選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

AWS Certificate Manager 公用憑證特性和限制

焦點模式
AWS Certificate Manager 公用憑證特性和限制 - AWS Certificate Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

提供的公用憑證ACM具有本所述的特性和限制。這些特性僅適用於由提供的憑證ACM。它們可能不適用於匯入的憑證

瀏覽器和應用程式信任

ACM證書是由所有主要的瀏覽器,包括谷歌瀏覽器,Microsoft IE 瀏覽器和 Microsoft 邊緣,火狐瀏覽器和蘋果 Safari 瀏覽器信任。信任ACM憑證的瀏覽器透過SSL/連線TLS至使用ACM憑證的網站時,會在狀態列或網址列中顯示鎖定圖示。ACM憑證也受到 Java 的信任。

憑證授權機構和階層

您透過申請的公有憑證ACM是從 Amazon 受管公共憑證授權單位 (CA) Amazon 信任服務取得的。Amazon 根 CAs 1 到 4 由名為星空 G2 根證書頒發機構-G2 的舊根交叉簽名。Starfield 是 Android 裝置信任的根,Android Gingerbread 和 iOS 4.1 以後的版本,均將其視為信任的根。Amazon 根受 iOS 11 以後的版本所信任。任何包含 Amazon 或 Starfield 根目錄的瀏覽器、應用程式或作業系統都會信任從中ACM取得的公用憑證。

發行給客戶的終端實體憑證,ACM透過數個中CAs繼資料中的任何一個,從 Amazon 信任服務根 CA 衍生其授權。ACM根據要求的憑證類型 (RSA或ECDSA) 隨機指派中繼 CA。由於中繼 CA 是在產生要求之後隨機選取的,因ACM此不會提供中繼 CA 資訊。

網域驗證 (DV)

ACM 憑證是由網域驗證。也就是說,ACM證書的主題字段標識了域名,僅此而已。當您要求ACM憑證時,您必須驗證您擁有或控制您在要求中指定的所有網域。您可以使用電子郵件或DNS. 如需詳細資訊,請參閱 AWS Certificate Manager 電郵驗證AWS Certificate Manager DNS驗證

中繼和根 CA 輪換

為維護彈性且靈活的憑證基礎設施,Amazon 可在未提前通知的情況下,隨時選擇停止中繼 CA。這種變動不會對客戶造成任何影響。如需詳細資訊,請參閱部落格文章 Amazon introduces dynamic intermediate certificate authorities (Amazon 推出動態中繼憑證授權機構)。

雖然不太可能發生,但萬一 Amazon 必須停止根 CA,這種變動會在有必要時立即發生。由於這種變化的巨大影響,Amazon 將使用所有可用的機制來通知 AWS 客戶,包括 AWS Health Dashboard,發送電子郵件給帳戶所有者,並向技術客戶經理拓展。

存取防火牆以撤銷憑證

如果終端實體憑證不再值得信任,該憑證就會遭到撤銷。OCSP和CRLs是用來驗證憑證是否已撤銷的標準機制。OCSP和CRLs是用來發佈撤銷資訊的標準機制。部分客戶的防火牆可能需要額外的規則來允許這些機制運作。

下列範例URL萬用字元模式可用來識別撤銷流量。星號 (*) 萬用字元代表一或多個英數字元,問號 (?) 代表一個英數字元,井字號 (#) 代表一個數字。

  • OCSP

    http://ocsp.?????.amazontrust.com

    http://ocsp.*.amazontrust.com

  • CRL

    http://crl.?????.amazontrust.com/?????.crl

    http://crl.*.amazontrust.com/*.crl

關鍵演算法

憑證必須指定演算法和金鑰大小。目前,支援下列RSA和橢圓曲線數位簽章演算法 (ECDSA) 公開金鑰演算法ACM。ACM可以使用星號 (*) 標記的演算法要求發行新憑證。其餘演算法僅支援匯入的憑證。

注意

當您要求 CA 簽署的私有PKI憑證 AWS Private CA,指定的簽章演算法系列 (RSA或ECDSA) 必須符合 CA 秘密金鑰的演算法系列。

  • RSA位RSA_1024

  • RSA位元 (RSA_2048) *

  • RSA位元 RSA_3072

  • RSA位元 RSA_4096

  • ECDSA256 位元 (EC_prime256v1) *

  • ECDSA位元 (EC_secp384r1) *

  • ECDSA位元 EC_secp521r1

ECDSA金鑰較小,提供與RSA金鑰相當的安全性,但運算效率更高。不過,並ECDSA非所有網路用戶端都支援。下表從改編而來 NIST,顯示了具有各種尺寸鍵RSAECDSA的代表性安全強度。所有值均以位元為單位。

比較演算法和金鑰的安全性

安全性強度

RSA金鑰大小

ECDSA金鑰大小

128

3072 256

192

7680 384

256

15360 521

安全性強度可理解為 2 的次方,與破壞加密所需的猜測次數有關。例如,3072 位元RSA金鑰和 256 ECDSA 位元金鑰都可以擷取,而不會超過 2 128 次猜測。

如需協助您選擇演算法的資訊,請參閱 AWS 博客文章如何評估和使用ECDSA證書 AWS Certificate Manager.

重要

請注意,整合服務僅允許支援的演算法和金鑰大小與其資源相關聯。此外,它們的支援會因憑證匯入IAM或匯入憑證而有所不同ACM。如需更多詳細資訊,請參閱各服務的文件。

受管續約和部署

ACM管理ACM憑證續約程序,並在更新憑證後佈建憑證。自動續約可協助您避免因憑證設定錯誤、撤銷或過期引起的停機時間。如需詳細資訊,請參閱受管理的憑證續約 AWS Certificate Manager

多個網域名稱

每個ACM憑證必須包含至少一個完整網域名稱 (FQDN),而且您可以視需要新增其他名稱。例如,當您建立ACM憑證時www.example.comwww.example.net如果客戶可以使用其中一個名稱存取您的網站,您也可以新增名稱。這也適用的 bare 網域 (也稱為 Zone Apex 或裸網域)。也就是說,您可以為 www.example.com 申請ACM憑證,並新增名稱 Example.com。如需詳細資訊,請參閱AWS Certificate Manager 公開憑證

Punycode

必須滿足以下與國際化網域名稱有關的 Punycode 要求:

  1. 以 "<character><character>--" 模式開頭的網域名稱必須匹配 "xn--"。

  2. 以 "xn--" 開頭的網域名稱也必須是有效的國際化網域名稱。

Punycode 範例

網域名稱

滿足 #1

滿足 #2

允許

注意

example。com

N/A

不以 "<character><character>--" 開頭

a--example.com

N/A

不以 "<character><character>--" 開頭

abc--example.com

N/A

不以 "<character><character>--" 開頭

xn--xyz.com

有效的國際化網域名稱 (解析為簡.com)

xn--example.com

不是有效的國際化網域名稱

ab--example.com

必須以 "xn--" 開頭

有效期間

ACM憑證的有效期為 13 個月 (395 天)。

萬用字元名稱

ACM可讓您在網域名稱中使用星號 (*) 來建立包含萬用字元名稱的ACM憑證,以保護相同網域中的多個網站。例如,*.example.com 可保護 www.example.comimages.example.com

注意

請求萬用字元憑證時,星號 (*) 必須在網域名稱的最左方,而且僅能保護一個子網域等級。例如,*.example.com 可以保護 login.example.comtest.example.com,但不能保護 test.login.example.com。另請注意,*.example.com 可以保護 example.com 的子網域,無法保護 bare 或 apex 網域 (example.com)。不過,您可以在申請中指定多個網域名稱,以申請保護 bare 或 apex 網域及其子網域的憑證。例如,您可以申請保護 example.com*.example.com 的憑證。

限制

下列限制適用於公用憑證。

  • ACM不提供延伸驗證 (EV) 憑證或組織驗證 (OV) 憑證。

  • ACM不為SSL/TLS協議以外的任何東西提供證書。

  • 您無法使用ACM憑證進行電子郵件加密。

  • ACM目前不允許您選擇退出憑證的受管理ACM憑證續約。此外,您匯入的憑證無法使用受管續約ACM。

  • 您無法為 Amazon 擁有的網域名稱申請憑證,例如結尾為 amazonaws.com、cloudfront.net 或 elasticbeanstalk.com 的網域名稱。

  • 您無法下載ACM憑證的私密金鑰。

  • 您無法在 Amazon 彈性運算雲端 (AmazonEC2) 網站或應用程式上直接安裝ACM憑證。不過,您可以搭配任何整合的服務使用憑證。如需詳細資訊,請參閱服務整合 ACM

  • 除非您選擇退出,否則公開信任的ACM憑證會自動記錄在至少兩個憑證透明度資料庫中。目前,您不能使用主控台來選擇退出。您必須使用 AWS CLI 或 ACMAPI. 如需詳細資訊,請參閱取消使用憑證透明度記錄功能。如需透明度日誌的一般資訊,請參閱憑證透明度記錄

在本頁面

下一個主題:

要求公用憑證

上一個主題:

公開憑證
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。