View a markdown version of this page

在中申请私有证书 AWS Certificate Manager - AWS Certificate Manager
请求私有证书(控制台)请求私有证书(CLI)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中申请私有证书 AWS Certificate Manager

请求私有证书(控制台)

  1. 登录 AWS 管理控制台并在https://console.aws.amazon.com/acm/家中打开 ACM 控制台。

    选择请求证书

  2. Request certificate(请求证书)页面上,选择 Request a private certificate(请求私有证书)和 Next(下一步)以继续。

  3. 证书颁发机构详细信息部分,选择证书颁发机构菜单,然后选择一个可用的私有证书 CAs。如果 CA 是从另一个账户共享的,则 ARN 的前面包含所有权信息。

    此时将显示有关 CA 的详细信息,以帮助您验证选择了正确的 CA:

    • 所有者

    • Type

    • 公用名(CN)

    • 组织 (O)

    • 组织部门(OU)

    • 国家/地区名称 (C)

    • 州或省

    • 所在地名称

  4. Domain names(域名)部分,键入您的域名。您可以使用完全限定域名 (FQDN)(例如 www.example.com),或者裸域名或顶点域名(例如 example.com)。您还可以在最左侧位置使用星号 (*) 作为通配符来保护同一域中的多个站点名称。例如,*.example.com 可以保护 corp.example.comimages.example.com。通配符名称将显示在 ACM 证书的 Subject(主题)字段和 Subject Alternative Name(主题替代名称)扩展中。

    注意

    请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 可以保护 login.example.comtest.example.com,但不能保护 test.login.example.com。另请注意,*.example.com 保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。要同时保护二者,请参阅下一个步骤

    或者,选择 Add another name to this certificate(向此证书添加另一个名称),然后在文本框中键入名称。这对于同时验证裸域或顶点域(例如 example.com)及其子域(例如 *.example.com)非常有用。

  5. 密钥算法部分中,选择一种算法。

    有关帮助您选择算法的信息,请参阅中的 AWS 博客文章《如何评估和使用 ECDSA 证书》。 AWS Certificate Manager

  6. Tags(标签)部分中,您可以选择为证书添加标签。标签是键值对,用作识别和组织 AWS 资源的元数据。有关 ACM 标签参数的列表以及有关如何在创建证书后向证书添加标签的说明,请参阅 Tag AWS Certificate Manager 资源

  7. Certificate renewal permissions(证书续订权限)部分,确认有关证书续订权限的通知。这些权限允许自动续订使用所选 CA 签署的私有 PKI 证书。有关更多信息,请参阅将服务相关角色用于 ACM

  8. 提供所有必需信息后,选择 Request(请求)。控制台将返回证书列表,您可以在其中查看新证书。

    注意

    根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。

请求私有证书(CLI)

使用 request-certificate 命令在 ACM 中请求私有证书。

注意

当您请求由 CA 签名的私有 PKI 证书时 AWS 私有 CA,指定的签名算法系列(RSA 或 ECDSA)必须与 CA 密钥的算法系列相匹配。

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

此命令输出新私有证书的 Amazon Resource Name (ARN)。

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

在大多数情况下,ACM 会在您首次使用共享 CA 时自动将服务关联角色 (SLR) 附加到您的账户。SLR 允许自动续订您颁发的终端实体证书。要检查 SLR 是否存在,可使用以下命令查询 IAM:

aws iam get-role --role-name AWSServiceRoleForCertificateManager

如果存在 SLR,命令输出应类似如下所示:

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

如果缺少 SLR,请参阅将服务关联角色用于 ACM