本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 SSL/TLS 憑證 SSL/TLS 憑證是一種數位文件,可讓 Web 瀏覽器使用安全 SSL/TLS 通訊協定來識別和建立與網站的加密網路連線。設定自訂網域時,您可以使用 Amplify 為您佈建的預設受管憑證,也可以使用自己的自訂憑證。 使用受管憑證,Amplify 會為連接到應用程式的所有網域發出 SSL/TLS 憑證,以便透過 HTTPS/2 保護所有流量。 AWS Certificate Manager (ACM) 產生的預設憑證有效期為 13 個月,只要您的應用程式使用 Amplify 託管,則會自動續約。 **警告** 如果在網域提供者的 DNS 設定中修改或刪除 CNAME 驗證記錄,Amplify 無法續約憑證。您必須在 Amplify 主控台中刪除並再次新增網域。 若要使用自訂憑證,您必須先從您選擇的第三方憑證授權單位取得憑證。Amplify 託管支援兩種類型的憑證:RSA (Rivest-Shamir-Adleman) 和 ECDSA (Elliptic Curve 數位簽章演算法)。每個憑證類型都必須符合下列要求。 **RSA 憑證** + Amplify 託管支援 1024 位元、2048 位元、3072 位元和 4096 位元 RSA 金鑰。 + AWS Certificate Manager (ACM) 發行最多 2048 位元金鑰的 RSA 憑證。 + 若要使用 3072 位元或 4096 位元 RSA 憑證,請在外部取得憑證並將其匯入 ACM。然後,它將可用於 Amplify 託管。 **ECDSA 憑證** + Amplify 託管支援 256 位元金鑰。 + 使用 prime256v1 橢圓曲線來取得 Amplify 託管的 ECDSA 憑證。 取得憑證後,將其匯入 AWS Certificate Manager。ACM 是一項服務,可讓您輕鬆佈建、管理和部署公有和私有 SSL/TLS 憑證,以搭配 AWS 服務 和您的內部連線資源使用。請務必在美國東部 (維吉尼亞北部) (us-east-1) 區域中請求或匯入憑證。 請確定您的自訂憑證涵蓋您計劃新增的所有子網域。您可以在網域名稱開頭使用萬用字元來涵蓋多個子網域。例如,如果您的網域是 `example.com`,您可以包含萬用字元網域 `*.example.com`。這將涵蓋子網域,例如 `product.example.com`和 `api.example.com`。 在 ACM 中提供自訂憑證之後,您就可以在網域設定程序期間選取它。如需將憑證匯入 的指示 AWS Certificate Manager,請參閱*AWS Certificate Manager 《 使用者指南*》中的[將憑證匯入 AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。 如果您在 ACM 中續約或重新匯入自訂憑證,Amplify 會重新整理與自訂網域相關聯的憑證資料。如果是匯入的憑證,ACM 不會自動管理續約。您有責任續約自訂憑證,並重新匯入。 您可以隨時變更網域正在使用的憑證。例如,您可以從預設受管憑證切換至自訂憑證,或從自訂憑證變更為受管憑證。此外,您可以將正在使用的自訂憑證變更為不同的自訂憑證。如需更新憑證的指示,請參閱[更新網域的 SSL/TLS 憑證](to-update-certificate.md)。