本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS Certificate Manager?
AWS Certificate Manager (ACM) 负责创建、存储和续订保护您的网站和应用程序的公共和私有 SSL/TLS X.509 证书和密钥的复杂性。 AWS 您可以直接通过 ACM 签发证书,或者通过将第三方证书[导入](import-certificate.md) ACM 管理系统中,为[集成 AWS 服务](acm-services.md)提供证书。ACM 证书可以保护单一域名、多个特定域名、通配符域或这些域的组合。ACM 通配符证书可以保护无限数量的子域。您也可以[导出](export-private.md)由签名的 ACM 证书, AWS 私有 CA 以便在内部 PKI 中的任何地方使用。
**注意**
ACM 并不适合独立 Web 服务器使用。如果您想在 Amazon EC2 实例上设置独立的安全服务器,则以下教程包含相关说明:[在 Amazon Linux 2023 SSL/TLS 上进行配置](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2023.html)。
**Topics**
+ [支持的区域:](#acm-regions)
+ [的定价 AWS Certificate Manager](#acm-billing)
+ [AWS Certificate Manager 概念](acm-concepts.md)
+ [哪种 AWS 证书服务最适合我的需求?](service-options.md)
## 支持的区域:
ACM IPv6 在公共端点上支持 IPv4 和。访问 *AWS 一般参考* 中的 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#acm_region)或 [AWS 区域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)以查看 ACM 的区域可用性。
ACM 中的证书属于区域性资源。要将证书与 Elastic Load Balancing 一起用于多个 AWS 区域的相同完全限定域名 (FQDN) 或同一组域名,则必须为每个区域申请或导入证书。 FQDNs 对于 ACM 提供的证书,这意味着您必须重新验证每个区域的证书中的每个域名。您不能在各区域之间复制证书。
要在 Amazon 上使用 ACM 证书 CloudFront,您必须在美国东部(弗吉尼亚北部)地区申请或导入该证书。此区域中与分配关联的 ACM 证书将 CloudFront 分发到为该分配配置的所有地理位置。
## 的定价 AWS Certificate Manager
使用您管理的 SSL/TLS 证书无需支付额外费用 AWS Certificate Manager。您只需为为运行网站或应用程序而创建的 AWS 资源付费。有关最新的 ACM 定价信息,请参阅 AWS 网站上的[AWS Certificate Manager 服务定价](https://aws.amazon.com/certificate-manager/pricing/)页面。
# AWS Certificate Manager 概念
本节提供所用概念的定义 AWS Certificate Manager。
**Topics**
+ [ACM 证书](#concept-acm-cert)
+ [ACM Root CAs](#ACM-root-CAs)
+ [顶级域](#concept-apex)
+ [非对称密钥加密](#concept-asymmetric)
+ [证书颁发机构](#concept-ca)
+ [证书透明度日志](#concept-transparency)
+ [域名系统](#concept-dns)
+ [域名](#concept-dn)
+ [加密和解密](#concept-encrypt)
+ [完全限定域名 (FQDN)](#concept-fqdn)
+ [超文本传输协议 (HTTP)](#concept-http)
+ [公有密钥基础设施 (PKI)](#concept-pki)
+ [根证书](#concept-root)
+ [安全套接字层 (SSL)](#concept-ssl)
+ [安全 HTTPS](#concept-https)
+ [SSL 服务器证书](#concept-sslcert)
+ [对称密钥加密](#concept-symmetric)
+ [传输层安全性协议(TLS)](#concept-tls)
+ [信任](#concept-trust)
## ACM 证书
ACM 生成 X.509 版本 3 证书。每个有效期为 198 天,并包含以下延期。
+ **基本约束** - 指定主题的证书是否是证书颁发机构 (CA)
+ **授权密钥标识符 **- 支持识别与用于签署证书的私有密钥对应的公有密钥。
+ **主题密钥标识符** - 支持识别包含特定公有密钥的证书。
+ **密钥使用** - 定义在证书中嵌入的公有密钥的用途。
+ **扩展密钥使用** - 指定除**密钥使用**扩展指定的用途外可为其使用公有密钥的一个或多个用途。
**重要**
自 2025 年 6 月 11 日起, AWS Certificate Manager 不再颁发带有 “TLS Web 客户端身份验证” (ClientAuth) 扩展密钥用法 (EKU) 的证书,以符合浏览器对网站证书的新要求。
+ **CRL 分配点** - 指定可在其中获取 CRL 信息的位置。
ACM 颁发的证书的纯文本类似于以下示例:
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
Signature Algorithm: sha256WithRSAEncryption
Issuer: O=Example CA
Validity
Not Before: Jan 30 18:46:53 2018 GMT
Not After : Jan 31 19:46:53 2018 GMT
Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
08:73
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
X509v3 Subject Key Identifier:
97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://example.com/crl
Signature Algorithm: sha256WithRSAEncryption
69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
12:b9:35:d5
```
## ACM Root CAs
ACM 颁发的公共终端实体证书的信任来自以下 Amazon 根目录: CAs
****
| 可分辨名称 | 加密算法 |
| --- | --- |
| CN=Amazon Root CA 1,O=Amazon,C=US | 2048 位 RSA (RSA\$12048) |
| CN=Amazon Root CA 2,O=Amazon,C=US | 4096 位 RSA (RSA\$14096) |
| CN=Amazon Root CA 3,O=Amazon,C=US | Elliptic Prime Curve 256 位 (EC\$1prime256v1) |
| CN=Amazon Root CA 4,O=Amazon,C=US | Elliptic Prime Curve 384 位 (EC\$1secp384r1) |
ACM 所颁发证书的默认信任根为 CN=Amazon Root CA 1,O=Amazon,C=US,这提供了 2048 位的 RSA 安全性。其他根保留以供将来使用。所有根都由 Starfield Services Root Certificate Authority 证书交叉签名。
有关更多信息,请参阅 [Amazon Trust Services](https://www.amazontrust.com/repository/)。
## 顶级域
请参阅[域名](#concept-dn)。
## 非对称密钥加密
非对称加密不同于[对称密钥加密](#concept-symmetric),它使用不同的但在数学上相关的密钥加密和解密内容。密钥之一是公有密钥,通常以 X.509 v3 证书形式提供。另一个密钥是私有密钥,以安全方式存储。X.509 证书将用户、计算机或其他资源 (证书主题) 的身份绑定到公有密钥。
ACM 证书是 X.509 SSL/TLS 证书,用于将您的网站身份和组织详细信息绑定到证书中包含的公钥。ACM 使用您的 AWS KMS key 来加密私钥。有关更多信息,请参阅 [证书私有密钥的安全性](data-protection.md#kms)。
## 证书颁发机构
证书颁发机构 (CA) 是一个颁发数字证书的实体。商业上,最常见的数字证书类型基于 ISO X.509 标准。CA 颁发已签名的数字证书,用于确认证书使用者的身份并将该身份绑定到证书中包含的公有密钥。CA 通常还会管理证书吊销。
## 证书透明度日志
为了防范错误或由受损的 CA 颁发的 SSL/TLS 证书,某些浏览器要求将为您的域名颁发的公共证书记录在证书透明度日志中。域名将被记录。私有密钥不会被记录。未记录的证书通常会在浏览器中生成错误。
您可以监控日志,以确保只为您的域颁发您已授权的证书。您可以使用[证书搜索](https://crt.sh/)等服务来检查日志。
在 Amazon CA 为您的域名颁发公开信任的 SSL/TLS 证书之前,它会将该证书提交到至少三个证书透明日志服务器。这些服务器将证书添加到其公有数据库中,并将已签名的证书时间戳 (SCT) 返回到 Amazon CA。然后,CA 会将 SCT 嵌入到证书中,对证书进行签名,并将其颁发给您。这些时间戳包括在其他 X.509 扩展中。
```
X509v3 extensions:
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1(0)
Log ID : BB:D9:DF:...8E:1E:D1:85
Timestamp : Apr 24 23:43:15.598 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:...18:CB:79:2F
Signed Certificate Timestamp:
Version : v1(0)
Log ID : 87:75:BF:...A0:83:0F
Timestamp : Apr 24 23:43:15.565 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:...29:8F:6C
```
证书透明度日志记录是在您请求或续订证书时自动进行的,除非您选择退出。有关选择退出的更多信息,请参阅[选择退出证书透明度日志记录](acm-bestpractices.md#best-practices-transparency)。
## 域名系统
域名系统 (DNS) 是连接到 Internet 或私有网络的计算机及其他资源的分层分布式命名系统。DNS 主要用于将文本域名 (如 `aws.amazon.com`) 转换为数字 IP (Internet 协议) 地址 (形如 `111.122.133.144`)。不过,域的 DNS 数据库包含大量其他用途的记录。例如,通过 ACM,您可以使用别名记录在请求证书时验证自己拥有或可以控制某个域。有关更多信息,请参阅 [AWS Certificate Manager 域名系统验证DNS 验证](dns-validation.md)。
## 域名
域名是一个文本字符串 (例如 `www.example.com`),可通过域名系统 (DNS) 转换为 IP 地址。计算机网络 (包括互联网) 使用 IP 地址而不是文本名称。域名由以句点分隔的不同标签组成:
**TLD**
最右边的标签称作顶级域 (TLD)。常见示例有 `.com`、`.net`、`.edu`。在某些国家或地区注册的实体的 TLD 为国家或地区名称的缩写,这称作国家/地区代码。示例包括 `.uk` (英国)、`.ru` (俄国)、`.fr` (法国)。使用国家/地区代码时,通常引入 TLD 的二级层次结构来标识注册实体的类型。例如,`.co.uk` TLD 标识英国的商业企业。
**顶级域**
顶级域名包括顶级域并在其上扩展。对于包含国家/地区代码的域名,顶级域包含代码和标签 (如果有),用于标识注册实体的类型。顶级域不包含子域 (请参阅以下段落)。在 `www.example.com` 中,顶级域的名称为 `example.com`。在 `www.example.co.uk` 中,顶级域的名称为 `example.co.uk`。经常用来代替顶级 (apex) 的其他名称包括 base、bare、root、root apex、zone apex 等。
**子域**
子域名位于顶级域名之前,使用句点与顶级域名及其他域名分隔。最常见的子域名是 `www`,但允许使用任意名称。子域名也可以有多个级别。例如,在 `jake.dog.animals.example.com` 中,子域依次为 `jake`、`dog` 和 `animals`。
**超级域**
子域所属的域。
**FQDN**
完全限定域名 (FQDN) 是适用于已连接到网络或 Internet 的计算机、网站或其他资源的完整 DNS 名称。例如,`aws.amazon.com` 是适用于 Amazon Web Services 的 FQDN。FQDN 包括一直到顶级域的所有域。例如,`[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]` 代表了 FQDN 的一般格式。
**PQDN**
未完全限定的域名称作部分限定域名 (PQDN),含义不明确。像 `[subdomain1.subdomain2.]` 这样的名称就是 PQDN,这是因为无法确定根域。
## 加密和解密
加密是提供数据机密性的过程。解密将反转此过程并恢复原始数据。未加密的数据通常称为“明文”,无论它是否为文本。加密的数据通常称为“密文”。客户端与服务器之间的消息的 HTTPS 加密使用算法和密钥。算法定义了将纯文本数据转换为密文(加密)和将密文转换回原始纯文本(解密)的 step-by-step过程。在加密或解密过程中,算法将使用密钥。密钥可以是私有密钥或公有密钥。
## 完全限定域名 (FQDN)
请参阅[域名](#concept-dn)。
## 超文本传输协议 (HTTP)
超文本传输协议 (HTTP) 是万维网数据通信的基础。它是一种应用层协议,可以实现各种类型内容的交换。HTTP 在客户端-服务器模式下运行,其中 Web 浏览器通常充当从 Web 服务器请求资源的客户端。作为一种无状态协议,HTTP 会独立处理每个请求,而不保留先前请求中的信息。
在 ACM 环境中,在颁发 SSL/TLS 证书时可以使用 HTTP 进行域验证。此过程涉及 ACM 发送特定的 HTTP 请求以验证域所有权。服务器能够正确响应这些请求,这表明了对域的控制。
与电子邮件或 DNS 验证的证书不同,ACM 客户无法直接从 ACM 颁发 HTTP 验证的证书。取而代之的是,这些证书是在 CloudFront 配置过程中自动颁发和管理的。客户可以使用 ACM 来查看、监控和管理这些证书,但最初的颁发由 ACM 和之间的集成来处理。 CloudFront
虽然 HTTP 广泛使用,但需要注意的是,它以纯文本形式传输数据。为了实现安全通信,使用 HTTPS(HTTP 安全),它使用 SSL/TLS 协议对数据进行加密。有关安全通信的更多信息,请参阅 [安全 HTTPS](#concept-https)。
## 公有密钥基础设施 (PKI)
公有密钥基础设施 (PKI) 是一个由流程、技术和策略组成的系统,可实现通过公共网络进行安全通信。在 ACM 环境中,PKI 在数字证书的颁发、管理和验证中起着至关重要的作用。PKI 使用一对加密密钥:免费分发的公有密钥和由所有者保密的私有密钥。该系统允许对数字实体进行安全的数据传输、数字签名和身份验证。
ACM 实现了 PKI 的几个关键组件。它充当证书颁发机构 (CA),一个可信的第三方,负责颁发数字证书,将公有密钥绑定到域或组织等实体。ACM 颁发 X.509 证书,其中包含有关实体、其公有密钥和证书有效期的信息。它还处理证书的整个生命周期,包括颁发、续期和吊销。为了确保证书请求的合法性,ACM 支持多种验证域所有权的方法,例如 DNS 验证和 HTTP 验证。
通过利用 PKI,ACM 支持安全的 HTTPS 连接、数字签名以及 AWS 资源和应用程序的加密通信。该基础设施对于维护通过 Internet 传输的数据的机密性、完整性和真实性至关重要。有关 ACM 如何实现 PKI 的更多信息,请参阅 [AWS Certificate Manager 证书入门](gs.md)。
## 根证书
证书颁发机构 (CA) 通常存在于一个分层结构中,该分层结构包含多个其他机构,它们之间 CAs 有明确定义的父子关系。子女或下属 CAs 由其父母进行认证 CAs,从而创建证书链。位于层次结构顶部的 CA 称为“根 CA”,而其证书称为“根证书”。此证书通常是自签名的。
## 安全套接字层 (SSL)
安全套接字层 (SSL) 和传输层安全性 (TLS) 是通过计算机网络提供通信安全性的加密协议。TLS 是 SSL 的后继者。它们都使用 X.509 证书对服务器进行身份验证。这两个协议都对客户端与服务器之间用于加密这两个实体之间传输的数据的对称密钥进行协商。
## 安全 HTTPS
HTTPS 表示 HTTP over SSL/TLS,一个所有主要浏览器和服务器都支持的安全形式的 HTTP。所有 HTTP 请求和响应在跨网络发送之前都将进行加密。HTTPS 结合了 HTTP 协议与基于对称、非对称和 X.509 证书的加密技术。HTTPS 的工作方式是,将加密安全层插入开放系统互连 (OSI) 模型中的 HTTP 应用程序层下方和 TCP 传输层上方。安全层使用安全套接字层 (SSL) 协议或传输层安全性 (TLS) 协议。
## SSL 服务器证书
HTTPS 事务需要服务器证书来对服务器进行身份验证。服务器证书是 X.509 v3 数据结构,用于将证书中的公有密钥绑定到证书的使用者。 SSL/TLS 证书由证书颁发机构 (CA) 签名,包含服务器名称、有效期、公钥、签名算法等。
## 对称密钥加密
对称密钥加密使用同一密钥来加密和解密数字数据。另请参阅[非对称密钥加密](#concept-asymmetric)。
## 传输层安全性协议(TLS)
请参阅[安全套接字层 (SSL)](#concept-ssl)。
## 信任
要让 Web 浏览器信任网站的身份,该浏览器必须能够验证网站的证书。不过,浏览器仅信任称为“CA 根证书”的少量证书。称为证书颁发机构 (CA) 的可信第三方将验证该网站的身份并向网站运营商颁发签名的数字证书。随后,浏览器可以检查数字签名以验证网站的身份。如果验证成功,浏览器会在地址栏中显示一个锁定图标。
# 哪种 AWS 证书服务最适合我的需求?
AWS 为部署托管 X.509 证书的客户提供了两个选项。选择最能满足您需求的服务。
1. **AWS Certificate Manager (ACM)**-此服务适用于需要使用 TLS 实现安全网站的企业客户。ACM 证书通过 Elastic Load Balancing、Amazon CloudFront、Amazon API Gateway 和其他[集成 AWS 服务](acm-services.md)部署。此类最常见的应用是一个需要大量流量的安全公共网站。ACM 还通过自动续订过期证书简化了安全管理。*此服务正好适用于您。*
1. **AWS 私有 CA** - 此服务适用于在 AWS 云中构建公有密钥基础设施 (PKI) 的企业客户,并且供组织内部私人使用。使用 AWS 私有 CA,您可以创建自己的证书颁发机构 (CA) 层次结构,并使用它颁发证书,用于对用户、计算机、应用程序、服务、服务器和其他设备进行身份验证。无法在 Internet 上使用私有 CA 所颁发的证书。有关更多信息,请参阅 [AWS 私有 CA 《用户指南》](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)。