本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Certificate Manager 可导出的公共证书
<a name="acm-exportable-certificates"></a>

AWS Certificate Manager 可导出的公有证书允许您在任何地方预置、管理和部署 [SSL/TLS 证书，包括 Amazon EC2 实例、容器和本地主机](acm-concepts.md#concept-sslcert)。此功能将 ACM 颁发的公共证书扩展到集成的范围之外 AWS 服务，使您可以集中控制整个基础架构中的证书。

## 优势
<a name="acm-exportable-certificates-benefits"></a>

以下内容概述了 ACM 可导出公有证书的优势：
+ *简化证书管理*：使用 ACM 集中管理所有资源的证书。
+ *更快地颁发证书*：在更短的时间内访问和使用证书。
+ *自动续订*：ACM 会自动处理证书续订，并在新证书准备好部署时通知您。有关更多信息，请参阅 [亚马逊对 ACM 的 EventBridge 支持](supported-events.md)。
+ *成本效益*：只需为您创建的可导出公有证书付费。
+ *灵活部署*：在任何支持标准 [SSL/TLS 证书](acm-concepts.md#concept-sslcert)的服务器或应用程序上使用证书。

## ACM 可导出公有证书的工作原理
<a name="acm-exportable-certificates-how-it-works"></a>

以下内容概述了 ACM 可导出公有证书的工作原理：

1. 通过 ACM 为您的域申请可导出证书。

1. 通过 DNS 或电子邮件验证来验证域所有权。

1. 导出证书、私有密钥和证书链。

1. 将证书部署到您的服务器或应用程序。

1. ACM 管理续订，并在有新证书可用时发送通知。

## 安全注意事项
<a name="acm-exportable-certificates-security"></a>

以下是使用 ACM 可导出公有证书时的安全注意事项。有关更多信息，请参阅 [中的数据保护 AWS Certificate Manager](data-protection.md)。
+ 使用安全的存储和访问控制来保护导出的私有密钥。
+ 如果您怀疑密钥泄露，请使用 ACM 的撤销功能。
+ 部署续订的证书时，请实施适当的密钥轮换过程。

## 限制
<a name="acm-exportable-certificates-limitations"></a>

以下是一些 ACM 证书限制：
+ 证书的有效期为 198 天。
+ ACM 会续订在到期日期前 45 天到期的证书。
+ 您必须管理导出证书的部署过程。

## 定价
<a name="acm-exportable-certificates-pricing"></a>

使用您创建的可导出公共 SSL/TLS 证书需要支付额外费用。 AWS Certificate Manager有关最新的 ACM 定价信息，请参阅 AWS 网站上的[AWS Certificate Manager 服务定价](https://aws.amazon.com//certificate-manager/pricing/)页面。

## 最佳实践
<a name="acm-exportable-certificates-best-practices"></a>

以下是使用 ACM 证书时的一些最佳实践：
+ 续订证书之后，您应该立即开始使用。
+ 测试并实施续订证书的自动部署流程。
+ 使用 [Amazon EventBridge 指标和警报](supported-events.md)监控证书部署。