匯入 ACM 憑證的先決條件 - AWS Certificate Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

匯入 ACM 憑證的先決條件

若要將自我簽署的 SSL/TLS 憑證匯入 ACM,您必須提供憑證及其私有金鑰兩者皆需要。若要匯入非AWS 憑證授權機構 (CA) 簽署的憑證,您也必須納入憑證的私有和公有金鑰。您的憑證必須滿足此主題中所描述的所有條件。

對所有匯入的憑證,您必須指定密碼編譯演算法和金鑰大小。ACM 支援下列演算法 (括號中為 API 名稱):

  • RSA 1024 位元 (RSA_1024)

  • RSA 2048 位元 (RSA_2048)

  • RSA 3072 位元 (RSA_3072)

  • RSA 4096 位元 (RSA_4096)

  • ECDSA 256 位元 (EC_prime256v1)

  • ECDSA 384 位元 (EC_secp384r1)

  • ECDSA 521 位元 (EC_secp521r1)

另請注意以下額外要求:

  • 請注意,ACM 整合服務僅允許支援的演算法和金鑰大小與其資源建立關聯。例如,CloudFront 僅支援 1024 位元 RSA、2048 位元 RSA、3072 位元 RSA 和 Elliptic Prime Curve 256 位元金鑰,而 Application Load Balancer 支援 ACM 提供的所有演算法。如需詳細資訊,請參閱您所使用服務的說明文件。

  • 憑證必須是 SSL/TLS X.509 版本 3 憑證。憑證必須包含公開金鑰、網站的完整網域名稱 (FQDN) 或 IP 位址,以及發行者的相關資訊。

  • 憑證可以由您擁有的私有金鑰自行簽署,或由核發 CA 的私有金鑰簽署。您必須提供不超過 5 KB (5,120 個位元組) 的私有金鑰,且必須未加密。

  • 若憑證是由 CA 簽署,且您選擇提供憑證鏈,則憑證鏈必須採用 PEM 編碼。

  • 憑證在匯入時必須有效。您無法在憑證有效期間開始前或過期後匯入憑證。NotBefore 憑證欄位包含有效期間開始日期和包含結束日期的 NotAfter 欄位。

  • 所有要求的憑證材料(憑證、私有金鑰和憑證鏈)都必須採用 PEM 編碼。上傳 DER 編碼的材料會導致錯誤。如需詳細資訊和範例,請參閱 用於匯入的憑證和金鑰格式

  • 當您更新 (重新匯入) 憑證時,您無法新增KeyUsageExtendedKeyUsage副檔名(如果副檔名不存在於先前匯入的憑證中)。

  • AWS CloudFormation 不支援將憑證匯入 ACM。