As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Solicite um certificado privado em AWS Certificate Manager
<a name="gs-acm-request-private"></a>

## Solicitar um certificado privado (console)
<a name="request-private-console"></a>

1. Faça login no console AWS de gerenciamento e abra o console do ACM em [https://console.aws.amazon.com/acm/casa](https://console.aws.amazon.com/acm/home).

   Selecione **Request a certificate**.

1. Na página **Request certificate** (Solicitar certificado), escolha **Request a private certificate** (Solicitar um certificado privado) e **Next** (Próximo) para continuar.

1. Na seção **Detalhes da autoridade certificadora**, selecione o menu **Autoridade certificadora** e escolha uma das opções privadas disponíveis CAs. Se a CA for compartilhada de outra conta, o ARN será precedido de informações de propriedade.

   Os seguintes detalhes sobre a CA são exibidos para ajudar você a verificar se escolheu a CA correta:
   + **Proprietário**
   + **Tipo**
   + **Nome comum (CN)**
   + **Organização (O)**
   + **Unidade organizacional (OU)**
   + **Nome do país (C)**
   + **Estado ou província**
   + **Nome da localidade**

1. Na seção **Domain names** (Nomes de domínio), digite seu nome de domínio. É possível usar um nome de domínio totalmente qualificado (FQDN), como **www.example.com** ou um nome de domínio vaziou ou apex, como **example.com**. Você também pode usar um asterisco (**\$1**) como um caractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio. Por exemplo, **\$1.example.com** protege **corp.example.com** e **images.example.com**. O nome curinga será exibido no campo **Assunto** e na extensão **Nome alternativo do assunto** do certificado do ACM. 
**nota**  
Quando você solicita um certificado curinga, o asterisco (**\$1**) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o **\$1.example.com** pode proteger **login.example.com** e **test.example.com** mas não consegue proteger **test.login.example.com**. Note também que **\$1.example.com** protege *apenas * os subdomínios de **example.com**, ele não protege o domínio vazio ou apex (**example.com**). Para proteger ambos, consulte a próxima etapa

   Opcionalmente, escolha **Add another name to this certificate (Adicionar outro nome a este certificado)** e digite o nome na caixa de texto. Isso é útil para autenticar tanto um domínio vazio ou apex (como **example.com**) e seus subdomínios (como **\$1.example.com**).

1. Na seção **Algoritmo-chave**, escolha um algoritmo.

   Para obter informações para ajudá-lo a escolher um algoritmo, consulte a postagem do AWS blog [Como avaliar e usar certificados ECDSA em](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager

1. Na seção **Tags** (Etiquetas), é possível marcar seu certificado opcionalmente. As tags são pares de valores-chave que servem como metadados para identificar e organizar recursos. AWS Para obter uma lista de parâmetros de tag do ACM e instruções sobre como adicionar tags a certificados após a criação, consulte [AWS Certificate Manager Recursos de tags](tags.md).

1. Na seção **Certificate renewal permissions** (Permissões de renovação de certificado), confirme o aviso sobre permissões de renovação de certificado. Essas permissões permitem a renovação automática de certificados de PKI privados que você assina com a CA selecionada. Para obter mais informações, consulte [usando uma função vinculada ao serviço com o ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). 

1. Após fornecer todas as informações necessárias, clique em **Request** (Solicitar). O console retorna para a lista de certificados, na qual você pode visualizar seu novo certificado.
**nota**  
Dependendo de como tiver ordenado a lista, talvez o certificado procurado não esteja imediatamente visível. Você pode clicar no triângulo preto à direita para alterar a ordem. Também é possível navegar por várias páginas de certificados usando os números de página no canto superior direito.

## Solicitar um certificado privado (CLI)
<a name="request-private-cli"></a>

Use o comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar um certificado privado no ACM. 

**nota**  
Quando você solicita um certificado PKI privado assinado por uma CA CA Privada da AWS, a família de algoritmos de assinatura especificada (RSA ou ECDSA) deve corresponder à família de algoritmos da chave secreta da CA.

```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID
```

Esse comando gera o nome de recurso da Amazon (ARN) do seu novo certificado privado.

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

Na maioria dos casos, o ACM anexa automaticamente uma função vinculada ao serviço (SLR) à sua conta na primeira vez que você usa uma CA compartilhada. O SLR permite a renovação automática de certificados de entidade final que você emite. Para verificar se o SLR está presente, você pode consultar o IAM com o seguinte comando:

```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```

Se o SLR estiver presente, a saída do comando deve ser semelhante à seguinte:

```
{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}
```

Se a SLR estiver ausente, consulte [Uso de uma função vinculada ao serviço com o ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).