As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Certificate Manager certificados públicos
<a name="gs-acm-request-public"></a>

Após solicitar um certificado público, você deverá validar a propriedade do domínio, conforme descrito em [Valide a propriedade do domínio para certificados AWS Certificate Manager públicos](domain-ownership-validation.md).

Os certificados públicos do ACM seguem o padrão X.509 e estão sujeitos às seguintes restrições: 
+ **Nomes:** você deve usar nomes de assunto compatíveis com DNS. Para obter mais informações, consulte [Nomes de domínio](acm-concepts.md#concept-dn).
+ **Algoritmo:** Para criptografia, o algoritmo de chave privada do certificado deve ser RSA de 2.048 bits, ECDSA de 256 bits ou ECDSA de 384 bits.
+ **Expiração:** Cada certificado é válido por 198 dias.
+ **Renovação:** o ACM tenta renovar automaticamente um certificado público 45 dias antes da expiração. 

**nota**  
Certificados públicos do ACM podem ser instalados em instâncias do Amazon EC2 conectadas a um [Nitro Enclave](acm-services.md#acm-nitro-enclave). Você também pode [exportar um certificado público](export-public-certificate.md) para usar em qualquer instância do Amazon EC2. Para obter informações sobre como configurar um servidor Web independente em uma instância do Amazon EC2 não conectada a um Nitro Enclave, consulte [Tutorial: Instalar um servidor Web LAMP no Amazon Linux 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) ou [Tutorial: Instalar um servidor Web LAMP com o Amazon Linux AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html).

Os administradores podem usar [políticas de chaves condicionais](https://docs.aws.amazon.com/acm/latest/userguide/acm-conditions.html) do ACM para controlar como os usuários finais emitem novos certificados. Essas chaves condicionais permitem que restrições sejam colocadas em domínios, métodos de validação e outros atributos relacionados a uma solicitação de certificado. Se você tiver problemas ao solicitar um certificado, consulte [Solucionar problemas de solicitações de certificado](troubleshooting-cert-requests.md).

Para solicitar um certificado para usar uma PKI privada CA privada da AWS, consulte[Solicite um certificado privado em AWS Certificate ManagerSolicitar um certificado privado](gs-acm-request-private.md). 

**Topics**
+ [

# AWS Certificate Manager características e limitações do certificado público
](acm-certificate-characteristics.md)
+ [

# Solicite um certificado público em AWS Certificate Manager
](acm-public-certificates.md)
+ [

# AWS Certificate Manager certificados públicos exportáveis
](acm-exportable-certificates.md)
+ [

# Valide a propriedade do domínio para certificados AWS Certificate Manager públicos
](domain-ownership-validation.md)

# AWS Certificate Manager características e limitações do certificado público
<a name="acm-certificate-characteristics"></a>

Os certificados públicos fornecidos pelo ACM têm as características e limitações a seguir. Essas características se aplicam apenas aos certificados fornecidos pelo ACM. Elas podem não se aplicar a [certificados importados](import-certificate.md).

**Confiança em navegadores e aplicativos**  <a name="trust-term"></a>
Os certificados do ACM são da confiança de todos os principais navegadores, incluindo Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari. Os navegadores exibem um ícone de cadeado quando conectados por TLS a sites que usam certificados do ACM. Java também confia nos certificados do ACM.

**Autoridade e hierarquia de certificação**  <a name="authority-term"></a>
Os certificados públicos que você solicitou por meio do ACM são obtidos da [Amazon Trust Services](https://www.amazontrust.com/repository/), uma [autoridade de certificação (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) pública gerenciada pela Amazon. O Amazon Root CAs 1 a 4 tem assinatura cruzada pela Starfield G2 Root Certificate Authority — G2. A raiz Starfield é confiável no Android (versões mais novas do Gingerbread) e iOS (versão 4.1\$1). As raízes da Amazon são confiáveis no iOS 11\$1. Navegadores, aplicativos, OSes incluindo raízes da Amazon ou Starfield, confiarão nos certificados públicos do ACM.  
O ACM emite certificados preliminares ou de entidade final aos clientes por meio de certificados intermediários CAs, atribuídos aleatoriamente com base no tipo de certificado (RSA ou ECDSA). O ACM não fornece informações intermediárias de CA devido a essa seleção aleatória.

**Validação de domínio (DV)**  <a name="domain-validation-term"></a>
Os certificados do ACM têm validação de domínio, identificando somente um nome de domínio. Ao solicitar um certificado do ACM, você deve provar a propriedade ou o controle de todos os domínios especificados. Você pode validar a propriedade usando e-mail ou DNS. Para obter mais informações, consulte [AWS Certificate Manager validação de e-mail](email-validation.md) e [AWS Certificate Manager Validação de DNSValidação por DNS](dns-validation.md).

**Validação por HTTP**  <a name="http-validation-term"></a>
O ACM oferece suporte à validação HTTP para verificação da propriedade do domínio ao emitir certificados TLS públicos para uso com. CloudFront Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS. Atualmente, a validação de HTTP só está disponível por meio do recurso CloudFront Distribution Tenants.

**Redirecionamento HTTP**  <a name="http-redirect-term"></a>
Para validação por HTTP, o ACM fornece um URL `RedirectFrom` e um URL `RedirectTo`. Você deve configurar um redirecionamento de `RedirectFrom` para `RedirectTo` para demonstrar controle do domínio. O `RedirectFrom` URL inclui o domínio validado, enquanto `RedirectTo` aponta para um local controlado pelo ACM na CloudFront infraestrutura contendo um token de validação exclusivo.

**Gerenciado por**  <a name="managed-by-term"></a>
Os certificados no ACM gerenciados por outro serviço mostram a identidade desse serviço no campo `ManagedBy`. Para certificados usando validação HTTP com CloudFront, esse campo exibe “CLOUDFRONT”. Esses certificados só podem ser usados por meio de CloudFront. O `ManagedBy` campo aparece em **DescribeCertificate** e e **ListCertificates** APIs nas páginas de detalhes e inventário de certificados no console do ACM.  
O campo `ManagedBy` é mutuamente excludente com o atributo “Pode ser usado com”. Para certificados CloudFront gerenciados, você não pode adicionar novos usos por meio de outros AWS serviços. Você só pode usar esses certificados com mais recursos por meio da CloudFront API.

**Rotação CA intermediária e raiz**  <a name="rotation-term"></a>
A Amazon pode descontinuar uma CA intermediária sem aviso prévio para manter uma infraestrutura de certificados resiliente. Essas mudanças não afetam os clientes. Para obter mais informações, consulte [“Amazon apresenta autoridades de certificação intermediárias dinâmicas”](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/).  
Se a Amazon descontinuar uma CA raiz, a alteração ocorrerá tão rapidamente quanto necessário. A Amazon usará todos os métodos disponíveis para notificar AWS os clientes Health Dashboard, incluindo e-mail e contato com gerentes técnicos de contas.

**Acesso ao firewall para revogação**  <a name="revocation-term"></a>
Os certificados de entidade final revogados usam OCSP e CRLs para verificar e publicar informações de revogação. Alguns firewalls de clientes podem precisar de regras adicionais para permitir esses mecanismos.  
Use esses padrões curingas de URL para identificar o tráfego de revogação:  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
Um asterisco (\$1) representa um ou mais caracteres alfanuméricos, um ponto de interrogação (?) representa um único caractere alfanumérico e um símbolo do jogo da velha (\$1) representa um número.

**Algoritmos-chave**  <a name="algorithms-term"></a>
Os certificados devem especificar um algoritmo e um tamanho de chave. O ACM oferece suporte aos seguintes algoritmos de chave pública RSA e ECDSA:  
+ RSA de 1024 bits (`RSA_1024`)
+ RSA de 2048 bits (`RSA_2048`)\$1
+ RSA de 3072 bits (`RSA_3072`)
+ RSA de 4096 bits (`RSA_4096`)
+ ECDSA de 256 bits (`EC_prime256v1`)\$1
+ ECDSA de 384 bits (`EC_secp384r1`)\$1
+ ECDSA de 521 bits (`EC_secp521r1`)
O ACM pode solicitar novos certificados usando os algoritmos marcados com um asterisco (\$1). Os outros algoritmos são somente para certificados [importados](import-certificate.md).  
Para certificados PKI privados assinados por uma CA Privada da AWS CA, a família de algoritmos de assinatura (RSA ou ECDSA) deve corresponder à família de algoritmos de chave secreta da CA.
As chaves ECDSA são menores e mais eficientes computacionalmente do que as chaves RSA de segurança comparável, mas nem todos os clientes de rede oferecem suporte ao ECDSA. Esta tabela, adaptada do [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf), compara os tamanhos das chaves RSA e ECDSA (em bits) para obter força de segurança equivalente:    
**Comparando segurança para algoritmos e chaves**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/acm-certificate-characteristics.html)
A força de segurança, como uma potência de 2, está relacionada ao número de tentativas necessárias para quebrar a criptografia. Por exemplo, uma chave RSA de 3072 bits e uma chave ECDSA de 256 bits podem ser recuperadas com não mais de 2.128 suposições.  
Para obter ajuda na escolha de um algoritmo, consulte a postagem do AWS blog [Como avaliar e usar certificados ECDSA em](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager  
Os [Serviços integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) só permitem os algoritmos e tamanhos de chave com suporte para seus recursos. O suporte varia dependendo de o certificado ser importado para o IAM ou para o ACM. Para obter detalhes, consulte a documentação de cada serviço:  
+ Para o Elastic Load Balancing, consulte [ Listeners HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ Para isso CloudFront, consulte [ SSL/TLS Protocolos e cifras compatíveis](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html).

**Renovação e implantação gerenciadas**  <a name="renewal-term"></a>
O ACM gerencia a renovação e o provisionamento dos certificados correspondentes. A renovação automática ajuda a evitar tempo de inatividade devido a certificados com erros de configuração, revogados ou expirados. Para obter mais informações, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md).

**Vários nomes de domínio**  <a name="multiple-domains-term"></a>
Cada certificado do ACM deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN) e pode incluir mais nomes. Por exemplo, um certificado para `www.example.com` também pode incluir `www.example.net`. Isso também se aplica a domínios simples (ápex da zona ou domínios nus). Você pode solicitar um certificado para www.example.com e incluir example.com. Para obter mais informações, consulte [AWS Certificate Manager certificados públicos](gs-acm-request-public.md).

**Punycode**  <a name="punycode-term"></a>
Os requisitos de [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) a seguir para [Nomes de domínio internacionalizados](https://www.icann.org/resources/pages/idn-2012-02-25-en) devem ser atendidos:  

1. Nomes de domínio que comecem com o padrão “<character><character>--” devem corresponder a “xn--”.

1. Nomes de domínio que comecem com “xn--” também devem ser nomes de domínio internacionalizado válidos.  
**Exemplos de Punycode**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/acm-certificate-characteristics.html)

**Período de validade**  <a name="validity-term"></a>
Os certificados ACM são válidos por 198 dias.

**Nomes curinga**  <a name="wildcard-term"></a>
O ACM permite um asterisco (\$1) no nome de domínio para criar um certificado curinga para proteger vários sites no mesmo domínio. Por exemplo, `*.example.com` protege `www.example.com` e `images.example.com`.  
Em um certificado curinga, o asterisco (`*`) deve estar na posição mais à esquerda do nome do domínio e só protege um nível de subdomínio. Por exemplo, `*.example.com` protege `login.example.com` e `test.example.com`, mas não `test.login.example.com`. Além disso, `*.example.com` protege *apenas* os subdomínios, não o domínio vazio ou apex (`example.com`). É possível solicitar um certificado para um domínio vazio e seus subdomínios especificando vários nomes de domínio, como `example.com` e `*.example.com`.  
Se você usa CloudFront, observe que a validação HTTP não oferece suporte a certificados curinga. Para certificados curingas, você deve usar a validação por DNS ou a validação por e-mail. É recomendável a validação por DNS porque ela oferece suporte à renovação automática do certificado.

# Solicite um certificado público em AWS Certificate Manager
<a name="acm-public-certificates"></a>

Você pode solicitar certificados AWS Certificate Manager públicos do console do ACM ou da API. AWS CLI Você pode usar esses certificados integrados Serviços da AWS ou exportá-los para uso fora do Nuvem AWS.

A lista a seguir descreve as diferenças entre certificados públicos e certificados públicos exportáveis.

**Certificados públicos**  
Use certificados públicos do ACM integrados, Serviços da AWS como Elastic Load Balancing, Amazon e CloudFront Amazon API Gateway. Para obter mais informações, consulte [Serviços integrados ao ACM](acm-services.md).  
Os certificados públicos do ACM criados antes de 17 de junho de 2025 não podem ser exportados.

**Certificados públicos exportáveis**  
Os certificados públicos exportáveis funcionam de forma integrada Serviços da AWS e também podem ser usados externamente Nuvem AWS. Para obter mais informações, consulte [AWS Certificate Manager certificados públicos exportáveis](acm-exportable-certificates.md) e [Serviços integrados ao ACM](acm-services.md). Você deve criar um novo certificado público do ACM e habilitar “exportável” para poder exportar o certificado público. 

As seções a seguir descrevem como solicitar, exportar e revogar um certificado público do ACM.

**Topics**
+ [

## Solicitar um certificado público usando o console
](#request-public-console)
+ [

## Solicitar um certificado público usando a CLI
](#request-public-cli)

## Solicitar um certificado público usando o console
<a name="request-public-console"></a>

**Para solicitar um certificado público do ACM (console)**

1. Faça login no console AWS de gerenciamento e abra o console do ACM em [https://console.aws.amazon.com/acm/casa](https://console.aws.amazon.com/acm/home).

   Selecione **Request a certificate**.

1. Na seção **Domain names** (Nomes de domínio), digite seu nome de domínio. 

   É possível usar um nome de domínio totalmente qualificado (FQDN), como **www.example.com** ou um nome de domínio vaziou ou apex, como **example.com**. Você também pode usar um asterisco (**\$1**) como um caractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio. Por exemplo, **\$1.example.com** protege **corp.example.com** e **images.example.com**. O nome curinga será exibido no campo **Assunto** e na extensão **Nome alternativo do assunto** do certificado do ACM. 

   Quando você solicita um certificado curinga, o asterisco (**\$1**) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo, o **\$1.example.com** pode proteger **login.example.com** e **test.example.com** mas não consegue proteger **test.login.example.com**. Note também que **\$1.example.com** protege *apenas * os subdomínios de **example.com**, ele não protege o domínio vazio ou apex (**example.com**). Para proteger ambos, consulte a próxima etapa.
**nota**  
Em conformidade com o [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), o tamanho do nome de domínio (tecnicamente, o Nome Comum) inserido nesta etapa não pode exceder 64 octetos (caracteres), incluindo pontos. Cada Subject Alternative Name (SAN - Nome alternativo de unidade) subsequente que você fornecer, como na próxima etapa, pode ter até 253 octetos. 

   1. Para adicionar outro nome, escolha **Add another name to this certificate (Adicionar outro nome a este certificado)** e digite o nome na caixa de texto. Isso é útil para proteger tanto o domínio vazio ou apex (como **example.com**) e seus subdomínios (**\$1.example.com**).

1. Se você quiser criar certificados públicos exportáveis do ACM, selecione a opção **Habilitar exportação**. Você poderá acessar as chaves privadas do certificado e usá-las fora da Nuvem AWS. Para obter mais informações, consulte [AWS Certificate Manager certificados públicos exportáveis](acm-exportable-certificates.md).

1. Na seção **Validation method** (Método de validação), escolha **DNS validation - recommended** (Validação por DNS - recomendado) ou **Email validation** (Validação por e-mail), dependendo das suas necessidades.
**nota**  
Se você puder editar sua configuração de DNS, recomendamos usar a validação de domínio de DNS, em vez da validação de e-mail. A validação de DNS tem vários benefícios em relação à validação de e-mail. Consulte [AWS Certificate Manager Validação de DNSValidação por DNS](dns-validation.md). 

   Para que o ACM emita um certificado, ele valida se você possui ou controla os nomes de domínio em sua solicitação de certificado. Você pode usar a validação de e-mail ou a validação de DNS. 

   1. Se você escolher a validação por e-mail, o ACM enviará um e-mail de validação para o domínio especificado no campo do nome do domínio. Se você especificar um domínio de validação, o ACM enviará um e-mail para esse domínio de validação. Para obter mais informações sobre a validação de e-mail, consulte [AWS Certificate Manager validação de e-mail](email-validation.md).

   1. Se você usa a validação por DNS, basta adicionar um registro CNAME fornecido pelo ACM em sua configuração de DNS. Para obter mais informações sobre a validação de DNS, consulte [AWS Certificate Manager Validação de DNSValidação por DNS](dns-validation.md).

1. Na seção **Algoritmo-chave**, escolha um algoritmo.

1. Na página **Tags** (Etiquetas), é possível marcar seu certificado. As tags são pares de valores-chave que servem como metadados para identificar e organizar recursos. AWS Para obter uma lista de parâmetros de tag do ACM e instruções sobre como adicionar tags a certificados após a criação, consulte [AWS Certificate Manager Recursos de tags](tags.md). 

   Ao terminar de adicionar etiquetas, escolha **Request** (Solicitar).

1. Depois que a solicitação for processada, o console retornará à sua lista de certificados, onde informações sobre o novo certificado serão exibidas.

   Um certificado entra no status **Pending validation** (Validação pendente) mediante solicitação, a menos que falhe por qualquer um dos motivos indicados no tópico de solução de problemas [Falha na solicitação do certificado](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed). O ACM faz repetidas tentativas de validar um certificado por 72 horas até atingir o tempo limite. Se um certificado mostrar o status **Com falha** ou **Tempo limite da validação excedido**, exclua a solicitação, corrija o problema com a [Validação por DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html) ou [Validação por e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html) e tente novamente. Se a validação for bem-sucedida, o certificado entrará no status **Issued** (Emitido). 
**nota**  
Dependendo de como tiver ordenado a lista, talvez o certificado procurado não esteja imediatamente visível. Você pode clicar no triângulo preto à direita para alterar a ordem. Também é possível navegar por várias páginas de certificados usando os números de página no canto superior direito.

## Solicitar um certificado público usando a CLI
<a name="request-public-cli"></a>

Use o comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar um novo certificado público do ACM na linha de comando. Os valores opcionais para o método de validação são DNS e EMAIL. Os valores opcionais para o algoritmo de chave são RSA\$12048 (o padrão se o parâmetro não for fornecido explicitamente), EC\$1prime256v1 e EC\$1secp384r1.

```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```

Esse comando gera o nome de recurso da Amazon (ARN) do seu novo certificado público.

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

# AWS Certificate Manager certificados públicos exportáveis
<a name="acm-exportable-certificates"></a>

AWS Certificate Manager certificados públicos exportáveis permitem provisionar, gerenciar e implantar [certificados SSL/TLS](acm-concepts.md#concept-sslcert) em qualquer lugar, incluindo instâncias, contêineres e hosts locais do Amazon EC2. Esse recurso estende os certificados públicos emitidos pelo ACM além dos integrados Serviços da AWS, oferecendo controle centralizado sobre os certificados em toda a sua infraestrutura.

## Benefícios
<a name="acm-exportable-certificates-benefits"></a>

A seguir, descrevemos os benefícios dos certificados públicos exportáveis do ACM:
+ *Gerenciamento simplificado de certificados*: gerencie centralmente os certificados de todos os seus recursos com o ACM.
+ *Emissão mais rápida de certificados*: acesse e use certificados em menos tempo.
+ *Renovações automatizadas*: o ACM gerencia automaticamente as renovações de certificados e notifica você quando novos certificados estiverem prontos para implantação. Para obter mais informações, consulte [EventBridge Suporte da Amazon para ACM](supported-events.md).
+ *Econômico*: pague somente pelos certificados públicos exportáveis que você criar.
+ *Implantação flexível*: use certificados com qualquer servidor ou aplicação que suporte [certificados SSL/TLS](acm-concepts.md#concept-sslcert) padrão.

## Como funcionam os certificados públicos exportáveis do ACM
<a name="acm-exportable-certificates-how-it-works"></a>

A seguir, descrevemos como os certificados públicos exportáveis do ACM funcionam:

1. Solicite um certificado exportável por meio do ACM para seu domínio.

1. Confirme a propriedade do domínio usando a validação por DNS ou e-mail.

1. Exporte o certificado, a chave privada e a cadeia de certificados.

1. Implante o certificado em seu servidor ou aplicação.

1. O ACM gerencia as renovações e envia notificações quando novos certificados estão disponíveis.

## Considerações sobre segurança
<a name="acm-exportable-certificates-security"></a>

A seguir estão as considerações de segurança ao usar certificados públicos exportáveis do ACM. Para obter mais informações, consulte [Proteção de dados em AWS Certificate Manager](data-protection.md).
+ Proteja as chaves privadas exportadas usando controles de acesso e armazenamento seguro.
+ Use o atributo de revogação do ACM se suspeitar de comprometimento da chave.
+ Implemente procedimentos adequados de rotação de chaves ao implantar certificados renovados.

## Limitações
<a name="acm-exportable-certificates-limitations"></a>

A seguir estão algumas limitações do certificado do ACM:
+ Os certificados têm um período de validade de 198 dias.
+ O ACM renova os certificados definidos para expirar 45 dias antes da data de expiração.
+ Você deve gerenciar o processo de implantação dos certificados exportados.

## Preços
<a name="acm-exportable-certificates-pricing"></a>

Você está sujeito a uma cobrança adicional pelos SSL/TLS certificados públicos exportáveis que você cria com AWS Certificate Manager. Para obter as informações mais recentes sobre preços do ACM, consulte a página [AWS Certificate Manager de preços de serviços](https://aws.amazon.com//certificate-manager/pricing/) no AWS site.

## Práticas recomendadas
<a name="acm-exportable-certificates-best-practices"></a>

A seguir, algumas práticas recomendadas ao usar os certificados do ACM:
+ Depois que um certificado for renovado, você deve começar a usá-lo imediatamente.
+ Teste e implemente processos de implantação automatizados para os certificados renovados.
+ Monitore implantações de certificados usando [ EventBridge métricas e alarmes da Amazon](supported-events.md).

# Exportar um certificado AWS Certificate Manager público
<a name="export-public-certificate"></a>

Os procedimentos a seguir explicam como você pode exportar um certificado público do ACM no console do ACM. Como alternativa, você pode usar a ação [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html) AWS CLI ou [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API.

**nota**  
Os certificados públicos do ACM criados antes de 17 de junho de 2025 não podem ser exportados.

## Exportar um certificado público (console)
<a name="console-procedures"></a>

1. Faça login no Console de gerenciamento da AWS e abra o console do ACM em [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Escolha **Listar certificados** e marque a caixa de seleção do certificado que você deseja exportar.

   1. Como alternativa, você pode selecionar o certificado. Na página de detalhes do certificado, selecione **Exportar**.

1. Escolha **Mais ações** e, em seguida, **Exportar**.

1. Insira e confirme uma frase secreta para a chave privada.

1. Você pode baixar ou copiar os arquivos do certificado.
**nota**  
No console do ACM, você pode exportar arquivos de certificado .pem. Você pode converter o arquivo .pem em outro formato de arquivo, como .ppk. Para obter mais informações, consulte este [artigo do re:Post](https://repost.aws/knowledge-center/ec2-ppk-pem-conversion). 

## Exportar um certificado público (AWS CLI)
<a name="cli-procedures"></a>

Use o [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando ou a ação [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)da API para exportar um certificado público e uma chave privada. É necessário atribuir uma senha quando você executa o comando. Para maior segurança, use um editor de arquivos para armazenar sua senha em um arquivo e, depois, forneça a senha fornecendo o arquivo. Isso evita que a frase secreta seja armazenada no histórico de comandos e impede que outras pessoas a vejam enquanto você a digita.

**nota**  
O arquivo que contém a senha não deve terminar em um terminador de linha. Você pode verificar seu arquivo de senha assim:

```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```

O exemplo a seguir redireciona a saída do comando para `jq` a fim de aplicar a formatação PEM.

```
[Windows/Linux]$ aws acm export-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
    --passphrase fileb://path-to-passphrase-file  \
    | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```

Isso gera um certificado no formato PEM e codificado em Base64, que também contém a cadeia de certificados e a chave privada criptografada, como no exemplo abreviado a seguir.

```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```

Para gerar a saída de tudo para um arquivo, acrescente o redirecionamento `>` ao exemplo anterior, resultando no seguinte comando: 

```
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt
```

# Proteja cargas de trabalho do Kubernetes com certificados ACM
<a name="exportable-certificates-kubernetes"></a>

Você pode usar certificados públicos AWS Certificate Manager exportáveis com AWS Controllers for Kubernetes (ACK) para emitir e exportar certificados TLS públicos do ACM para suas cargas de trabalho do Kubernetes. Essa integração permite que você proteja os pods do Amazon Elastic Kubernetes Service (Amazon EKS) e encerre o TLS no seu Kubernetes Ingress. Para começar, consulte o [Controlador ACM para Kubernetes ativado](https://github.com/aws-controllers-k8s/acm-controller). GitHub

AWS Os controladores para Kubernetes (ACK) estendem a API Kubernetes para gerenciar recursos usando manifestos nativos do Kubernetes. AWS O controlador de serviço ACK para ACM fornece gerenciamento automatizado do ciclo de vida do certificado em seu fluxo de trabalho do Kubernetes. Quando você cria um recurso de certificado ACM no Kubernetes, o controlador ACK executa as seguintes ações:

1. Solicita um certificado do ACM, que gera a solicitação de assinatura de certificado (CSR).

1. Aguarda a conclusão da validação do domínio e a emissão do certificado pelo ACM.

1. Se o `exportTo` campo for especificado, exporta o certificado emitido e a chave privada e os armazena no segredo do Kubernetes especificado.

1. Se o `exportTo` campo for especificado e o certificado estiver qualificado para renovação, atualize o segredo do Kubernetes com certificados renovados antes da expiração.

Os certificados emitidos publicamente exigem a [validação do domínio](https://docs.aws.amazon.com//acm/latest/userguide/dns-validation.html) antes que o ACM possa emiti-los. Você pode usar o [controlador de serviço ACK para o Amazon Route 53](https://github.com/aws-controllers-k8s/route53-controller) para criar automaticamente os registros CNAME de validação de DNS necessários na sua zona hospedada.

## Opções de uso do certificado
<a name="kubernetes-ack-certificate-usage"></a>

Você pode usar certificados ACM com o Kubernetes de algumas maneiras:

![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/images/kubernetes-acm.png)


1. Encerramento do *balanceador de carga (sem exportação)*: emita certificados por meio do ACK e use-os para encerrar o TLS em um AWS balanceador de carga. O certificado permanece no ACM e é descoberto automaticamente pelo Load [AWS Balancer Controller](https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.1/guide/ingress/cert_discovery/). Essa abordagem não exige a exportação do certificado.

1. *Encerramento de entrada (com exportação): exporte certificados do ACM e armazene-os no Kubernetes Secrets para terminação* de TLS no nível de entrada. Isso permite que você use certificados diretamente em suas cargas de trabalho do Kubernetes.

**nota**  
Para casos de uso que exigem certificados privados, consulte [AWS Private CA Connector for Kubernetes](https://docs.aws.amazon.com//privateca/latest/userguide/PcaKubernetes-concepts.html), um plug-in cert-manager.

## Pré-requisitos
<a name="kubernetes-ack-prerequisites"></a>

Antes de instalar o controlador de serviço ACK para ACM, verifique se você tem o seguinte:
+ Um cluster Kubernetes.
+ Capacete instalado.
+ O `kubectl` configurado para se comunicar com o cluster.
+ `eksctl`instalado para configurar associações de identidade de pod no EKS.

## Instale o controlador de serviço ACK para ACM
<a name="kubernetes-ack-installation"></a>

Use o Helm para instalar o controlador de serviço ACK para ACM em seu cluster Amazon EKS.

1. Crie um namespace para o controlador ACK.

   ```
   $ kubectl create namespace ack-system --dry-run=client -o yaml | kubectl apply -f -
   ```

1. Crie uma associação de identidade de pod para o controlador ACK. *CLUSTER\$1NAME*Substitua pelo nome do seu cluster e *REGION* pela sua AWS região.

   ```
   $ eksctl create podidentityassociation --cluster CLUSTER_NAME --region REGION \
       --namespace ack-system \
       --create-service-account \
       --service-account-name ack-acm-controller \
       --permission-policy-arns arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess
   ```

1. Faça login no registro público do Amazon ECR.

   ```
   $ aws ecr-public get-login-password --region us-east-1 | helm registry login --username AWS --password-stdin public.ecr.aws
   ```

1. Instale o controlador de serviço ACK para ACM. *REGION*Substitua pela sua AWS região.

   ```
   $ helm install -n ack-system ack-acm-controller oci://public.ecr.aws/aws-controllers-k8s/acm-chart --set serviceAccount.create=false --set serviceAccount.name=ack-acm-controller --set aws.region=REGION
   ```

1. Verifique se o controlador está em execução.

   ```
   $ kubectl get pods -n ack-system
   ```

Para obter mais informações sobre associações de identidade de pod, consulte [EKS Pod Identity](https://docs.aws.amazon.com//eks/latest/userguide/pod-identities.html) no *Guia do usuário do Amazon EKS*.

## Exemplo: Encerrar o TLS no Ingress
<a name="kubernetes-ack-example"></a>

O exemplo a seguir demonstra como exportar um certificado ACM e usá-lo para encerrar o TLS no nível do Kubernetes Ingress. Essa configuração cria um certificado ACM, o exporta para um segredo do Kubernetes e configura um recurso de entrada para usar o certificado para terminação de TLS.

Neste exemplo:
+ O segredo é criado para armazenar o certificado exportado () `exported-cert-secret`
+ O recurso ACK Certificate solicita um certificado do ACM para seu domínio e o exporta para o `exported-cert-secret` Secret.
+ O recurso Ingress faz referência `exported-cert-secret` ao para encerrar o TLS para tráfego de entrada.

Substitua `${HOSTNAME}` pelo nome do domínio.

```
apiVersion: v1
kind: Secret
type: kubernetes.io/tls
metadata:
  name: exported-cert-secret
  namespace: demo-app
data:
  tls.crt: ""
  tls.key: ""
---
apiVersion: acm.services.k8s.aws/v1alpha1
kind: Certificate
metadata:
  name: exportable-public-cert
  namespace: demo-app
spec:
  domainName: ${HOSTNAME}
  options:
    certificateTransparencyLoggingPreference: ENABLED
  exportTo: 
    namespace: demo-app
    name: exported-cert-secret
    key: tls.crt
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-traefik
  namespace: demo-app
spec:
  tls:
  - hosts:
    - ${HOSTNAME}
    secretName: exported-cert-secret
  ingressClassName: traefik
  rules:
  - host: ${HOSTNAME}
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: whoami
            port:
              number: 80
```

Depois de implantado, o controlador de serviço ACK para ACM gerencia automaticamente o ciclo de vida do certificado, incluindo renovações. Quando o ACM renova o certificado, o controlador atualiza o `exported-cert-secret` segredo com o novo certificado, garantindo que seu Ingress continue usando certificados válidos sem intervenção manual.

# Revogar um certificado AWS Certificate Manager público
<a name="revoke-certificate"></a>

Você pode revogar um certificado público AWS Certificate Manager exportável usando o console do ACM ou a ação da AWS CLI API.

**Atenção**  
Depois que um certificado for revogado, você não poderá reutilizá-lo. A revogação de um certificado é permanente.

Talvez seja necessário revogar um certificado para estar em conformidade com as políticas da sua organização ou mitigar o comprometimento da chave. É necessário um motivo para revogar um certificado. Os seguintes motivos podem ser usados:
+ Não especificado
+ Afiliação alterada
+ Substituído
+ Cessação da operação

Para saber mais, consulte o [Acordo de assinante do certificado do Amazon Trust Services](https://www.amazontrust.com/repository/sa-1.3.pdf) e o [Amazon Trust Service](https://www.amazontrust.com/repository/).

AWS fornece dois serviços para verificar revogações de certificados: Online Certificate Status Protocol (OCSP) e lista de revogação de certificados. Com o OCSP, o cliente consulta um banco de dados de revogação autoritativo que retorna um status em tempo real. O OCSP depende das informações de validação incorporadas nos certificados.

## Considerações
<a name="revoke-considerations"></a>

Veja a seguir algumas considerações antes de revogar um certificado:
+ Você só pode revogar certificados que foram exportados anteriormente.
+ Você não pode revogar [certificados públicos não exportáveis](acm-exportable-certificates.md). Se não precisar mais desses certificados, você deve [excluí-los](gs-acm-delete.md).
+ Se não precisar mais dos certificados, você deve [excluir os certificados](gs-acm-delete.md), em vez de revogá-los.
+ O processo de revogação do certificado é global. Todos os certificados válidos que você decidir revogar serão revogados junto com os associados. ARNs
+ A revogação do certificado é permanente. Você não pode recuperar os certificados revogados para reutilização.
+ Pode levar até 24 horas para que a revogação do certificado entre em vigor.

## Revogar um certificado (console)
<a name="revoke-certificate-console"></a>

Os procedimentos a seguir explicam como você pode revogar um certificado público ou privado do ACM.

1. Faça login no Console de gerenciamento da AWS e abra o console do ACM em [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Escolha **Listar certificados** e marque a caixa de seleção do certificado que você deseja revogar.

   1. Como alternativa, você pode selecionar o certificado. Na página de detalhes do certificado, selecione **Revogar**.

1. Escolha **Mais ações** e, em seguida, **Revogar**.

1. É exibida uma caixa de diálogo na qual você deve fornecer um motivo para a revogação, inserir **revoke** e escolher **Revogar**.

## Revogar um certificado (AWS CLI)
<a name="revoke-certificate-cli"></a>

Use o [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI comando ou a ação [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html)da API para revogar um certificado público ou privado do ACM. É possível recuperar o ARN do certificado chamando o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html).

```
$ aws acm revoke-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
    --revocation-reason "UNSPECIFIED"
```

**Atenção**  
Depois que um certificado for revogado, você não poderá reutilizá-lo. A revogação de um certificado é permanente.

A saída do comando `revoke-certificate` seria como mostrado a seguir.

```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```

# Configurar eventos de renovação automática
<a name="configure-auto-renewals-events"></a>

Com certificados públicos AWS Certificate Manager exportáveis e a Amazon EventBridge, você pode configurar eventos automáticos de renovação de certificados.

1. Configure um EventBridge evento da Amazon para monitorar as renovações de certificados. Para obter mais informações, consulte o [ EventBridge suporte da Amazon para o ACM.](https://docs.aws.amazon.com//acm/latest/userguide/cloudwatch-events.html)

1. Crie automação para lidar com a implantação de certificados quando ocorrerem renovações. Para obter mais informações, consulte [Iniciando ações com a Amazon EventBridge no ACM](example-actions.md).

1. Configure EventBridge eventos para alertá-lo sobre qualquer falha de renovação ou implantação.

# Forçar renovação de certificado
<a name="force-certificate-renewal"></a>

Você pode renovar seus certificados públicos e privados do ACM com o console do ACM, o [certificado de renovação ou a ação da API](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI. [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) Você só pode renovar os certificados que foram exportados anteriormente.

**Importante**  
Quando você renova um certificado público exportável do ACM, é cobrada uma taxa adicional. Para obter as informações mais recentes sobre preços do ACM, consulte a página [AWS Certificate Manager de preços de serviços](https://aws.amazon.com//certificate-manager/pricing/) no AWS site.

## Renovar um certificado (console)
<a name="renew-certificate-console"></a>

O procedimento a seguir explica como você pode forçar a renovação de um certificado público ou privado do ACM.

1. Faça login no Console de gerenciamento da AWS e abra o console do ACM em [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Escolha **Listar certificados** e marque a caixa de seleção do certificado que você deseja renovar.

   1. Como alternativa, você pode selecionar o certificado. Na página de detalhes do certificado, selecione **Renovar**.

1. Escolha **Mais ações** e, em seguida, **Renovar**.

1. É exibida uma caixa de diálogo na qual você deve inserir **renew** e escolher **Renovar**.

## Renovar um certificado (AWS CLI)
<a name="renew-certificate-cli"></a>

Use o [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI comando ou a ação [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)da API para renovar um certificado público ou privado do ACM. É possível recuperar o ARN do certificado chamando o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html). O comando `renew-certificate` não retorna uma resposta.

```
$ aws acm renew-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012
```

# Valide a propriedade do domínio para certificados AWS Certificate Manager públicos
<a name="domain-ownership-validation"></a>

Antes que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWS Certificate Manager (ACM) deve comprovar que você possui ou controla todos os nomes de domínio especificados na sua solicitação. Você pode optar por provar sua propriedade com a validação por Sistema de Nomes de Domínio (DNS), validação por e-mail ou validação por HTTP quando solicitar um certificado.

**nota**  
A validação aplica-se apenas a certificados publicamente confiáveis emitidos pelo ACM. O ACM não valida a propriedade do domínio para [certificados importados](import-certificate.md) nem para certificados assinados por uma CA privada. O ACM não pode validar recursos em uma [zona hospedada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) do Amazon VPC em ou qualquer outro domínio privado. Para obter mais informações, consulte [Solucionar problemas de validação de certificados](certificate-validation.md).

Recomendamos o uso da validação por DNS em vez da validação por e-mail pelos seguintes motivos:
+ Se você usa o Amazon Route 53 para gerenciar seus registros de DNS públicos, poderá atualizar seus registros diretamente por meio do ACM.
+ O ACM renova seu certificado validado por DNS automaticamente, desde que o certificado esteja em uso e o registro do DNS esteja em vigor.
+ Para serem renovados, os certificados validados por e-mail exigem uma ação do proprietário do domínio. O ACM começa a enviar avisos de renovação 45 dias antes do prazo de validade. Esses avisos vão para um ou mais dos cinco endereços de administrador comuns do domínio. As notificações contêm um link no qual o proprietário do domínio pode clicar para facilitar a renovação. Depois que todos os domínios listados forem validados, o ACM emitirá um certificado renovado com o mesmo ARN.

Se não puder editar o banco de dados de DNS do seu domínio, você deve usar a [validação por e-mail](email-validation.md) em seu lugar.

A validação HTTP está disponível para certificados usados com CloudFront. Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS.

**nota**  
Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

**Topics**
+ [

# AWS Certificate Manager Validação de DNS
](dns-validation.md)
+ [

# AWS Certificate Manager validação de e-mail
](email-validation.md)
+ [

# AWS Certificate Manager Validação por HTTP
](http-validation.md)

# AWS Certificate Manager Validação de DNS
<a name="dns-validation"></a>

O Sistema de Nomes de Domínio (DNS) é um serviço de directory service para recursos conectados a uma rede. Seu provedor de DNS mantém um banco de dados contendo registros que definem seu domínio. Quando você escolhe a validação por DNS, o ACM fornece um ou mais registros CNAME que devem ser adicionados a esse banco de dados. Esses registros contêm um par de chave-valor exclusivo que serve como prova de que você controla o domínio.

**nota**  
Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

Por exemplo, se você solicitar um certificado para o domínio `example.com` com `www.example.com` como um nome adicional, o ACM criará dois registros CNAME para você. Cada registro criado especificamente para seu domínio e sua conta contém um nome e um valor. O valor é um alias que aponta para um AWS domínio que o ACM usa para renovar automaticamente seu certificado. Você adiciona os registros CNAME a seu banco de dados de DNS somente uma vez. O ACM renova seu certificado automaticamente, desde que o certificado esteja em uso e o registro CNAME permaneça em vigor. 

**Importante**  
Se você não usa o Amazon Route 53 para gerenciar seus registros públicos de DNS, entre em contato com seu provedor do DNS para saber como adicionar registros. Se não tiver autoridade para editar o banco de dados de DNS do seu domínio, você deve usar a [validação por e-mail](email-validation.md) em seu lugar.

Sem a necessidade de repetir a validação, você pode solicitar certificados adicionais do ACM para seu nome de domínio totalmente qualificado (FQDN) enquanto o registro CNAME permanecer em vigor. Ou seja, você pode criar certificados de substituição com o mesmo nome de domínio ou certificados que cobrem subdomínios diferentes. Como o token de validação CNAME funciona para qualquer AWS região, você pode recriar o mesmo certificado em várias regiões. Você também pode substituir um certificado excluído. 

Você pode interromper a renovação automática removendo o certificado do serviço da AWS ao qual ele está associado ou excluindo o registro CNAME. Se o Route 53 não for seu provedor de DNS, entre em contato com o provedor para saber como excluir um registro. Se o Route 53 for seu provedor, consulte [Exclusão de conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) no *Guia do desenvolvedor do Route 53*. Para obter mais informações sobre a renovação de certificados gerenciados, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md). 

**nota**  
A resolução do CNAME falhará se mais de cinco CNAMEs estiverem encadeados em sua configuração de DNS. Se você precisar de um encadeamento mais longo, recomendamos usar a [validação por e-mail](email-validation.md).

## Como funcionam os registros CNAME para o ACM
<a name="cnames-overview"></a>

**nota**  
Esta seção é para clientes que não usam o Route 53 como provedor de DNS.

Se você não estiver usando o Route 53 como seu provedor DNS, precisará inserir manualmente os registros CNAME fornecidos pelo ACM no banco de dados do seu provedor, geralmente por meio de um site. Os registros CNAME são usados para vários fins, inclusive como mecanismos de redirecionamento e como contêineres para metadados específicos do provedor. Para o ACM, esses registros permitem a validação inicial da propriedade do domínio e a renovação automática contínua de certificados. 

A tabela a seguir mostra exemplos de registros CNAME para seis nomes de domínio. O par **nome de registro**-**valor do Registro** de cada registro serve para autenticar a propriedade do nome do domínio. 

Na tabela, note que os dois primeiros pares **nome de registro**-**valor do registro** são iguais. Isso ilustra que, para um domínio curinga, como `*.example.com`, as strings criadas pelo ACM são as mesmas que as criadas para seu domínio base, `example.com`. Caso contrário, o par **nome de registro** e **valor do registro** é diferente para cada nome de domínio.


**Exemplo de registros CNAME**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/dns-validation.html)

Os *xN* valores após o sublinhado (\$1) são cadeias de caracteres longas geradas pelo ACM. Por exemplo, 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

representa um **nome de registro** gerado. O **valor do registro** associado pode ser

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

para o mesmo registro de DNS.

**nota**  
Se o provedor de DNS não suportar os valores de CNAME que comecem com sublinha, consulte [Solucionar problemas de validação por DNS](troubleshooting-DNS-validation.md).

Quando você solicita um certificado e especifica a validação por DNS, o ACM fornece as informações de CNAME no seguinte formato:


****  

| Nome do domínio | Nome de registro | Tipo de registro | Valor do registro | 
| --- | --- | --- | --- | 
| exemplo.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.exemplo.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

O *nome do domínio* é o FQDN associado ao certificado. O *nome de registro* identifica o registro de forma exclusiva, servindo como a chave do par chave-valor. O *valor do registro* serve como o valor do par chave-valor. 

Todos esses três valores (*Nome de domínio*, *Nome do registro* e *Valor do registro*) devem ser inseridos nos campos apropriados da interface da Web do provedor de DNS para adicionar os registros de DNS. Os provedores são inconsistentes em termos de como tratam o campo de nome do registro (ou apenas "nome"). Em alguns casos, espera-se que você forneça toda a sequência como mostrado acima. Outros provedores adicionam automaticamente o nome de domínio a qualquer sequência que você inserir, o que significa (nesse exemplo) que você deve inserir somente

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

no campo de nome. Se você fizer uma suposição errada e inserir um nome de registro que contenha um nome de domínio (como *`.example.com`*), o resultado final pode ser o seguinte:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

A validação não funcionará nesse caso. Consequentemente, você deve tentar determinar antecipadamente que tipo de entrada seu provedor espera.

## Configuração da validação por DNS
<a name="setting-up-dns-validation"></a>

Esta seção descreve como configurar um certificado público para usar a validação por DNS.<a name="dns-validation-console"></a>

**Para configurar a validação por DNS no console**
**nota**  
Esse procedimento pressupõe que você já tenha criado pelo menos um certificado e que esteja trabalhando na AWS região em que o criou. Se tentar abrir o console e visualizar a tela de primeiro uso, ou se conseguir abrir o console e não vir seu certificado na lista, verifique se especificou a região correta.

1. Abra o console do ACM em. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. Na lista de certificados, escolha o **Certificate ID** (ID do certificado) de um certificado com status **Pending validation** (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.

1. Na seção **Domains** (Domínios), realize um dos dois procedimentos a seguir:

   1. (Opcional) Validar com o Route 53.

      Um botão **Create record in Route 53** (Criar registro no Route 53) ativo será exibido se as seguintes condições forem verdadeiras:
      + Você usa o Route 53 como seu provedor de DNS.
      + Você tem permissão para gravar na zona hospedada pelo Route 53.
      + Seu FQDN ainda *não* foi validado.
**nota**  
Se você estiver usando o Route 53, mas **Criar registros no Route 53** não aparecer ou estiver desabilitado, consulte [Console do ACM não exibe o botão “Criar registros no Route 53”](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Selecione **Criar registros no Route 53** e, em seguida, escolha **Criar registros**. A página **Certificate status** (Status do certificado) deve abrir com um banner de status informando **Successfully created DNS records** (Registros de DNS criados com êxito).

      Seu novo certificado pode continuar a exibir um status de **Validação pendente** por até 30 minutos.
**dica**  
Não é possível solicitar de forma programática que o ACM crie automaticamente seu registro no Route 53. No entanto, você pode fazer uma chamada AWS CLI ou de API para o Route 53 para criar o registro no banco de dados DNS do Route 53. Para obter mais informações sobre conjuntos de registros do Route 53, consulte [Trabalho com conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opcional) Se não estiver usando o Route 53 como seu provedor de DNS, você deve recuperar as informações de CNAME e adicioná-las a seu banco de dados de DNS. Na página de detalhes do novo certificado, é possível fazer isso de duas formas:
      + Copie os componentes do CNAME exibidos na seção **Domains** (Domínios). As informações precisam ser adicionadas manualmente ao banco de dados de DNS.
      + Outra alternativa é escolher **Export to CSV** (Exportar para CSV). É necessário adicionar as informações do arquivo resultante manualmente ao seu banco de dados de DNS.
**Importante**  
Para evitar problemas de validação, revise [Como funcionam os registros CNAME para o ACM](#cnames-overview) antes de adicionar informações ao banco de dados do seu provedor de DNS. Se você tiver problemas, consulte [Solucionar os problemas de validação por DNS](troubleshooting-DNS-validation.md). 

Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de CNAME para você, o ACM altera o status do certificado para **Prazo de validação esgotado**. O motivo mais provável para este resultado é você não ter atualizado sua configuração de DNS com o valor gerado pelo ACM. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de CNAME.

# AWS Certificate Manager validação de e-mail
<a name="email-validation"></a>

Para que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWS Certificate Manager (ACM) deve verificar que você possui ou controla todos os domínios especificados na sua solicitação. Você pode executar uma verificação usando o e-mail ou o DNS. Este tópico discute a validação de e-mail.

Se você tiver problemas ao usar a validação de e-mail, consulte [Solução de problemas de validação de e-mail](troubleshooting-email-validation.md).

## Como a validação por e-mail funciona
<a name="how-email-validation-works"></a>

O ACM envia mensagens de e-mail de validação para os cinco e-mails do sistema comuns a seguir para cada domínio. Como alternativa, você pode especificar um superdomínio como domínio de validação se quiser receber esses e-mails nesse domínio. Qualquer subdomínio até o endereço mínimo do site é válido e é usado como domínio para o endereço de e-mail como o sufixo após `@`. Por exemplo, você poderá receber um e-mail para admin@example.com se especificar exemplo.com como o domínio de validação para subdomínio.exemplo.com.
+ administrator@your\$1domain\$1name
+ hostmaster@your\$1domain\$1name
+ postmaster@your\$1domain\$1name
+ webmaster@your\$1domain\$1name
+ admin@your\$1domain\$1name

Para comprovar que o domínio é seu, você deverá selecionar o link de validação incluído nesses e-mails. O ACM também envia e-mails de validação para esses mesmos endereços para renovar o certificado quando o certificado estiver a 45 dias de expirar.

A validação por e-mail de solicitações de certificado de vários domínios usando a API ou a CLI do ACM faz com que uma mensagem de e-mail seja enviada por cada domínio solicitado, mesmo se a solicitação incluir subdomínios de outros domínios na solicitação. O proprietário do domínio precisa validar uma mensagem de e-mail para cada um desses domínios antes que o ACM possa emitir o certificado.

**Exceção a este processo**  
Se você solicitar um certificado do ACM para um nome de domínio que comece com **www** ou um asterisco como curinga (**\$1**), o ACM removerá o **www** ou o asterisco inicial e enviará e-mails para os endereços administrativos. Esses endereços são formados, antepondo admin@, administrador@, hostmaster@, postmaster@ e webmaster@ ao restante do nome de domínio. Por exemplo, se você solicitar um certificado do ACM para www.exemplo.com, o e-mail será enviado para admin@exemplo.com em vez de ser enviado para admin@www.exemplo.com. Da mesma forma, se você solicitar um certificado do ACM para \$1.teste.exemplo.com, o e-mail será enviado para admin@teste.exemplo.com. Os demais endereços administrativos comuns são formados de maneira similar.

**Importante**  
O ACM não oferece mais suporte à validação por e-mail do WHOIS no caso de novos certificados ou de renovações. Os endereços comuns do sistema permanecem com suporte. Para obter detalhes, consulte a [publicação do blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Considerações
<a name="certificate-considerations"></a>

Observe as considerações a seguir sobre a validação de e-mails.
+ Você precisa de um endereço de e-mail de trabalho funcional registrado em seu domínio para usar a validação por e-mail. Os procedimentos para configurar um endereço de e-mail estão fora do escopo deste guia.
+ A validação aplica-se apenas a certificados publicamente confiáveis emitidos pelo ACM. O ACM não valida a propriedade do domínio para [certificados importados](import-certificate.md) nem para certificados assinados por uma CA privada. O ACM não pode validar recursos em uma [zona hospedada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) do Amazon VPC em ou qualquer outro domínio privado. Para obter mais informações, consulte [Solucionar problemas de validação de certificados](certificate-validation.md).
+ Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

## Data de expiração da validade e de renovação do certificado
<a name="renewal"></a>

Os certificados ACM são válidos por 198 dias. A renovação de um certificado exige uma ação do proprietário do domínio. O ACM começa a enviar avisos de renovação para os endereços de e-mail associados ao domínio 45 dias antes da expiração. As notificações contêm um link no qual o proprietário do domínio pode clicar para renová-lo. Depois que todos os domínios listados forem validados, o ACM emitirá um certificado renovado com o mesmo ARN.

## (Opcional) Reenviar de e-mail de validação
<a name="gs-acm-resend"></a>

Cada e-mail de validação contém um token que você pode usar para aprovar uma solicitação de certificado. No entanto, como o e-mail de validação necessário para o processo de aprovação pode ser bloqueado por filtros de spam ou pode ser perdido em trânsito, o token expira automaticamente após 72 horas. Se não receber o e-mail original ou se o token estiver expirado, você poderá solicitar que o e-mail seja reenviado. Para obter informações sobre como reenviar um e-mail de validação, consulte [Reenviar o e-mail de validação](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

Em caso de problemas persistentes com a validação de e-mail, consulte a seção [Solução de problemas de validação de e-mail](troubleshooting-email-validation.md) em [Solucione problemas com AWS Certificate Manager](troubleshooting.md).

# Automatize a validação AWS Certificate Manager de e-mails
<a name="email-automation"></a>

Os certificados ACM validados por e-mail normalmente exigem uma ação manual do proprietário do domínio. Organizações que lidam com um grande número de certificados validados por e-mail podem preferir criar um analisador que possa automatizar as respostas necessárias. Para ajudar os clientes a usar a validação por e-mail, as informações nesta seção descrevem os modelos usados para mensagens de e-mail de validação de domínio e o fluxo de trabalho envolvido na realização do processo de validação. 

## Modelos de e-mail de validação
<a name="validation-email-template"></a>

As mensagens de e-mail de validação têm um dos dois formatos a seguir, dependendo se um novo certificado está sendo solicitado ou um certificado existente está sendo renovado. O conteúdo das cadeias destacadas deve ser substituído por valores específicos para o domínio que está sendo validado.

### Validando um novo certificado
<a name="new-template"></a>

Texto do modelo de e-mail:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Validando um certificado para renovação
<a name="renewal-template"></a>

Texto do modelo de e-mail:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Depois de receber uma nova mensagem de validação de AWS, recomendamos que você a use como o modelo mais up-to-date confiável para seu analisador. Os clientes com analisadores de mensagens criados antes de novembro de 2020 devem observar as seguintes alterações que podem ter sido feitas no modelo:
+ A linha de assunto do e-mail agora mostra "`Certificate request for domain name`" em vez de "`"Certificate approval for domain name`".
+ O `AWS account ID` agora é apresentado sem traços ou hífens. 
+ O `Certificate Identifier` agora apresenta todo o ARN do certificado em vez de uma forma reduzida, por exemplo, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` em vez de `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ O URL de aprovação do certificado agora contém `acm-certificates.amazon.com` em vez de `certificates.amazon.com`.
+ O formulário de aprovação aberto clicando no URL de aprovação do certificado agora contém o botão de aprovação. O nome do botão de aprovação é agora `approve-button` em vez de `approval_button`.
+ As mensagens de validação para certificados recém-solicitados e certificados de renovação têm o mesmo formato de e-mail.

## Fluxo de trabalho de validação
<a name="validation-workflow"></a>

Esta seção fornece informações sobre o fluxo de trabalho de renovação para certificados validados por e-mail. 
+ Quando o console do ACM processa uma solicitação de certificado de vários domínios, ele envia mensagens de e-mail de validação para o nome de domínio ou para o domínio de validação especificado quando você solicita um certificado público. O proprietário do domínio precisa validar uma mensagem de e-mail para cada domínio antes que o ACM possa emitir o certificado. Para obter mais informações, consulte [Uso do DNS para validar a propriedade do domínio](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ A validação por e-mail de solicitações de certificado de vários domínios usando a API ou a CLI do ACM faz com que uma mensagem de e-mail seja enviada por cada domínio solicitado, mesmo se a solicitação incluir subdomínios de outros domínios na solicitação. O proprietário do domínio precisa validar uma mensagem de e-mail para cada um desses domínios antes que o ACM possa emitir o certificado.

  Se você reenviar e-mails de um certificado existente por meio do console do ACM, os e-mails serão enviados para o domínio de validação especificado na solicitação de certificado original ou para o domínio exato se nenhum domínio de validação tiver sido especificado. Para receber e-mails de validação em um domínio diferente, é possível solicitar um novo certificado e especificar o domínio de validação que você deseja usar para validação. Como alternativa, você pode chamar [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)com o `ValidationDomain` parâmetro usando a API, o SDK ou a CLI. No entanto, o domínio de validação especificado na solicitação `ResendValidationEmail` é usado somente para essa chamada e não é salvo no nome do recurso da Amazon (ARN) do certificado para futuros e-mails de validação. Será necessário chamar `ResendValidationEmail` sempre que você quiser receber um e-mail de validação em um nome de domínio que não foi especificado na solicitação de certificado original.
**nota**  
Antes de novembro de 2020, os clientes precisavam validar apenas o domínio apex e o ACM emitia um certificado que também abrangia todos os subdomínios. Os clientes com analisadores de mensagens projetados antes dessa época devem observar a alteração no fluxo de trabalho de validação de e-mail.
+ Com a API ou a CLI do ACM, você pode forçar que todas as mensagens de e-mail de validação para uma solicitação de certificado de vários domínios sejam enviadas para o domínio apex. Na API, use o parâmetro `DomainValidationOptions` da ação [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) para especificar um valor para `ValidationDomain`, que é um membro do tipo [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html). Na CLI, use o parâmetro **--domain-validation-options** do comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para especificar um valor para `ValidationDomain`.

# AWS Certificate Manager Validação por HTTP
<a name="http-validation"></a>

O Hypertext Transfer Protocol (HTTP) é um protocolo fundamental para a comunicação de dados na World Wide Web. Quando você escolhe a validação HTTP para certificados usados com CloudFront, o ACM aproveita esse protocolo para verificar a propriedade do seu domínio. O ACM trabalha em conjunto CloudFront para fornecer a você um URL específico e um token exclusivo que devem ser disponibilizados nesse URL em seu domínio. Esse token serve como prova de que você controla o domínio. Ao configurar um redirecionamento do seu domínio para um local controlado pelo ACM dentro da CloudFront infraestrutura, você demonstra sua capacidade de modificar o conteúdo no domínio, validando assim sua propriedade. Essa integração perfeita entre o ACM CloudFront simplifica o processo de emissão de certificados, especialmente para distribuições. CloudFront 

**Importante**  
A validação por HTTP não oferece suporte a certificados de domínio curingas (como \$1.exemplo.com). Para certificados curingas, use a validação por DNS ou a validação por e-mail.

Por exemplo, se você solicitar um certificado para o `example.com` domínio com `www.example.com` um nome adicional usando CloudFront, o ACM fornecerá dois conjuntos de URLs para validação de HTTP. Cada conjunto contém um URL `redirectFrom` e um URL `redirectTo`, os quais foram criados especificamente para seu domínio e sua conta da AWS . O URL `redirectFrom` é um caminho no seu domínio (por exemplo, `http://example.com/.well-known/pki-validation/example.txt`) que precisa ser configurado. O `redirectTo` URL aponta para um local controlado pelo ACM na CloudFront infraestrutura em que um token de validação exclusivo é armazenado. Você só precisa configurar esses redirecionamentos uma vez. Quando uma autoridade de certificação tenta validar a propriedade do seu domínio, ela solicitará o arquivo da `redirectFrom` URL, que CloudFront redireciona para a `redirectTo` URL, permitindo o acesso ao token de validação. O ACM renova automaticamente seu certificado, desde que o certificado esteja em uso CloudFront e seu redirecionamento permaneça em vigor.

Depois de configurar a validação HTTP para um nome de domínio totalmente qualificado (FQDN) com CloudFront, você pode solicitar certificados ACM adicionais para esse FQDN sem repetir o processo de validação, desde que o redirecionamento HTTP permaneça em vigor. Isso significa que você pode criar certificados de substituição com o mesmo nome de domínio. Também é possível substituir um certificado excluído sem passar pelo processo de validação novamente, desde que o redirecionamento ainda esteja ativo.

Existem duas opções para a interrupção da renovação automática do seu certificado validado por HTTP. Você pode remover o certificado da CloudFront distribuição à qual ele está associado ou excluir o redirecionamento HTTP configurado para validação. Se você estiver usando uma rede de distribuição de conteúdo (CDN) ou um servidor web que não seja CloudFront para gerenciar seus redirecionamentos, consulte a documentação deles para saber como remover um redirecionamento. Se você estiver usando CloudFront para gerenciar seus redirecionamentos, você pode remover o redirecionamento atualizando a configuração da sua distribuição. Para obter mais informações sobre a renovação de certificados gerenciados, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md). Lembrete: interromper a renovação automática pode levar à expiração do certificado, o que pode interromper seu tráfego HTTPS.

## Como funcionam os redirecionamentos HTTP para o ACM
<a name="http-redirects-overview"></a>

**nota**  
Esta seção é para clientes que estão usando o ACM CloudFront para entrega de conteúdo e o ACM para gerenciamento de SSL/TLS certificados.

Ao usar a validação HTTP com o ACM e CloudFront, você precisa configurar redirecionamentos HTTP. Esses redirecionamentos permitem que o ACM verifique a propriedade do seu domínio para que ocorra a emissão inicial do certificado e a renovação automática contínua. O mecanismo de redirecionamento funciona apontando um URL específico em seu domínio para um local controlado pelo ACM na CloudFront infraestrutura em que um token de validação exclusivo é armazenado.

A tabela a seguir mostra exemplos de configurações de redirecionamento para nomes de domínio. Observe que a validação por HTTP não oferece suporte a domínios curinga (como \$1.exemplo.com). Cada par **Redirecionar de**-**Redirecionar para** da configuração serve para autenticar a propriedade do nome de domínio.


**Exemplo de configurações de redirecionamento HTTP**  

| Domain name (Nome de domínio) | Redirecionar de | Redirecionar para | Comment | 
| --- | --- | --- | --- | 
| exemplo.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Exclusivo  | 
| www.exemplo.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Exclusivo  | 
| host.exemplo.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Exclusivo  | 
| subdomínio.exemplo.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Exclusivo  | 
| host.subdomínio.exemplo.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Exclusivo  | 

Os *xN* valores nos nomes dos arquivos e os *yN* valores nos domínios controlados pelo ACM são identificadores exclusivos gerados pelo ACM. Por exemplo,

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

representa um URL **Redirecionar de** gerado. O URL **Redirecionar para** associado pode ser

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

para o mesmo registro de validação.

**nota**  
Se seu servidor web ou rede de distribuição de conteúdo não oferecer suporte para a configuração de redirecionamentos no caminho especificado, consulte [Solucionar problemas de validação por HTTP](troubleshooting-HTTP-validation.md).

Quando você solicita um certificado e especifica a validação por HTTP, o ACM fornece as informações de redirecionamento no seguinte formato:


****  

| Nome do domínio | Redirecionar de | Redirecionar para | 
| --- | --- | --- | 
| exemplo.com | http://example.com/.well - known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

O *nome do domínio* é o FQDN associado ao certificado. *Redirecionar de* é o URL do seu domínio em que o ACM buscará o arquivo de validação. *Redirecionar para* é o URL controlado pelo ACM no qual o arquivo de validação real está hospedado.

Você precisa configurar seu servidor web ou CloudFront distribuição para redirecionar solicitações do URL de *redirecionamento para o URL de* *redirecionamento*. O método exato para configurar esse redirecionamento depende do software ou da CloudFront configuração do seu servidor web. Configure corretamente o redirecionamento para permitir que o ACM valide a propriedade do seu domínio e emita ou renove seu certificado.

## Configuração da validação por HTTP
<a name="setting-up-http-validation"></a>

O ACM usa a validação HTTP para verificar a propriedade do seu domínio ao emitir SSL/TLS certificados públicos para uso com. CloudFront Esta seção descreve como configurar um certificado público para usar a validação por HTTP.<a name="http-validation-console"></a>

**Para configurar a validação por HTTP no console**
**nota**  
Esse procedimento pressupõe que você já tenha solicitado um certificado CloudFront e que esteja trabalhando na AWS região em que o criou. A validação de HTTP está disponível somente por meio do recurso CloudFront Distribution Tenants.

1. Abra o console do ACM em. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. Na lista de certificados, escolha o **Certificate ID** (ID do certificado) de um certificado com status **Pending validation** (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.

1. Na seção **Domínios**, você pode ver os valores **Redirecionar de** e **Redirecionar para** de cada domínio em sua solicitação de certificado.

1. Para cada domínio, configure um redirecionamento HTTP do URL **Redirecionar de** para o URL **Redirecionar para**. Você pode fazer isso por meio de sua configuração CloudFront de distribuição.

1. Configure sua CloudFront distribuição para redirecionar solicitações do URL de **redirecionamento para o URL de** **redirecionamento** para. O método para configurar esse redirecionamento depende da sua CloudFront configuração.

1. Depois que os redirecionamentos forem configurados, o ACM tentará validar automaticamente a propriedade do seu domínio. Esse processo pode demorar até 30 minutos.

Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de redirecionamento para você, o ACM altera o status do certificado para **Prazo de validação esgotado**. O motivo mais provável para esse resultado é que os redirecionamentos HTTP não tenham sido configurados. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de redirecionamento.

**Importante**  
Para evitar problemas de validação, assegure que o conteúdo no local **Redirecionar de** corresponda ao conteúdo no local **Redirecionar para**. Se você tiver problemas, consulte [Solução de problemas de validação por HTTP](troubleshooting-HTTP-validation.md).

**nota**  
Ao contrário da validação por DNS, você não pode solicitar de forma programática que o ACM crie automaticamente seus redirecionamentos HTTP. Você deve definir esses redirecionamentos por meio de suas configurações de CloudFront distribuição.

Para obter mais informações sobre como a validação por HTTP funciona, consulte [Como funcionam os redirecionamentos HTTP para o ACM](#http-redirects-overview).