Prerequisiti per l'importazione di certificati ACM - AWS Certificate Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per l'importazione di certificati ACM

Per importare un SSL/TLS certificato autofirmato in ACM, è necessario fornire sia il certificato che la relativa chiave privata. Per importare un certificato firmato da un'autorità di certificazione (CA) diversa da AWS , devi includere anche la chiave pubblica e privata del certificato. Il certificato deve soddisfare tutti i criteri descritti in questo argomento.

Per tutti i certificati importati, devi specificare un algoritmo di crittografia e una dimensione della chiave. ACM supporta i seguenti algoritmi (nome API tra parentesi):

  • RSA a 1024 bit (RSA_1024)

  • RSA a 2048 bit (RSA_2048)

  • RSA a 3072 bit (RSA_3072)

  • RSA a 4096 bit (RSA_4096)

  • ECDSA a 256 bit (EC_prime256v1)

  • ECDSA a 384 bit (EC_secp384r1)

  • ECDSA a 521 bit (EC_secp521r1)

Si noti anche i seguenti requisiti aggiuntivi:

  • I servizi integrati ACM permettono solo agli algoritmi e alle dimensioni della chiave di accesso supportati di essere associati alle loro risorse. Ad esempio, supporta CloudFront solo chiavi RSA a 1024 bit, RSA a 2048 bit, RSA a 3072 bit, RSA a 4096 bit ed Elliptic Prime Curve a 256 bit, mentre Application Load Balancer supporta tutti gli algoritmi disponibili da ACM. Per ulteriori informazioni, consulta la documentazione relativa al servizio che usi.

  • Un SSL/TLS certificato deve essere un certificato X.509 versione 3. Deve contenere una chiave di accesso pubblica, il nome di dominio completo (FQDN) per il sito Web e le informazioni sull'emittente.

  • Un certificato può essere autofirmato tramite una chiave privata che si possiede o firmato tramite la chiave privata di una CA emittente. È necessario fornire la chiave privata, che non deve superare i 5 KB (5.120 byte) e deve essere non crittografata.

  • Se il certificato è firmato da una CA e si sceglie di fornire la catena di certificati, la catena deve essere codificata con PEM.

  • Un certificato deve essere valido al momento dell'importazione. Non è possibile importare un certificato prima dell'inizio del suo periodo di validità o dopo la sua scadenza. Il campo del certificato NotBefore contiene la data di inizio validità e il campo NotAfter contiene la data di fine.

  • Tutti i materiali del certificato richiesti (certificato, la chiave privata e la catena di certificati) devono essere codificati con PEM. Il caricamento di materiali con codifica DER genera un errore. Per maggiori informazioni ed esempi, consulta Formato del certificato e della chiave per l'importazione.

  • Quando si rinnova (reimporta) un certificato, non è possibile aggiungere un'ExtendedKeyUsageestensione KeyUsage or se l'estensione non era presente nel certificato precedentemente importato

    Eccezione: è possibile reimportare un certificato privo dell'autenticazione client ExtendedKeyUsage rispetto al certificato precedente. Ciò tiene conto dei cambiamenti del settore in cui le autorità di certificazione non rilasciano più certificati con ClientAuth EKU per soddisfare i requisiti del programma root di Chrome.

    Importante

    Se hai bisogno della funzionalità di autenticazione client, devi implementare convalide aggiuntive da parte tua, poiché ACM non supporta il rollback ai certificati precedentemente importati.

  • AWS CloudFormation non supporta l'importazione di certificati in ACM.