要求私人憑證 AWS Certificate Manager - AWS Certificate Manager
要求私人憑證 (主控台)要求私有憑證 (CLI)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

要求私人憑證 AWS Certificate Manager

要求私人憑證 (主控台)

  1. 登入 AWS 管理主控台並在https://console.aws.amazon.com/acm/家中開啟ACM主控台。

    選擇 Request a certificate (請求憑證)

  2. Request certificate(請求憑證)頁面上,選擇 Request a private certificate(請求私有憑證),然後選擇 Next(下一步)以繼續進行。

  3. 在「憑證授權單位詳細資料」區段中,按一下「憑證授權單位」功能表,然後選擇一個可用CAs的 如果 CA 是從其他帳戶共用,則會ARN以擁有權資訊開頭。

    系統隨即會顯示 CA 相關詳細資訊,協助您驗證是否已選擇正確者:

    • 擁有者

    • 類型

    • Common name (CN) (通用名稱 (CN))

    • Organization (O) (組織 (O))

    • Organization unit (OU) (組織單位 (OU))

    • Country name (C) (國家/地區名稱 (C))

    • State or province (州或省)

    • Locality name (地區名稱)

  4. Domain names(網域名稱)部分,輸入您的網域名稱。您可以使用完整網域名稱 (FQDN),例如www.example.com,或裸網域名稱或頂點網域名稱,例如example.com. 您也可以在最左方使用星號 (*) 做為萬用字元,以保護相同網域中的多個網站名稱。例如,*.example.com 可保護 corp.example.comimages.example.com。萬用字元名稱將顯示在憑證的「主旨」欄位和「主旨替代名稱」副檔名中ACM。

    注意

    請求萬用字元憑證時,星號 (*) 必須在網域名稱的最左方,而且僅能保護一個子網域層級。例如,*.example.com 可以保護 login.example.comtest.example.com,但不能保護 test.login.example.com。另請注意,*.example.com 可以保護 example.com 的子網域,無法保護 bare 或 apex 網域 (example.com)。若要保護兩者,請參閱下一個步驟

    或者,請選擇 Add another name to this certificate (將其他名稱新增至此憑證),然後在文字方塊中輸入名稱。若要同時驗證 bare 或 apex 網域 (例如 example.com) 及其子網域 (例如 *.example.com),此功能非常實用。

  5. 在「金鑰演算法」區段中,選擇演算法。

    如需協助您選擇演算法的資訊,請參閱 Tag AWS Certificate Manager resources

  6. Tags(標籤)部分,您可以選擇標記您的憑證。標籤是索引鍵值配對,可做為識別和組織的中繼資料 AWS 的費用。如需ACM標籤參數的清單,以及如何在建立後將標籤新增至憑證的指示,請參閱Tag AWS Certificate Manager resources

  7. Certificate renewal permissions(憑證續約權限)部分中,確認有關憑證更新權限的通知。這些權限允許自動更新您使用所選 CA 簽署的私有PKI憑證。如需詳細資訊,請參閱搭配使用服務連結角色ACM

  8. 在提供所有必要資訊後,選擇 Request(請求)。主控台會傳回憑證清單給您,讓您檢視新的憑證。

    注意

    視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。

要求私有憑證 (CLI)

使用要求憑證命令要求中的私人憑證。ACM

注意

當您要求 CA 簽署的私有PKI憑證 AWS Private CA,指定的簽章演算法系列 (RSA或ECDSA) 必須符合 CA 秘密金鑰的演算法系列。

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

此命令會輸出新私有憑證的 Amazon 資源名稱 (ARN)。

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

在大多數情況下,在您第一次使用共用 CA 時,ACM會自動將服務連結角色 (SLR) 附加至您的帳戶。SLR啟用自動更新您發行的最終實體憑證。要檢查SLR是否存在,可以IAM使用以下命令進行查詢:

aws iam get-role --role-name AWSServiceRoleForCertificateManager

如果存SLR在,命令輸出應如下所示:

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

如果遺失SLR,請參閱搭配使用服務連結角色ACM