registro fornecido por ACM à sua DNS configuração. Para obter mais informações sobre DNS validação, consulteDNSvalidação.

  4. Na seção Algoritmo chave, escolha um dos três algoritmos disponíveis:

    • RSA2048 (padrão)

    • ECDSAP 256

    • ECDSAP 384

    Para obter informações para ajudá-lo a escolher um algoritmo, consulte Algoritmos-chave e a postagem do AWS blog Como avaliar e usar ECDSA certificados em AWS Certificate Manager.

  5. Na página Tags (Etiquetas), é possível marcar seu certificado. As tags são pares de valores-chave que servem como metadados para identificar e organizar recursos. AWS Para obter uma lista de parâmetros de ACM tag e instruções sobre como adicionar tags aos certificados após a criação, consulteMarcação de certificados do AWS Certificate Manager.

    Ao terminar de adicionar etiquetas, escolha Request (Solicitar).

  6. Depois que a solicitação for processada, o console retornará à sua lista de certificados, onde informações sobre o novo certificado serão exibidas.

    Um certificado entra no status Pending validation (Validação pendente) mediante solicitação, a menos que falhe por qualquer um dos motivos indicados no tópico de solução de problemas Falha na solicitação do certificado. ACMfaz tentativas repetidas de validar um certificado por 72 horas e, em seguida, atinge o tempo limite. Se um certificado mostrar o status Falha ou a validação expirou, exclua a solicitação, corrija o problema com a DNSvalidação ou a validação por e-mail e tente novamente. Se a validação for bem-sucedida, o certificado entrará no status Issued (Emitido).

    nota

    Dependendo de como tiver ordenado a lista, talvez o certificado procurado não esteja imediatamente visível. Você pode clicar no triângulo preto à direita para alterar a ordem. Também é possível navegar por várias páginas de certificados usando os números de página no canto superior direito.

Solicite um certificado público usando o CLI

Use o comando request-certificate para solicitar um novo ACM certificado público na linha de comando. Os valores opcionais para o método de validação são DNS EMAIL e. Os valores opcionais para o algoritmo de chave são RSA _2048 (o padrão se o parâmetro não for fornecido explicitamente), EC_Prime256v1 e EC_SECP384R1.

aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED

Esse comando gera o Amazon Resource Name (ARN) do seu novo certificado público.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}