本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要將自我簽署SSL/TLS憑證匯入ACM,您必須同時提供憑證及其私密金鑰。若要匯入由非簽署的憑證AWS 憑證授權單位 (CA),您還必須包含憑證的私密金鑰和公開金鑰。您的憑證必須滿足此主題中所描述的所有條件。
對所有匯入的憑證,您必須指定密碼編譯演算法和金鑰大小。ACM支持以下算法(括號中的API名稱):
-
RSA位
RSA_1024
元 -
RSA位元
RSA_2048
-
RSA位元
RSA_3072
-
RSA位元
RSA_4096
-
ECDSA二
EC_prime256v1
十六位元 -
ECDSA位元
EC_secp384r1
-
ECDSA位元
EC_secp521r1
另請注意以下額外要求:
-
ACM整合式服務只允許其支援的演算法和金鑰大小與其資源建立關聯。例如, CloudFront 僅支援 1024 位元、2048 位元RSARSA、3072 位元和橢圓主要曲線 256 位元金鑰RSA,而「Application Load Balancer」則支援所有可用的演算法。ACM如需詳細資訊,請參閱您所使用服務的說明文件。
-
憑證必須是SSL/TLSX.509 第 3 版憑證。它必須包含公開金鑰、網站的完整網域名稱 (FQDN) 或 IP 位址,以及發行者的相關資訊。
-
憑證可以由您擁有的私有金鑰自行簽署,或由核發 CA 的私有金鑰簽署。您必須提供不超過 5 KB (5,120 個位元組) 的私有金鑰,且必須未加密。
-
如果憑證是由 CA 簽署,而您選擇提供憑證鏈結,則該鏈結必須是 PEM —coded。
-
憑證在匯入時必須有效。您無法在憑證有效期間開始前或過期後匯入憑證。
NotBefore
憑證欄位包含有效期間開始日期和包含結束日期的NotAfter
欄位。 -
所有必要的憑證材料 (憑證、私密金鑰和憑證鏈) 都必須經過 PEM —coded 編碼。上傳 DER — 編碼的材料會導致錯誤。如需詳細資訊和範例,請參閱 用於匯入的憑證和金鑰格式。
-
當您更新 (重新匯入) 憑證時,您無法新增
KeyUsage
或ExtendedKeyUsage
副檔名(如果副檔名不存在於先前匯入的憑證中)。 -
AWS CloudFormation 不支援將憑證匯入ACM。