# 轮换 SSL/TLS 证书
<a name="cnames-and-https-rotate-certificates"></a>

当 SSL/TLS 证书即将到期时，您需要轮换它们，以确保分配的安全性，并避免查看器出现服务中断。可以通过以下方式轮换证书：
+ 对于 AWS Certificate Manager（ACM）提供的 SSL/TLS 证书，无需轮换。ACM *自动* 为您管理证书续订。有关更多信息，请参阅《AWS Certificate Manager User Guide》**中的 [Managed certificate renewal](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html)。
+ 如果您使用的是第三方证书颁发机构，并且已将证书导入到 ACM（推荐）或上传到 IAM 证书存储中，则有时必须将一个证书更换为另一个证书。

  

**重要**  
对于您从第三方证书颁发机构获取并导入 ACM 的证书，ACM 不会为其管理证书续订。
如果您将 CloudFront 配置为使用专用 IP 地址提供 HTTPS 请求，就您在轮换证书时使用一个或多个其他证书，可能会产生额外的按比例分摊的费用。建议您更新分配，以最大程度地降低额外费用。

## 轮换 SSL/TLS 证书
<a name="rotate-ssl-tls-certificate"></a>

要轮换证书，请执行以下过程。在您轮换证书以及轮换过程完成时，查看器可以继续访问您的内容。<a name="rotate-ssl-tls-certificates-proc"></a>

**轮换 SSL/TLS 证书**

1. [增加 SSL/TLS 证书的配额](increasing-the-limit-for-ssl-tls-certificates.md)以确定您是否需要权限来使用更多的 SSL 证书。如果需要，可请求权限并等待授予权限，然后继续执行步骤 2。

1. 将新证书导入 ACM 或者上传到 IAM。有关更多信息，请参阅《Amazon CloudFront 开发人员指南》**中的[导入 SSL/TLS 证书](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates)。

1. （仅适用于 IAM 证书）请一次更新一项分配，使其使用新证书。有关更多信息，请参阅 [更新分配](HowToUpdateDistribution.md)。

1. （可选）从 ACM 或 IAM 中删除之前的证书。
**重要**  
在将 SSL/TLS 证书从所有分配中移除并且已更新的分配的状态变为 `Deployed` 之前，请勿删除该证书。