本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
請求私有憑證 (主控台)
-
登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/acm/home
開啟 ACM 主控台。 選擇 Request a certificate (請求憑證)。
-
在 Request certificate(請求憑證)頁面上,選擇 Request a private certificate(請求私有憑證),然後選擇 Next(下一步)以繼續進行。
-
在 Certificate authority details(憑證授權單位詳細資訊)部分中,按一下 Certificate authority(憑證授權單位)功能表,然後選擇其中一個可用的私有 CA。如果 CA 是從另一個帳戶共用,ARN 前面會加上所有權資訊。
系統隨即會顯示 CA 相關詳細資訊,協助您驗證是否已選擇正確者:
-
擁有者
-
類型
-
Common name (CN) (通用名稱 (CN))
-
Organization (O) (組織 (O))
-
Organization unit (OU) (組織單位 (OU))
-
Country name (C) (國家/地區名稱 (C))
-
State or province (州或省)
-
Locality name (地區名稱)
-
-
在 Domain names(網域名稱)部分,輸入您的網域名稱。您可以使用完整網域名稱 (FQDN),例如
www.example.com
或 bare 或 apex 網域名稱,例如example.com
。您也可以在最左方使用星號 (*
) 做為萬用字元,以保護相同網域中的多個網站名稱。例如,*.example.com
可保護corp.example.com
和images.example.com
。萬用字元名稱會顯示於 ACM 憑證的 Subject (主體) 欄位和 ACM 憑證的 Subject Alternative Name (主體別名) 延伸。注意
請求萬用字元憑證時,星號 (
*
) 必須在網域名稱的最左方,而且僅能保護一個子網域層級。例如,*.example.com
可以保護login.example.com
和test.example.com
,但不能保護test.login.example.com
。另請注意,*.example.com
只可以保護example.com
的子網域,無法保護 bare 或 apex 網域 (example.com
)。若要保護兩者,請參閱下一個步驟或者,請選擇 Add another name to this certificate (將其他名稱新增至此憑證),然後在文字方塊中輸入名稱。若要同時驗證 bare 或 apex 網域 (例如
example.com
) 及其子網域 (例如*.example.com
),此功能非常實用。 -
在金鑰演算法區段中,選擇演算法。
如需協助您選擇演算法的資訊,請參閱 標籤 AWS Certificate Manager 資源。
-
在 Tags(標籤)部分,您可以選擇標記您的憑證。標籤是鍵值對,可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明,請參閱「標籤 AWS Certificate Manager 資源」。
-
在 Certificate renewal permissions(憑證續約權限)部分中,確認有關憑證更新權限的通知。這些權限允許自動更新您使用所選 CA 簽署的私有 PKI 憑證。如需詳細資訊,請參閱搭配 ACM 使用服務連結角色。
-
在提供所有必要資訊後,選擇 Request(請求)。主控台會傳回憑證清單給您,讓您檢視新的憑證。
注意
視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。
請求私有憑證 (CLI)
使用 request-certificate 命令在 ACM 中請求私有憑證。
注意
當您請求由 CA 簽署的私有 PKI 憑證時 AWS Private CA,指定的簽署演算法系列 (RSA 或 ECDSA) 必須符合 CA 私密金鑰的演算法系列。
aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:
Region
:444455556666
:\ certificate-authority/CA_ID
此命令會輸出新私有憑證的 Amazon Resource Name (ARN)。
{
"CertificateArn": "arn:aws:acm:Region
:444455556666
:certificate/certificate_ID
"
}
在大多數情況下,ACM 會在您第一次使用共用 CA 時,自動將服務連結角色 (SLR) 連接至您的帳戶。SLR 會為您發行的終端實體憑證啟用自動續約功能。若要檢查 SLR 是否存在,您可以使用以下命令查詢 IAM:
aws iam get-role --role-name AWSServiceRoleForCertificateManager
如果 SLR 存在,命令輸出應類似以下內容:
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}
如果缺少 SLR,請參閱搭配 ACM 使用服務連結角色。