本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 故障診斷其他問題
本節包含解決與發行或驗證 ACM 憑證無關之問題的指引。
**Topics**
+ [憑證授權機構授權 (CAA) 的問題](troubleshooting-caa.md)
+ [憑證匯入問題](troubleshoot-import.md)
+ [憑證關聯定問題](troubleshooting-pinning.md)
+ [API Gateway 問題](troubleshoot-apigateway.md)
+ [工作憑證未預期失敗時該如何處理](unexpected-failure.md)
+ [ACM 服務連結角色 (SLR) 的問題](slr-problems.md)
# 憑證授權機構授權 (CAA) 的問題
您可以使用 CAA DNS 記錄指定 Amazon 憑證授權機構 (CA) 可為您的網域或子網域發行 ACM 憑證。如果您在憑證發行期間收到顯示**由於憑證授權機構授權 (CAA) 錯誤,一或多個網域名稱的驗證失敗**的錯誤,請檢查您的 CAA DNS 記錄。如果您在成功驗證 ACM 憑證請求後收到此錯誤,則必須更新 CAA 記錄,然後重新請求憑證。您 CAA 記錄中的**數值**欄位必須包含下列其中一個網域名稱:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
如需建立 CAA 記錄的詳細資訊,請參閱 [(選用) 設定 CAA 記錄](setup.md#setup-caa)。
**注意**
如果您不想要啟用 CAA 檢查,可以選擇不為您的網域設定 CAA 記錄。
# 憑證匯入問題
您可以將第三方憑證匯入 ACM 並將它們與[整合服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)建立關聯。如果您遇到問題,請檢閱[先決條件](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)和[憑證格式](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html)主題。特別要注意下列事項:
+ 您只能匯入 X.509 版本 3 SSL/TLS 憑證。
+ 您的憑證可以自我簽署,也可以由憑證授權機構 (CA) 簽署。
+ 如果您的憑證是由 CA 簽署,則必須包含提供授權根路徑的中繼憑證鏈。
+ 如果您的憑證為自我簽署,則必須納入純文字形式的私有金鑰。
+ 鏈中的每個憑證皆必須直接認證上一個憑證。
+ 請不要將您的最終實體憑證包含在中繼憑證鏈中。
+ 您的憑證、憑證鏈和私有金鑰 (若有) 都必須以 PEM 編碼。一般而言,PEM 編碼是由以 Base64 編碼的 ASCII 文字區塊組成,這些區塊的開頭和結尾是全文字標頭和註腳行。您不得在複製或上傳 PEM 檔案時新增行或空格,或對 PEM 檔案進行任何其他變更。您可以使用 [OpenSSL 驗證公有程式](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html)來驗證憑證鏈。
+ 您的私有金鑰 (如果有) 不能加密。(提示:如果設有密碼短語便會加密。)
+ 與 ACM [整合](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)的服務必須使用 ACM 支援的演算法和金鑰大小。請參閱 AWS Certificate Manager 使用者指南和每個服務的文件,以確保您的憑證可以正常運作。
+ 整合服務對憑證的支援可能因憑證是匯入 IAM 還是 ACM 而有所不同。
+ 匯入時,憑證必須有效。
+ 所有憑證的詳細資訊都會顯示在主控台中。不過,如果您呼叫 [ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html) API 或 [list-certificates](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) AWS CLI 命令而未指定`keyTypes`篩選條件,則只會顯示 `RSA_1024`或 `RSA_2048`憑證。
# 憑證關聯定問題
為了續約憑證,ACM 會產生新的公私有金鑰對。如果您的應用程式使用 [憑證關聯](acm-bestpractices.md#best-practices-pinning),有時稱為 SSL 鎖定,以鎖定 ACM 憑證,則應用程式在 AWS 續約憑證後可能無法連線到您的網域。因此,建議您不要關聯 ACM 憑證。如果您的應用程式必須關聯憑證,您可以執行以下操作:
+ [將自己的憑證匯入 ACM](import-certificate.md),然後將應用程式關聯至匯入的憑證。ACM 不會為匯入的憑證提供受管續約。
+ 如果您使用的是公有憑證,請將應用程式釘選到所有可用的 [ Amazon 根憑證](https://www.amazontrust.com/repository/)。如果您使用的是私有憑證,請將您的應用程式釘選到 CA 根憑證。
# API Gateway 問題
部署*邊緣最佳化* API 端點時,API Gateway 會為您設定 CloudFront 分佈。CloudFront 分佈的擁有者是 API Gateway,而不是您的帳戶。分佈會繫結至您在部署 API 時使用的 ACM 憑證。若要移除繫結並允許 ACM 刪除您的憑證,您必須移除與憑證相關聯的 API Gateway 自訂網域。
當您部署*區域* API 端點時,API Gateway 會代表您建立 Application Load Balancer (ALB)。負載平衡器的擁有者是 API Gateway,而且不會向您顯示。ALB 會繫結至您在部署 API 時使用的 ACM 憑證。若要移除繫結並允許 ACM 刪除您的憑證,您必須移除與憑證相關聯的 API Gateway 自訂網域。
# 工作憑證未預期失敗時該如何處理
如果您已成功將 ACM 憑證與整合服務建立關聯,但憑證停止運作,而整合服務開始傳回錯誤,可能是因為服務使用 ACM 憑證所需的許可有所改變。
例如,Elastic Load Balancing (ELB) 需要解密 AWS KMS key 的許可,進而解密憑證的私有金鑰。此許可是由資源型政策所授權,當您為憑證與 ELB 建立關聯時,ACM 會套用此政策。如果 ELB 失去該許可的授權,則會在下次嘗試解密憑證金鑰時失敗。
若要調查問題,請使用 AWS KMS 主控台檢查授予的狀態[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)。然後執行下列其中一個動作:
+ 如果您認為授與整合服務的許可已被撤銷,請造訪整合服務的主控台,取消憑證與該服務的關聯,然後重新建立關聯。這麼做會重新套用資源型政策,並以新的授權取代。
+ 如果您認為授予 ACM 的許可已撤銷,請聯絡 支援 https://https://console.aws.amazon.com/support/home\$1/。
# ACM 服務連結角色 (SLR) 的問題
當您發行由另一個帳戶與您共用的私有 CA 簽署的憑證時,ACM 會先嘗試設定服務連結角色 (SLR),以委託人身分與 AWS 私有 CA [以資源為基礎的存取政策](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp)互動。如果您從共用 CA 發行私有憑證,但 SLR 尚未就緒,ACM 將無法自動為您續約該憑證。
ACM 可能會提醒您無法判斷您的帳戶中是否存在 SLR。如果必要的 `iam:GetRole` 許可已授與給您帳戶的 ACM SLR,則 SLR 建立後就不會再次發出提醒。如果再次發出提醒,表示您或您的帳戶管理員可能需要授與 `iam:GetRole` 許可給 ACM,或為您的帳戶與 ACM 受管政策 `AWSCertificateManagerFullAccess` 建立關聯。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。