本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 重新导入证书
如果您导入了证书并将其与其他 AWS 服务关联,则可以在证书到期之前重新导入该证书,同时保留原始证书的 AWS 服务关联。有关与 ACM 集成的 AWS 服务的更多信息,请参阅[与 ACM 集成的服务](acm-services.md)。
重新导入证书时,适用以下条件:
+ 您可以添加或删除域名。
+ 您不能删除证书中的所有域名。
+ 如果原始导入的证书中存在 **Key Usage**(密钥用法)扩展,您可以添加新的扩展值,但不能删除现有的扩展值。
+ 如果原始导入的证书中存在 **Extended Key Usage**(扩展密钥用法)扩展,您可以添加新的扩展值,但不能删除现有的扩展值。
**例外:**您可以移除客户端身份验证扩展密钥用法。这可以适应行业的变化,即证书颁发机构不再为符合 Chrome 根程序要求而向 ClientAuth EKU 颁发证书。
**重要**
如果您需要客户端身份验证功能,则必须自行实施其他验证,因为 ACM 不支持回滚到先前导入的证书。
+ 密钥类型和大小不能更改。
+ 您不能在重新导入证书时应用资源标签。
**Topics**
+ [重新导入(控制台)](#reimport-certificate-api)
+ [重新导入 (AWS CLI)](#reimport-certificate-cli)
## 重新导入(控制台)
以下示例说明如何使用 AWS 管理控制台重新导入证书。
1. 在[https://console.aws.amazon.com/acm/家](https://console.aws.amazon.com/acm/home)中打开 ACM 控制台。
1. 选择或展开要重新导入的证书。
1. 打开证书的详细信息窗格并选择 **Reimport certificate** 按钮。如果您已通过选中证书名旁边的框来选择证书,请选择 **Actions** 菜单上的 **Reimport certificate**。
1. 对于 **Certificate body**,粘贴 PEM 编码的最终实体证书。
1. 对于 **Certificate private key**,粘贴与证书公有密钥关联的 PEM 编码的未加密私有密钥。
1. (可选) 对于 **Certificate chain (证书链)**,粘贴 PEM 编码的证书链。证书链包含所有中间发行证书机构的一个或多个证书以及根证书。如果要导入的证书是自行分配的,则不需要证书链。
1. 查看有关您的证书的信息。如果没有错误,请选择 **Reimport**。
## 重新导入 (AWS CLI)
以下示例说明如何使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 重新导入证书。示例假定以下各项:
+ PEM 编码的证书存储在名为 `Certificate.pem` 的文件中。
+ PEM 编码的证书链存储在名为 `CertificateChain.pem` 的文件中。
+ (仅限私有证书)PEM 编码的未加密私有密钥存储在名为 `PrivateKey.pem` 的文件中。
+ 您具有要重新导入的证书的 ARN。
要使用以下示例,请将文件名和 ARN 替换为您自己的文件名和 ARN,并在一个连续行中键入相应命令。为更便于阅读,以下示例包含了换行符和多余的空格。
**注意**
要重新导入证书,您必须指定证书 ARN。
```
$ aws acm import-certificate --certificate fileb://Certificate.pem \
--certificate-chain fileb://CertificateChain.pem \
--private-key fileb://PrivateKey.pem \
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
```
如果 `import-certificate` 命令成功完成,则将返回证书的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。