在 中請求公有憑證 AWS Certificate Manager

請求 ACM 公有憑證 (主控台)

1. 登入 AWS 管理主控台，並在 https：//https://console.aws.amazon.com/acm/home 開啟 ACM 主控台。

   選擇 Request a certificate (請求憑證)。

2. 在 Domain names（網域名稱）部分，輸入您的網域名稱。

   您可以使用完整網域名稱 (FQDN)，例如 www.example.com 或 bare 或 apex 網域名稱，例如 example.com。您也可以在最左方使用星號 (*) 做為萬用字元，以保護相同網域中的多個網站名稱。例如，*.example.com 可保護 corp.example.com 和 images.example.com。萬用字元名稱會出現在主旨欄位中，以及 ACM 憑證的主旨別名延伸中。

   請求萬用字元憑證時，星號 (*) 必須在網域名稱的最左方，而且僅能保護一個子網域等級。例如，*.example.com 可以保護 login.example.com 和 test.example.com，但不能保護 test.login.example.com。另請注意，*.example.com 只可以保護 example.com 的子網域，無法保護 bare 或 apex 網域 (example.com)。若要保護兩者，請參閱下一個步驟。

   注意

   為遵循 RFC 5280，您在此步驟中輸入的網域名稱 (技術上來說為「通用名稱」) 長不得超過 64 個八位元組 (字元)，包括句點在內。但您之後提供的每個主體別名 (SAN) 長度最高可達 253 個八位元，如同下個步驟所示。

   1. 若要新增其他名稱，請選擇 Add another name to this certificate (將其他名稱新增至此憑證)，然後在文字方塊中輸入名稱。若要同時保護 bare 或 apex 網域 (例如 example.com) 及其子網域 (例如 *.example.com)，此功能非常實用。

3. 如果您想要建立 ACM 匯出公有憑證，請選取啟用匯出選項。您將能夠存取憑證的私有金鑰，並在外部使用 AWS 雲端。如需詳細資訊，請參閱AWS Certificate Manager 可匯出的公有憑證。

4. 根據您的需求，在 Validation method (驗證方法) 區段，選擇 DNS validation – recommended (DNS 驗證 – 建議) 或 Email validation (電子郵件驗證)。

   注意

   如果您能編輯 DNS 組態，我們建議您使用 DNS 網域驗證，而不使用電子郵件驗證。與電子郵件驗證相比，DNS 驗證有多個優點。請參閱 AWS Certificate Manager DNS 驗證。

   ACM 發行憑證前，會先驗證您是否擁有或控制憑證請求中的網域名稱。您可以使用電子郵件驗證或 DNS 驗證。

   1. 如果您選擇電子郵件驗證，ACM 會將驗證電子郵件傳送至您在網域名稱欄位中指定的網域。如果您指定驗證網域，ACM 會改為將電子郵件傳送至該驗證網域。如需電子郵件驗證的詳細資訊，請參閱「AWS Certificate Manager 電子郵件驗證」。

   2. 如果您使用 DNS 驗證，則只需將 ACM 提供的 CNAME 記錄新增至您的 DNS 組態。如需 DNS 驗證的詳細資訊，請參閱 AWS Certificate Manager DNS 驗證。

5. 在金鑰演算法區段中，選擇演算法。

6. 在 Tags（標籤）頁面上，您可以選擇標記您的憑證。標籤是鍵值組，可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明，請參閱「標籤 AWS Certificate Manager 資源」。

   完成新增標籤後，請選擇 Request（請求）。

7. 處理要求之後，主控台會將您返回憑證清單，其中會顯示新憑證相關的資訊。

   憑證被請求後會進入待驗證狀態，除非憑證請求因為出現「憑證請求失敗」故障排除主題中列出的情況而失敗。ACM 會重複嘗試驗憑證 72 小時，然後逾時。如果憑證顯示失敗或者驗證逾時狀態，請刪除請求，修正 DNS 驗證或者電子郵件驗證問題，然後重試。如果驗證成功，憑證會進入已發行狀態。

   注意

   視您排序清單的方式而定，您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。