本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ACM憑證特性
由提供的公用憑證ACM具有本此頁面所述的特性。
注意
這些特性僅適用於由提供的憑證ACM。它們可能不適用於您匯入的憑證ACM。
-
您透過申請的公用憑證ACM是從 Amazon 受管公用憑證授權單位 (CA) Amazon 信任服務
取得的。Amazon 根 CAs 1 到 4 由一個名為星空 G2 根證書頒發機構-G2 的舊根交叉簽名。Starfield 是 Android 裝置信任的根,Android Gingerbread 和 iOS 4.1 以後的版本,均將其視為信任的根。Amazon 根受 iOS 11 以後的版本所信任。任何包含 Amazon 或 Starfield 根目錄的瀏覽器、應用程式或作業系統都會信任從中ACM取得的公用憑證。 發行給客戶的葉或終端實體憑證,ACM透過數個中CAs繼資料中的任何一個,從 Amazon 信任服務根 CA 衍生其授權。ACM根據要求的憑證類型 (RSA或ECDSA) 隨機指派中繼 CA。由於中繼 CA 是在產生要求之後隨機選取的,因ACM此不會提供中繼 CA 資訊。
- 瀏覽器和應用程式信任
-
ACM證書是由所有主流瀏覽器,包括谷歌瀏覽器,Microsoft IE 瀏覽器和 Microsoft 邊緣,火狐瀏覽器和蘋果 Safari 瀏覽器信任。信任ACM憑證的瀏覽器透過SSL/連線TLS至使用ACM憑證的網站時,會在狀態列或網址列中顯示鎖定圖示。ACM憑證也受到 Java 的信任。
- 中繼和根 CA 輪換
-
為維護彈性且靈活的憑證基礎設施,Amazon 可在未提前通知的情況下,隨時選擇停止中繼 CA。這種變動不會對客戶造成任何影響。如需詳細資訊,請參閱部落格文章 Amazon introduces dynamic intermediate certificate authorities
(Amazon 推出動態中繼憑證授權機構)。 雖然不太可能發生,但萬一 Amazon 必須停止根 CA,這種變動會在有必要時立即發生。由於此類變更的巨大影響,Amazon 將使用所有可用的機制來通知 AWS 客戶,包括將電子郵件傳送給帳戶擁有者,以及向技術客戶經理拓展。 AWS Health Dashboard
- 存取防火牆以撤銷憑證
-
如果終端實體憑證不再值得信任,該憑證就會遭到撤銷。OCSP和CRLs是用來驗證憑證是否已撤銷的標準機制。OCSP和CRLs是用來發佈撤銷資訊的標準機制。部分客戶的防火牆可能需要額外的規則來允許這些機制運作。
下列範例URL萬用字元模式可用來識別撤銷流量。星號 (*) 萬用字元代表一或多個英數字元,問號 (?) 代表一個英數字元,井字號 (#) 代表一個數字。
-
OCSP
http://ocsp.?????.amazontrust.comhttp://ocsp.*.amazontrust.com -
CRL
http://crl.?????.amazontrust.com/?????.crlhttp://crl.*.amazontrust.com/*.crl
-
- 網域驗證 (DV)
-
ACM 憑證是由網域驗證。也就是說,ACM證書的主題字段標識了域名,僅此而已。當您要求ACM憑證時,您必須驗證您擁有或控制您在要求中指定的所有網域。您可以使用電子郵件或DNS. 如需詳細資訊,請參閱 電子郵件驗證 和 DNS驗證。
- 有效期間
-
ACM憑證的有效期為 13 個月 (395 天)。
- 受管續約和部署
-
ACM管理ACM憑證續約程序,並在更新憑證後佈建憑證。自動續約可協助您避免因憑證設定錯誤、撤銷或過期引起的停機時間。如需詳細資訊,請參閱ACM憑證的受管理續約。
- 多個網域名稱
-
每個ACM憑證必須包含至少一個完整網域名稱 (FQDN),而且您可以視需要新增其他名稱。例如,當您建立ACM憑證時
www.example.com,www.example.net如果客戶可以使用其中一個名稱存取您的網站,您也可以新增名稱。這也適用的 bare 網域 (也稱為 Zone Apex 或裸網域)。也就是說,您可以為 www.example.com 申請ACM憑證,然後新增名稱 Example.com。如需詳細資訊,請參閱請求公有憑證。 - 萬用字元名稱
-
ACM可讓您在網域名稱中使用星號 (*) 來建立包含萬用字元名稱的ACM憑證,以保護相同網域中的多個網站。例如,
*.example.com可保護www.example.com和images.example.com。注意
請求萬用字元憑證時,星號 (
*) 必須在網域名稱的最左方,而且僅能保護一個子網域等級。例如,*.example.com可以保護login.example.com和test.example.com,但不能保護test.login.example.com。另請注意,*.example.com只可以保護example.com的子網域,無法保護 bare 或 apex 網域 (example.com)。不過,您可以在申請中指定多個網域名稱,以申請保護 bare 或 apex 網域及其子網域的憑證。例如,您可以申請保護example.com和*.example.com的憑證。 - 金鑰演算法
-
憑證必須指定演算法和金鑰大小。目前,支援下列RSA和橢圓曲線數位簽章演算法 (ECDSA) 公開金鑰演算法ACM。ACM可以使用星號 (*) 標記的演算法要求發行新憑證。其餘演算法僅支援匯入的憑證。
注意
當您要求 CA 簽署的私有PKI憑證時 AWS Private CA,指定的簽署演算法系列 (RSA或ECDSA) 必須符合 CA 秘密金鑰的演算法系列。
-
RSA
RSA_1024 -
RSA位元 (
RSA_2048) * -
RSA位元
RSA_3072 -
RSA位元
RSA_4096 -
ECDSA256 位元 (
EC_prime256v1) * -
ECDSA位元 (
EC_secp384r1) * -
ECDSA位元
EC_secp521r1
ECDSA金鑰較小,提供與RSA金鑰相當的安全性,但運算效率更高。不過,並ECDSA非所有網路用戶端都支援。下表從改編而來 NIST
,顯示了具有各種尺寸密鑰ECDSA的代表性安全強度RSA和密鑰。所有值均以位元為單位。 比較演算法和金鑰的安全性安全性強度
RSA金鑰大小
ECDSA金鑰大小
128
3072 256 192
7680 384 256
15360 521 安全性強度可理解為 2 的次方,與破壞加密所需的猜測次數有關。例如,3072 位元RSA金鑰和 256 ECDSA 位元金鑰都可以擷取,而且猜測數量不超過 2 128 次。
如需協助您選擇演算法的資訊,請參閱如何在中評估和使用ECDSA憑證
的 AWS 部落格文章 AWS Certificate Manager。 重要
請注意,整合服務僅允許支援的演算法和金鑰大小與其資源相關聯。此外,它們的支援會因憑證匯入IAM或匯入憑證而有所不同ACM。如需更多詳細資訊,請參閱各服務的文件。
-
如需 Elastic Load Balancing,請參閱應用程式負載平衡器的HTTPS接聽程式。
-
如需詳細資訊 CloudFront,請參閱支援的SSL/TLS通訊協定和密碼。
-
- Punycode
-
必須滿足以下與國際化網域名稱
有關的 Punycode 要求: -
以 "<character><character>--" 模式開頭的網域名稱必須匹配 "xn--"。
-
以 "xn--" 開頭的網域名稱也必須是有效的國際化網域名稱。
Punycode 範例網域名稱
滿足 #1
滿足 #2
允許
注意
example。com
N/A
無
✓
不以 "<character><character>--" 開頭
a--example.com
N/A
無
✓
不以 "<character><character>--" 開頭
abc--example.com
N/A
無
✓
不以 "<character><character>--" 開頭
xn--xyz.com
是
是
✓
有效的國際化網域名稱 (解析為簡.com)
xn--example.com
是
否
✗
不是有效的國際化網域名稱
ab--example.com
否
否
✗
必須以 "xn--" 開頭
-
- 例外狀況
-
注意下列事項:
-
ACM不提供延伸驗證 (EV) 憑證或組織驗證 (OV) 憑證。
-
ACM不為SSL/TLS協議以外的任何東西提供證書。
-
您無法使用ACM憑證進行電子郵件加密。
-
ACM目前不允許您選擇退出憑證的受管理ACM憑證續約。此外,您匯入的憑證無法使用受管理的續約ACM。
-
您無法為 Amazon 擁有的網域名稱申請憑證,例如結尾為 amazonaws.com、cloudfront.net 或 elasticbeanstalk.com 的網域名稱。
-
您無法下載ACM憑證的私密金鑰。
-
您無法在 Amazon 彈性運算雲端 (AmazonEC2) 網站或應用程式上直接安裝ACM憑證。不過,您可以搭配任何整合的服務使用憑證。如需詳細資訊,請參閱服務整合 AWS Certificate Manager。
-
