本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置为使用 AWS Certificate Manager
<a name="setup"></a>

使用 AWS Certificate Manager (ACM)，您可以为 AWS 基于您的网站和应用程序配置和管理 SSL/TLS 证书。您可以使用 ACM 创建或导入证书，然后加以管理。您必须使用其他 AWS 服务将证书部署到您的网站或应用程序。有关与 ACM 集成的服务的更多信息，请参阅 [与 ACM 集成的服务](acm-services.md)。以下章节介绍在使用 ACM 之前需要执行的步骤。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
+ [注册 ACM 的域名](#setup-domain)
+ [（可选）配置 CAA 记录](#setup-caa)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**要注册 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看当前账户活动并管理您的账户**。

## 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 注册 ACM 的域名
<a name="setup-domain"></a>

完全限定域名 (FQDN) 是 Internet 上的组织或个人的唯一名称并在后面跟有一个顶级域扩展名，例如 `.com ` 或 `.org`。如果您还没有注册域名，则可以通过 Amazon Route 53 或许多其他商业注册商注册一个域名。通常，您可以转到注册商的网站，请求一个域名。域名注册通常会有一个规定的有效期（例如一年或两年），然后必须进行续订。

有关使用 Amazon Route 53 注册域名的更多信息，请参阅 *Amazon Route 53 开发人员指南*中的[使用 Amazon Route 53 注册域名](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。

## （可选）配置 CAA 记录
<a name="setup-caa"></a>

CAA 记录指定允许哪些证书颁发机构 (CAs) 为域或子域名颁发证书。创建与 ACM 一起使用的 CAA 记录有助于防止在为您的域名颁发证书时出现错误 CAs 。CAA 记录不能替代由您的证书颁发机构指定的安全要求，例如验证您是域所有者的要求。

ACM 在证书请求过程中验证域之后，将会检查是否存在 CAA 记录以确保 ACM 能够为您颁发证书。配置 CAA 记录是可选的。

配置 CAA 记录时，请使用以下值：

**flags**  
指定 ACM 是否支持 **tag** 字段的值。将此值设置为 **0**。

**标签**  
**tag** 字段可以为以下值之一。请注意，**iodef** 字段目前已被忽略。    
**issue**  
指示您在 **value** 字段中指定的 ACM CA 已被授权为您的域或子域颁发证书。  
**issuewild**  
指示您在 **value** 字段中指定的 ACM CA 已被授权为您的域或子域颁发通配符证书。通配符证书适用于该域或子域及其所有子域。请注意，如果您计划使用 HTTP 验证，则此设置将不适用，因为 HTTP 验证不支持通配符证书。对于通配符证书，请改用 DNS 或电子邮件验证。

**值**  
此字段的值取决于 **tag** 字段的值。您必须用引号 ("") 将此值括起来。    
当 **tag** 为 **issue** 时  
**value** 字段包含 CA 域名称。此字段可能包含 Amazon CA 以外的 CA 的名称。但是，如果您没有指定以下四个 Amazon 之一的 CAA 记录 CAs，则 ACM 无法向您的域名或子域名颁发证书：  
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
**value** 字段也可以包含分号 (;)，指示不应允许任何 CA 为您的域或子域颁发证书。如果您在某个时候决定您不再需要为某个特定的域颁发的证书，请使用此字段。  
当 **tag** 是 **issuewild** 时  
**value** 字段与 **tag** 为 **issue** 时的相同，只是它适用于通配符证书。  
当存在不包含 ACM CA 值的 **issuewild** CAA 记录时，ACM 不能颁发任何通配符证书。如果没有 **issuewild**，但对于 ACM 有一个 **issue** CAA 记录，则 ACM 可以颁发通配符证书。

**Example CAA 记录示例**  
在以下示例中，首先是您的域名，然后是记录类型 (CAA)。**flags** 字段始终为 0。**tags** 字段可以是 **issue** 或 **issuewild**。如果字段为 **issue** 且您在 **value** 字段中键入 CA 服务器的域名称，则 CAA 记录指示您指定的服务器已被允许颁发您请求的证书。如果您在 **value** 字段中键入分号“;”，则 CAA 记录指示不允许任何 CA 颁发证书。CAA 记录的配置因 DNS 提供商而异。  
如果您计划将 HTTP 验证与一起使用 CloudFront，则无需配置 **issuewild** 记录，因为 HTTP 验证不支持通配符证书。对于通配符证书，请改用 DNS 或电子邮件验证。

```
Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"
```

有关如何添加或修改 DNS 记录的更多信息，请与您的 DNS 提供商核实。Route 53 支持 CAA 记录。如果 Route 53 是您的 DNS 提供商，请参阅 [CAA 格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#CAAFormat)以了解有关创建记录的更多信息。