本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Certificate Manager (ACM),您可以為以 AWS 為基礎的網站和應用程式佈建和管理 SSL/TLS 憑證。您可以使用 ACM 建立或匯入憑證,然後加以管理。您必須使用其他服務,將憑證 AWS 部署到您的網站或應用程式。如需深入了解與 ACM 整合的服務,請參閱 與 ACM 整合的服務。以下區段討論使用 ACM 之前需要執行的步驟。
註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個 。
註冊 AWS 帳戶
開啟 https://portal.aws.amazon.com/billing/signup
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
保護您的 AWS 帳戶根使用者
-
選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console
身分登入 。在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置。
建立具有管理存取權的使用者
-
啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取權 IAM Identity Center 目錄。
以具有管理存取權的使用者身分登入
-
若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站。
指派存取權給其他使用者
註冊 ACM 的網域名稱
完整網域名稱 (FQDN) 是組織或個人在網際網路上獨一無二的名稱,後面加上頂層網域域名,例如 .com 或 .org。如果您沒有已註冊的網域名稱,可以透過 Amazon Route 53 或眾多其他商業註冊商註冊。通常您會在註冊商的網站申請網域名稱。網域名稱隔離通常會持續一段固定的時間,例如一年或兩年,之後才能續約。
如需透過 Amazon Route 53 註冊網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 註冊網域名稱。
(選用) 設定 CAA 記錄
CAA 記錄會指定允許哪種憑證授權單位 (CA) 為網域或子網域發出憑證。建立與 ACM 搭配使用的 CAA 記錄有助於防止錯誤的 CAs為您的網域發出憑證。CAA 記錄不能替代由您的憑證授權單位指定的安全要求,例如驗證您是網域擁有者的要求。
在 ACM 在憑證請求程序中驗證您的網域後,它會檢查是否存在 CAA 記錄,以確保它可以為您發出憑證。設定 CAA 記錄是選用的。
當您設定 CAA 記錄時,請使用下列值:
- flags
-
指定 ACM 是否支援 tag 欄位的值。將此值設定為 0。
- 標籤
-
tag 欄位可以是以下其中一個值。請注意,iodef 欄位目前已被忽略。
- issue
-
表示您在 value 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行憑證。
- issuewild
-
表示您在 value 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行萬用字元憑證。萬用字元憑證適用於網域或子網域及其子網域。
- 值
-
此欄位的值取決於 tag 欄位的值。您必須用引號 ("") 括住此值。
- 當 tag 是 issue 時
-
value 欄位包含 CA 網域名稱。此欄位可以包含 Amazon CA 以外的 CA 的名稱。不過,如果您沒有指定以下四個 Amazon CA 其中一個的 CAA 記錄,ACM 就無法為您的網域或子網域發行憑證:
-
amazon.com
-
amazontrust.com
-
awstrust.com
-
amazonaws.com
value 欄位也可以包含分號 (;),表示不應允許任何 CA 為您的網域或子網域發行憑證。如果您在某個時間點決定不再需要為特定網域發行的憑證,請使用此欄位。
-
- 當 tag 是 issuewild 時
-
value 欄位與 tag 為 issue 時的相同,只是值適用於萬用字元憑證。
若存在不含 ACM CA 值的 issuewild CAA 記錄,ACM 就無法發行任何萬用字元。如果 issuewild 不存在,但有一筆 ACM 的 issue CAA 記錄,那麼 ACM 也許可發行萬用字元。
範例 CAA 記錄範例
在以下範例中,首先是您的網域名稱,然後是記錄類型 (CAA)。flags 欄位一律為 0。tags 欄位可以是 issue 或 issuewild。如果欄位為 issue 且您在 value 欄位中輸入 CA 伺服器的網域名稱,則 CAA 記錄表示您指定的伺服器已獲許可發行您請求的憑證。如果您在 value 欄位中輸入分號 ";",則 CAA 記錄表示不允許任何 CA 發行憑證。CAA 記錄的組態因 DNS 供應商而異。
Domain Record type Flags Tag Value
example.com. CAA 0 issue "SomeCA.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazon.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazontrust.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "awstrust.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazonaws.com"
Domain Record type Flags Tag Value
example.com CAA 0 issue ";"
如需如何新增或修改 DNS 記錄的詳細資訊,請聯絡您的 DNS 供應商。Route 53 支援 CAA 記錄。如果您的 DNS 供應商是 Route 53,請參閱 CAA 格式以了解有關建立記錄的詳細資訊。