本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 輪換 SSL/TLS 憑證
<a name="cnames-and-https-rotate-certificates"></a>

當您的 SSL/TLS 憑證即將過期時，您需要輪換憑證以確保分佈的安全性，並避免檢視器的服務中斷。您可用下列方式輪換憑證：
+ 對於 AWS Certificate Manager (ACM) 提供的 SSL/TLS 憑證，您不需要輪換它們。ACM 會*自動*為您管理憑證續約。如需詳細資訊，請參閱《*AWS Certificate Manager 使用者指南*》中的「[受管憑證續約](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html)」。
+ 如果您使用第三方憑證認證機構，而且已將憑證匯入 ACM (建議) 或上傳到 IAM 憑證存放區，則必須偶爾使用另一個憑證來替換某個憑證。

  

**重要**  
ACM 不會為您從第三方憑證認證機構取得並匯入到 ACM 的憑證管理憑證續約。
如果您設定 CloudFront 使用專用 IP 位址提供 HTTPS 請求，在更換憑證時，則可能需要支付額外按比例計算的費用來使用一或多個額外的憑證。我們建議您更新分佈，把額外的費用降到最低。

## 輪換 SSL/TLS 憑證
<a name="rotate-ssl-tls-certificate"></a>

若要輪換憑證，請執行以下程序。在您更換憑證的同時以及處理完成後，檢視器皆能持續存取您的內容。<a name="rotate-ssl-tls-certificates-proc"></a>

**若要輪換 SSL/TLS 憑證**

1. [增加 SSL/TLS 憑證的配額](increasing-the-limit-for-ssl-tls-certificates.md) 判斷您是否需要使用更多 SSL 憑證的許可。若是如此，請請求許可並等到授予許可時，再繼續步驟 2。

1. 將新憑證匯入到 ACM 或上傳至 IAM。如需詳細資訊，請參閱 *Amazon CloudFront 開發人員指南*中的[匯入 SSL/TLS 憑證](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates)。

1. (僅限 IAM 憑證) 一次更新一個分佈，以使用新的憑證。如需詳細資訊，請參閱[更新分佈](HowToUpdateDistribution.md)。

1. (選用) 從 ACM 或 IAM 刪除先前的憑證。
**重要**  
請勿刪除 SSL/TLS 憑證，直到您將其從所有分佈中移除，並直到您已更新的分佈已變更為 `Deployed`。