คำถามที่พบบ่อยเกี่ยวกับ AWS Certificate Manager

AWS Certificate Manager (ACM) เป็นบริการที่ช่วยให้คุณสามารถจัดหา จัดการ และปรับใช้ Secure Sockets Layer/Transport Layer Security (SSL/TLS) Public Certificate และ Private Certificate ได้อย่างง่ายดาย SSL/TLS Certificate จะใช้ในการรักษาความปลอดภัยการสื่อสารผ่านเครือข่ายและสร้างตัวตนของเว็บไซต์ผ่านทางอินเทอร์เน็ตซึ่งรวมถึงแหล่งข้อมูลบนเครือข่ายส่วนตัวด้วย ACM จะช่วยขจัดกระบวนการที่ต้องทำด้วยตนเองซึ่งใช้เวลานาน เช่น การซื้อ การอัปโหลด และการต่ออายุใบรับรอง SSL/TLS AWS Certificate Manager ช่วยให้คุณสามารถขอ Certificate ได้อย่างรวดเร็ว ปรับใช้ Certificate นั้นกับทรัพยากร AWS เช่น Elastic Load Balancer, การกระจายของ Amazon CloudFront และ API บนเกตเวย์ของ API รวมทั้งช่วยให้ ACM สามารถจัดการต่ออายุ Certificate ได้ นอกจากนี้คุณยังสามารถใช้ Certificate เหล่านี้เพื่อยุติการรับส่งข้อมูลอย่างปลอดภัยในเวิร์กโหลดประมวลผลใด ๆ ที่ต้องใช้ Public Certificate รวมถึง Certificate ที่ทำงานบนอินสแตนซ์ EC2, คอนเทนเนอร์ และ/หรือโฮสต์ในองค์กร นอกจากนี้ยังช่วยให้คุณสามารถสร้าง Private Certificate สำหรับทรัพยากรภายใน และจัดการวงจรชีวิตของ Certificate จากส่วนกลางได้ SSL/TLS Public Certificate และ Private Certificate ที่จัดเตรียมผ่าน ACM และนำไปใช้เฉพาะสำหรับบริการที่ผสานกับ ACM เช่น Elastic Load Balancing, Amazon CloudFront และเกตเวย์ของ Amazon API ไม่มีเสียค่าใช้จ่าย หากคุณเลือกที่จะออก Public Certificate ที่สามารถส่งออกได้ คุณจะต้องจ่ายเงินสำหรับการออก Certificate การต่ออายุ Certificate และการใช้งาน API ที่เกี่ยวข้อง คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ คุณจ่ายค่าบริการรายเดือนสำหรับการดำเนินงานของ CA ส่วนตัวแต่ละรายการไปจนกระทั่งคุณลบรายการนั้นออก และต้องจ่ายค่า Private Certificate ที่คุณออกแต่ไม่ได้นำไปใช้เฉพาะสำหรับบริการที่ผสานรวมกับ ACM

SSL/TLS certificate ช่วยให้เว็บเบราว์เซอร์สามารถระบุและสร้างการเชื่อมต่อเครือข่ายที่มีการเข้ารหัสไปยังเว็บไซต์ที่ใช้โปรโตคอล Secure Sockets Layer/Transport Layer Security (SSL/TLS) ได้ ใบรับรองจะถูกนำไปใช้ในระบบการเข้ารหัสลับที่เรียกว่าโครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) PKI เป็นวิธีหนึ่งที่ช่วยให้ฝ่ายหนึ่งสามารถสร้างข้อมูลประจำตัวของอีกฝ่ายหนึ่งได้โดยใช้ใบรับรอง หากทั้งสองฝ่ายต่างเชื่อถือบริษัทอื่นที่เรียกว่าผู้ออกใบรับรอง คุณสามารถดูหัวข้อแนวคิดในคู่มือผู้ใช้ ACM เพื่อดูข้อมูลและคำจำกัดความเพิ่มเติมได้

Private Certificate จะระบุทรัพยากรภายในองค์กร เช่น แอปพลิเคชัน บริการ อุปกรณ์ และผู้ใช้ ในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ให้ปลอดภัย จะมีการนำใบรับรองและเทคนิคการเข้ารหัสลับมาใช้ที่ตำแหน่งข้อมูลแต่ละจุดเพื่อพิสูจน์ข้อมูลประจำตัวให้กับตำแหน่งข้อมูลอีกจุดหนึ่ง ตำแหน่งข้อมูล API ภายใน, เว็บเซิร์ฟเวอร์, ผู้ใช้ VPN, อุปกรณ์ IoT และแอปพลิเคชันอื่น ๆ อีกมากมายจะใช้ Private Certificate ในการสร้างช่องทางการสื่อสารที่เข้ารหัสไว้ซึ่งจำเป็นต่อการดำเนินการที่ปลอดภัยของตน

ทั้ง Public Certificate และ Private Certificate ต่างช่วยให้ลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้เหมือนกัน ใบรับรองสาธารณะจะระบุทรัพยากรบนอินเทอร์เน็ตสาธารณะในขณะที่ใบรับรองส่วนตัวก็ทำสิ่งเดียวกันบนเครือข่ายส่วนตัว ความแตกต่างที่สำคัญข้อหนึ่งคือแอปพลิเคชันและเบราว์เซอร์จะเชื่อถือใบรับรองสาธารณะโดยอัตโนมัติตามค่าเริ่มต้น ในขณะที่สำหรับใบรับรองส่วนตัว ผู้ดูแลระบบต้องกำหนดค่าแอปพลิเคชันโดยชัดแจ้งว่าให้เชื่อถือ CA สาธารณะเป็นหน่วยงานออกใบรับรองสาธารณะ ต้องทำตามกฎอย่างเคร่งครัด มีการแสดงผลการดำเนินงาน และเป็นไปตามมาตรฐานการรักษาความปลอดภัยที่ผู้จัดจำหน่ายเบราว์เซอร์และระบบปฏิบัติการซึ่งเป็นผู้ที่ตัดสินใจว่าจะให้เบราว์เซอร์และระบบปฏิบัติการของตนเชื่อถือ CA ใดโดยอัตโนมัติได้กำหนดไว้ Private CA ได้รับการจัดการโดยองค์กรภาคเอกชน ดังนั้น ผู้ดูแลระบบของPrivate CA จะสามารถสร้างกฎสำหรับการออก Private Certificate รวมถึงแนวทางปฏิบัติสำหรับการออก Certificate และข้อมูลที่จะระบุลงในใบรับรองนั้นเองได้ 

เมื่อคุณขอ Public Certificate ผ่าน ACM คุณสามารถกำหนด Certificate ที่จะส่งออกได้ เมื่อออก Certificate แล้ว คุณสามารถเลือกและส่งออก Certificate ผ่านคอนโซลการจัดการของ AWS ได้ คุณจะได้รับข้อความรหัสผ่านที่ ACM จะใช้ในการเข้ารหัส Private Key จากนั้นคุณสามารถดาวน์โหลดและบันทึก Certificate, Private Key และ Certificate Chain และปรับใช้ Certificate โดยทำตามคำแนะนำเฉพาะสำหรับแอปพลิเคชัน TLS ของคุณ คุณสามารถทำตามขั้นตอนเหล่านี้โดยการเขียนโค้ดหรือสคริปต์ที่ใช้ AWS SDK หรืออินเทอร์เฟซบรรทัดคำสั่ง (CLI)

ACM ช่วยให้เปิดใช้งาน SSL/TLS สำหรับเว็บไซต์หรือแอปพลิเคชันบน AWS สภาพแวดล้อมไฮบริด และมัลติคลาวด์ได้ง่ายขึ้น ACM ช่วยขจัดกระบวนการต่าง ๆ ที่ก่อนหน้านี้ต้องทำด้วยตนเองเกี่ยวกับการใช้และการจัดการ SSL/TLS Certificate นอกจากนี้ ACM ยังจัดการต่ออายุ ซึ่งช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองมีการกำหนดค่าผิด ถูกเพิกถอน หรือหมดอายุลงได้ คุณได้รับการป้องกัน SSL/TLS และการจัดการใบรับรองที่ง่ายดาย การเปิดใช้งาน SSL/TLS สำหรับเว็บไซต์แบบเข้าถึงผ่านอินเทอร์เน็ตจะช่วยปรับปรุงอันดับการค้นหาเว็บไซต์ให้ดีขึ้นและช่วยให้คุณปฏิบัติตามข้อกำหนดสำหรับการเข้ารหัสข้อมูลระหว่างจัดส่ง

เมื่อคุณใช้ ACM เพื่อจัดการใบรับรอง ระบบจะปกป้องและจัดเก็บคีย์ส่วนตัวของใบรับรองให้ปลอดภัยโดยใช้แนวปฏิบัติที่ดีที่สุดในการเข้ารหัสที่แน่นหนาและการจัดการคีย์ ACM ช่วยให้คุณสามารถใช้คอนโซลการจัดการของ AWS, AWS CLI หรือ ACM API เพื่อจัดการใบรับรอง SSL/TLS ACM ทั้งหมดใน AWS Region จากส่วนกลาง ACM มีการผสานเข้ากับบริการอื่น ๆ ของ AWS ดังนั้นคุณสามารถขอ SSL/TLS Certificate และจัดเตรียม Certificate นั้นด้วย Load Balancer ของ Elastic Load Balancing หรือการกระจายของ Amazon CloudFront จากคอนโซลการจัดการของ AWS ผ่านคำสั่ง AWS CLI หรือด้วยการเรียกใช้ API

ACM ช่วยให้คุณสามารถจัดการวงจรชีวิตของ Public Certificate และ Private Certificate ได้ ความสามารถของ ACM ขึ้นอยู่กับใบรับรองว่าเป็นแบบสาธารณะหรือแบบส่วนตัว วิธีการได้รับใบรับรอง และที่ที่ปรับใช้ใบรับรองนั้น

ใบรับรองสาธารณะ - คุณสามารถขอใบรับรองสาธารณะที่ออกโดย Amazon ไดใน ACM ACM จัดการต่ออายุและปรับใช้ Public Certificate ที่ใช้ที่ผสานกับบริการ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และเกตเวย์ของ Amazon API

Public Certificate ที่ส่งออกได้ - ACM จัดการการต่ออายุ Public Certificate ที่ส่งออก ซึ่งคุณอาจปรับใช้กับบริการ AWS และ/หรือในสภาพแวดล้อมในองค์กรของคุณ

Private Certificate - คุณสามารถเลือกมอบหมายการจัดการ Private Certificate ไปยัง ACM ได้ เมื่อใช้วิธีนี้ ACM จะสามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่ใช้กับบริการที่ผสานรวมกับ ACM รวมถึง Amazon CloudFront, Elastic Load Balancing และเกตเวย์ของ Amazon API คุณสามารถปรับใช้ใบรับรองส่วนตัวเหล่านี้ได้อย่างง่ายดายโดยใช้คอนโซลการจัดการของ AWS, API และอินเทอร์เฟซบรรทัดคำสั่ง (CLI) คุณสามารถส่งออกใบรับรองส่วนตัวได้จาก ACM และใช้ใบรับรองดังกล่าวกับอินสแตนซ์ EC2, คอนเทนเนอร์, เซิร์ฟเวอร์ในองค์กร และอุปกรณ์ IoT AWS Private CA จะต่ออายุใบรับรองเหล่านี้และส่งการแจ้งเตือนของ Amazon CloudWatch โดยอัตโนมัติเมื่อต่ออายุเสร็จแล้ว คุณสามารถเขียนโค้ดฝั่งไคลเอ็นต์เพื่อดาวน์โหลดใบรับรองที่ต่ออายุแล้วและคีย์ส่วนตัวได้ จากนั้นปรับใช้กับแอปพลิเคชันของคุณ

ใบรับรองที่นำเข้า – หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือเกตเวย์ของ Amazon API คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้คอนโซลการจัดการของ AWS, AWS CLI หรือ ACM API ACM ไม่สามารถต่ออายุใบรับรองที่นำเข้าได้ แต่สามารถช่วยจัดการกระบวนการต่ออายุได้ คุณต้องตรวจสอบวันหมดอายุของใบรับรองที่นำเข้าและต่ออายุก่อนที่ใบรับรองนั้นจะหมดอายุลง คุณสามารถใช้ตัววัด ACM CloudWatch ตรวจสอบวันหมดอายุของ Certificate ที่นำเข้า แล้วนำเข้า Certificate ใบใหม่จากบริษัทอื่นเพื่อแทนใบที่หมดอายุ

หากต้องการเริ่มต้นใช้งาน ACM ให้ไปที่ Certificate Manager ในคอนโซลการจัดการของ AWS แล้วใช้ตัวช่วยเพื่อขอ SSL/TLS Certificate หากคุณสร้าง Private CA แล้ว คุณสามารถเลือกได้ว่าต้องการใบรับรองสาธารณะหรือใบรับรองส่วนตัว จากนั้นระบุชื่อของเว็บไซต์ นอกจากนี้คุณยังสามารถขอใบรับรองโดยใช้ AWS CLI หรือ API หลังจากออกใบรับรองแล้ว คุณสามารถใช้ใบรับรองนั้นกับบริการอื่นๆ ของ AWS ซึ่งมีการผสานรวมกับ ACM สำหรับแต่ละบริการที่มีการผสานรวมเข้าด้วยกัน คุณเพียงเลือกใบรับรอง SSL/TLS ที่ต้องการจากรายการดรอปดาวน์ใน AWS Management Console หรืออีกทางเลือกหนึ่ง คุณสามารถดำเนินการกับคำสั่ง AWS CLI หรือเรียกใช้ AWS API เพื่อเชื่อมโยงใบรับรองกับทรัพยากรของคุณได้ จากนั้นบริการที่ผสานเข้าด้วยกันจะปรับใช้ใบรับรองกับทรัพยากรที่คุณเลือกไว้  ดูข้อมูลเพิ่มเติมเกี่ยวกับการขอและการใช้ Certificate ที่ให้โดย ACM ได้ในคู่มือผู้ใช้ ACM นอกเหนือจากการใช้ Private Certificate กับบริการที่ผสานกับ ACM คุณยังสามารถส่งออกใบรับรองส่วนตัวเพื่อใช้ในอินสแตนซ์ EC2, คอนเทนเนอร์ ECS หรือที่ใดก็ได้

• Elastic Load Balancing - โปรดดูที่เอกสารประกอบ Elastic Load Balancing
• Amazon CloudFront – โปรดดูที่เอกสารประกอบ CloudFront
• เกตเวย์ของ Amazon API - โปรดดูที่เอกสารประกอบเกตเวย์ API
• AWS CloudFormation – ปัจจุบันรองรับเฉพาะใบรับรองสาธารณะและส่วนตัวที่ออกโดย ACM โปรดดูที่เอกสารประกอบ AWS CloudFormation
• AWS Elastic Beanstalk -โปรดดูที่เอกสารประกอบ AWS Elastic Beanstalk
• AWS Nitro Enclaves - โปรดดูที่เอกสารประกอบ AWS Nitro Enclaves
•ไฟร์วอลล์เครือข่าย AWS - โปรดดูที่เอกสารประกอบ AWS Network Firewall
• Amazon OpenSearch Service - โปรดดูที่เอกสารประกอบ Amazon OpenSearch Service

โปรดไปที่หน้าโครงสร้างพื้นฐานส่วนกลางของ AWS เพื่อดูการให้บริการใน Region ปัจจุบันสำหรับบริการของ AWS หากต้องการใช้ใบรับรองจาก ACM กับ Amazon CloudFront คุณต้องขอหรือนำเข้าใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM Certificates ใน Region นี้ที่เชื่อมโยงกับ Distribution ของ CloudFront จะถูกกระจายออกไปยังตำแหน่งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับ Distribution นั้น

ACM จัดการ Public Certificate, Private Certificate, และ Certificate ที่นำเข้า เรียนรู้เพิ่มเติมเกี่ยวกับความสามารถของ ACM ในเอกสารประกอบเกี่ยวกับการออกและการจัดการ Certificate

ได้ ใบรับรองแต่ละใบต้องระบุชื่อโดเมนอย่างน้อยหนึ่งชื่อ และหากต้องการ คุณก็สามารถใส่ชื่อเพิ่มเติมลงในใบรับรองได้อีก ตัวอย่างเช่น คุณสามารถใส่ชื่อ “www.example.net” ลงในใบรับรองสำหรับ “www.example.com” หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่อใดชื่อหนึ่ง คุณต้องเป็นเจ้าของหรือควบคุมทุกชื่อที่ระบุไว้ในคำขอ Certificate 

ชื่อโดเมน Wildcard จะจับคู่กับโดเมนย่อยระดับแรกหรือชื่อโฮสต์ในโดเมน โดเมนย่อยระดับแรกคือป้ายชื่อโดเมนเดียวที่ไม่มีมหัพภาค (เครื่องหมายจุด) ตัวอย่างเช่น คุณสามารถใช้ชื่อ *.example.com เพื่อปกป้อง www.example.com, images.example.com และชื่อโฮสต์อื่นๆ หรือโดเมนย่อยระดับแรกที่ลงท้ายด้วย .example.com เรียนรู้เพิ่มเติมได้ในคู่มือผู้ใช้ ACM

ได้

ไม่

ไม่ได้

ไม่

Certificate ที่ออกผ่าน ACM ใช้ได้นาน 198 วัน หากคุณออก Private Certificate โดยตรงจาก Private CA และจัดการ Key กับ Private Certificate โดยไม่ใช้ ACM สำหรับการจัดการ Certificate คุณจะสามารถเลือกระยะเวลาที่ใช้ได้ รวมถึงวันที่สิ้นสุดแน่นอน หรือเวลาที่สัมพันธ์กัน นั่นคือวัน เดือน หรือปี โดยนับจากเวลาปัจจุบัน

ใช่ AWS Certificate Manager (ACM) จะให้อายุการใช้งาน Public Certificate ที่สั้นลงเพื่อให้สอดคล้องกับข้อกำหนดของหน่วยงานใบรับรอง/ฟอรัมเบราว์เซอร์ (CA/Browser Forum) สำหรับTLS Certificate ACM นำเสนอการจัดการการต่ออายุ Certificate และความสามารถโดยอัตโนมัติ เพื่อแจ้งให้คุณทราบเมื่อ Certificate ใหม่พร้อมสำหรับการปรับใช้  Amazon Trust Services เป็นผู้เข้าร่วมในฟอรั่ม CA/Browser ซึ่งมีการกำหนดมาตรฐานสำหรับ TLS Certificate ที่เชื่อถือได้ต่อสาธารณะ เพื่อให้เป็นไปตามข้อกำหนดของ CA/Browser Amazon Trust Services จะบังคับใช้อายุการใช้งานสูงสุดของ TLS Certificate ตามตารางต่อไปนี้:

• ตั้งแต่วันนี้จนถึงวันที่ 15 มีนาคม 2027 อายุการใช้งานสูงสุดสำหรับ Public TLS Certificate ที่ออกจะอยู่ที่ 198 วัน ซึ่งเป็นการลดลงจากอายุการใช้งาน395 วันก่อนหน้านี้
• ตั้งแต่วันที่ 15 มีนาคม 2027 อายุการใช้งานสูงสุดสำหรับ Public TLS Certificate ที่ออกจะน้อยกว่า 100 วัน
• ตั้งแต่วันที่ 15 มีนาคม 2029 อายุการใช้งานสูงสุดสำหรับ Public TLS Certificate ที่ออกจะน้อยกว่า 47 วัน

หากคุณใช้ Public Certificate ที่ส่งออกจาก ACM เราเข้าใจถึงความกังวลของคุณเกี่ยวกับต้นทุนที่อาจเพิ่มขึ้นเมื่อระยะเวลาการใช้งานสูงสุดของ Certificate มีการเปลี่ยนแปลง AWS มุ่งมั่นที่จะรักษาราคาที่เป็นธรรม สำหรับ Certificate ที่ออกผ่าน ACM เมื่อมาตรฐานอุตสาหกรรมเปลี่ยนไป เราวางแผนที่จะปรับโครงสร้างการกำหนดราคาของเราตามวัตถุประสงค์เพื่อให้ต้นทุนประจำปีสำหรับ Certificate ให้สอดคล้องกับอัตราปัจจุบัน ด้วยการลดระยะเวลาใช้งานจาก 395 เป็น 198 วัน เราจึงลดราคาของเราจาก 149 ดอลลาร์/ชื่อ Wildcard และ 15ดอลลาร์/FQDN เหลือ 79 ดอลลาร์ และ 7 ดอลลาร์ตามลำดับ โปรดดูที่หน้าราคาของเราสำหรับข้อมูลราคาล่าสุด

ตามค่าเริ่มต้นแล้ว Certificate ที่ออกโดย ACM จะใช้ RSA Keys ที่มี Modulus 2048-bit และ SHA-256 นอกจากนั้น คุณสามารถขอใบรับรอง Elliptic Curve Digital Signature Algorithm (ECDSA) ด้วย P-256 หรือ P-384 เรียนรู้เพิ่มเติมเกี่ยวกับอัลกอริทึมในคู่มือผู้ใช้ ACM

คุณสามารถขอ ACM ให้เพิกถอน Public Certificate ได้โดยไปที่ศูนย์ AWS Support แล้วสร้างเคส Public Certificate ที่ส่งออกสามารถถูกเพิกถอนได้โดยใช้ revoke-certificate API หากต้องการเพิกถอน Private Certificate ที่ออกโดย AWS Private CA โปรดดูที่คู่มือผู้ใช้ AWS Private CA

ไม่ได้ ACM Certificate ต้องอยู่ใน Region เดียวกับทรัพยากรที่ใช้ Certificate เหล่านั้น ข้อยกเว้นเพียงอย่างเดียวคือ Amazon CloudFront ซึ่งเป็นบริการระดับโลกที่ต้องมีใบรับรองในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียฝั่งเหนือ) ACM Certificates ใน Region นี้ที่เชื่อมโยงกับ CloudFront Distribution จะถูกกระจายออกไปยังตำแหน่งทางภูมิศาสตร์ทั้งหมดที่กำหนดค่าไว้สำหรับ Distribution นั้น

ได้

คุณสามารถเลือกที่จะออก Public Certificates ที่ส่งออกได้ ซึ่งคุณสามารถใช้กับบริการแบบบูรณาการและส่งออกเพื่อใช้งานกับเวิร์กโหลดใด ๆ ที่ต้องใช้ TLS Certificate เวิร์กโหลดเหล่านี้อาจอยู่ภายใน AWS เช่น เซิร์ฟเวอร์ที่ทำงานบน EC2 หรืออาจอยู่ภายนอก AWS เช่น เซิร์ฟเวอร์ในองค์กร Private Certificate ที่ออกโดย ACM Private CA สามารถใช้กับอินสแตนซ์ EC2 คอนเทนเนอร์ และเซิร์ฟเวอร์ของคุณเองได้ 

ACM ไม่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ Unicode แต่อนุญาตให้ใช้อักขระภาษาท้องถิ่นที่เข้ารหัสแบบ ASCII เป็นชื่อโดเมนได้

ACM รองรับเฉพาะ ASCII ที่มีการเข้ารหัสแบบ UTF-8 เท่านั้น รวมถึง Labels ที่มี “xn—” ซึ่งโดยปกติเรียกกันทั่วไปว่า Punycode สำหรับชื่อโดเมน ACM ไม่รองรับการป้อนชื่อโดเมนแบบ Unicode (u-label)

ได้ หากต้องการใช้ใบรับรองจากบริษัทอื่นกับ Amazon CloudFront, Elastic Load Balancing หรือ Amazon API Gateway คุณสามารถนำเข้าใบรับรองนั้นใน ACM โดยใช้ AWS Management Console, AWS CLI หรือ ACM API ACM ไม่ดำเนินการต่ออายุให้กับใบรับรองที่นำเข้า คุณสามารถใช้คอนโซลการจัดการของ AWS ตรวจสอบวันหมดอายุของ Certificate ที่นำเข้า แล้วนำเข้า Third-party Certificate ใหม่เพื่อแทน Certificate ที่หมดอายุได้

Public Certificate และ Private Certificate จะช่วยลูกค้าระบุทรัพยากรบนเครือข่ายและการสื่อสารที่ปลอดภัยระหว่างทรัพยากรเหล่านี้ได้ Public Certificate จะระบุทรัพยากรบนอินเทอร์เน็ต

ACM ให้ Public Certificate ประเภทยืนยันความเป็นเจ้าของโดเมน (DV) สำหรับใช้กับเว็บไซต์และแอปพลิเคชันที่ยกเลิกการใช้ SSL/TLS โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับ ACM Certificates ที่คุณลักษณะของ Certificate

ACM public certificates ได้รับความเชื่อถือจากเบราว์เซอร์ ระบบปฏิบัติการ และอุปกรณ์พกพาสมัยใหม่ส่วนใหญ่ Certificate ที่ ACM จัดให้ จะครอบคลุมการรองรับเบราว์เซอร์และระบบปฏิบัติการถึง 99% รวมถึง Windows XP SP3 และ Java 6 ขึ้นไป

เบราว์เซอร์บางตัวที่เชื่อถือ ACM Certificates จะแสดงไอคอนรูปแม่กุญแจและไม่แสดงคำเตือนเกี่ยวกับ Certificate เมื่อเชื่อมต่อกับเว็บไซต์ที่ใช้ ACM Certificates ผ่าน SSL/TLS เช่น การใช้ HTTPS

ACM Certificates แบบสาธารณะได้รับการยืนยันโดยผู้ออกใบรับรอง (CA) ของ Amazon เบราว์เซอร์ แอปพลิเคชัน หรือ OS รวมถึง Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2 เชื่อถือ ACM Certificates สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Root CA โปรดดูที่ Amazon Trust Services Repository

ไม่

มีการอธิบายเรื่องดังกล่าวไว้ในเอกสารเกี่ยวกับนโยบายของ Amazon Trust Services Certificate และ Amazon Trust Services Certification Practices Statement โปรดดูที่ Amazon Trust Services Repository สำหรับเวอร์ชันล่าสุด

ไม่ได้ หากคุณต้องการให้เว็บไซต์สามารถอ้างอิงชื่อโดเมนได้ทั้งสองชื่อ (www.example.com หรือ example.com) คุณต้องขอ Certificate ที่ระบุทั้งสองชื่อนั้น

การใช้ ACM ช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้โดยอำนวยความสะดวกสำหรับการเชื่อมต่อที่ปลอดภัย ซึ่งเป็นข้อกำหนดทั่วไปของโปรแกรมการปฏิบัติตามข้อกำหนดหลาย ๆ อย่าง เช่น PCI FedRAMP และ HIPAA โปรดดูข้อมูลเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนดที่ http://aws.amazon.com/compliance

ไม่ ACM ไม่มี SLA

ไม่มี หากคุณต้องการใช้ Secure Site Seal คุณสามารถขอรับได้จากผู้จัดจำหน่ายของบริษัทอื่น เราขอแนะนำให้เลือกผู้จัดจำหน่ายที่ประเมินและยืนยันความปลอดภัยของเว็บไซต์หรือแนวทางการดำเนินธุรกิจของคุณหรือทั้งสองอย่าง

ไม่ ตราและป้ายประเภทนี้สามารถถูกคัดลอกไปยังเว็บไซต์ที่ไม่ได้ใช้บริการ ACM และนำไปใช้อย่างไม่เหมาะสมเพื่อสร้างความเชื่อใจและทำการหลอกลวงได้ เพื่อปกป้องลูกค้าของเราและชื่อเสียงของ Amazon เราจึงไม่อนุญาตให้นำโลโก้ของเราไปใช้ในลักษณะนี้

คุณสามารถใช้คอนโซลการจัดการของ AWS, AWS CLI หรือ ACM API/SDK ได้ หากต้องการใช้ AWS Management Console ให้ไปที่ Certificate Manager เลือก Request a certificate (ขอใบรับรอง) เลือก Request a public certificate (ขอใบรับรองสาธารณะ) ระบุชื่อโดเมนสำหรับเว็บไซต์ และทำตามคำแนะนำบนหน้าจอเพื่อกรอกคำขอ คุณสามารถใส่ชื่อโดเมนเพิ่มเติมลงในคำขอได้อีก หากผู้ใช้สามารถเข้าถึงเว็บไซต์ของคุณได้โดยใช้ชื่ออื่น ก่อนที่ ACM จะออกใบรับรองได้ ระบบต้องยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอใบรับรองของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS จะให้คุณเขียนบันทึกการกำหนดค่า DNS สาธารณะสำหรับโดเมนเพื่อกำหนดว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้น หลังจากใช้การยืนยัน DNS หนึ่งครั้งเพื่อสร้างการควบคุมโดเมนแล้ว คุณจะสามารถรับใบรับรองเพิ่มเติมและให้ ACM ต่ออายุใบรับรองที่มีอยู่สำหรับโดเมนนั้นได้นานเท่าที่ยังคงมีบันทึกดังกล่าวและยังคงใช้งานใบรับรองนั้นอยู่ คุณไม่จำเป็นต้องยืนยันการควบคุมโดเมนนั้นอีกครั้ง หากคุณเลือกการยืนยันทางอีเมลแทนการเลือกการยืนยัน DNS ระบบจะส่งอีเมลไปยังเจ้าของโดเมนที่ขออนุมัติการออกใบรับรอง หลังจากยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนแต่ละชื่อในคำขอแล้ว ระบบจะออก Certificate ที่พร้อมเตรียมใช้งานกับบริการอื่น ๆ ของ AWS เช่น Elastic Load Balancing หรือ Amazon CloudFront

คุณสามารถเลือกที่จะออก Public Certificate ที่ส่งออกได้ ซึ่งคุณสามารถใช้กับบริการแบบบูรณาการและส่งออกเพื่อใช้งานกับเวิร์กโหลดใด ๆ ที่ต้องใช้ TLS Certificate เวิร์กโหลดเหล่านี้อาจอยู่ภายใน AWS เช่น เซิร์ฟเวอร์ที่ทำงานบน EC2 หรืออาจอยู่ภายนอก AWS เช่น เซิร์ฟเวอร์ในองค์กร โปรดดูรายละเอียดที่เอกสารประกอบ ACM

Certificate จะใช้ในการสร้างข้อมูลตัวตนของเว็บไซต์และการเชื่อมต่อที่ปลอดภัยระหว่างเบราว์เซอร์กับแอปพลิเคชันและเว็บไซต์ของคุณ ในการออก Public Certificate ที่น่าเชื่อถือ Amazon ต้องยืนยันว่าผู้ขอ Certificate มีสิทธิ์ควบคุมชื่อโดเมนในคำขอ Certificate นั้น

ก่อนออก Certificate ACM จะยืนยันว่าคุณเป็นเจ้าของหรือควบคุมชื่อโดเมนในคำขอ Certificate ของคุณ คุณสามารถเลือกการยืนยัน DNS หรือการยืนยันทางอีเมลได้เมื่อขอใบรับรอง การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ โปรดดูรายละเอียดเพิ่มเติมที่การยืนยัน DNS หากคุณไม่มีความสามารถในการเขียนบันทึกลงในการกำหนดค่า DNS สาธารณะสำหรับโดเมน คุณสามารถใช้การยืนยันทางอีเมลแทนการยืนยัน DNS ได้ การยืนยันทางอีเมลช่วยให้ ACM สามารถส่งอีเมลไปยังเจ้าของโดเมนที่ลงทะเบียนไว้ จากนั้นเจ้าของหรือตัวแทนที่ได้รับอนุญาตจะสามารถอนุมัติการออกชื่อโดเมนแต่ละชื่อในคำขอใบรับรองนั้น โปรดดูรายละเอียดเพิ่มเติมที่การยืนยันทางอีเมล หากคุณกำลังออก Certificate สำหรับใช้กับ Amazon CloudFront SaaS Manager ACM จะออก Certificate ที่ตรวจสอบ HTTP แล้วโดยอัตโนมัติ โปรดดูรายละเอียดเพิ่มเติมที่การยืนยัน HTTP

หากคุณกำลังออก Public Certificate โดยตรงจาก ACM เราขอแนะนำให้คุณใช้การยืนยัน DNS หากคุณมีความสามารถในการเปลี่ยนการกำหนดค่า DNS สำหรับโดเมนของคุณ ลูกค้าที่ไม่สามารถรับอีเมลยืนยันจาก ACM และลูกค้าที่ใช้หน่วยงานจดทะเบียนชื่อโดเมนที่ไม่เปิดเผยข้อมูลติดต่อทางอีเมลของเจ้าของโดเมนใน WHOIS ควรใช้การยืนยัน DNS หากคุณไม่สามารถแก้ไขการกำหนดค่า DNS คุณควรใช้การยืนยันทางอีเมล

หากคุณต้องการ Certificate สำหรับใช้กับ Amazon CloudFront SaaS Manager ACM จะจัดเตรียม Certificate ที่ผ่านการยืนยัน HTTP โดยอัตโนมัติ เป็นส่วนหนึ่งของกระบวนการจัดหา CloudFront

ไม่ได้ แต่คุณสามารถขอ Certificate ใหม่จาก ACM และเลือกการยืนยัน DNS สำหรับ Certificate ใหม่ได้

การออก Certificate อาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอ Certificate แล้ว

ACM จะพยายามยืนยันความเป็นเจ้าของหรือการควบคุมชื่อโดเมนแต่ละชื่อในคำขอ Certificate ของคุณตามวิธีการยืนยันที่คุณเลือกเมื่อส่งคำขอ ไม่ว่าจะเป็นทาง DNS หรืออีเมล ขณะที่ ACM พยายามยืนยันว่าคุณเป็นเจ้าของหรือควบคุมโดเมนนั้นอยู่ คำขอใบรับรองจะมีสถานะเป็นอยู่ระหว่างการตรวจสอบ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับขั้นตอนการยืนยันที่ส่วนการยืนยัน DNS หรือการยืนยันทางอีเมลที่ด้านล่าง หลังจากยืนยันชื่อโดเมนทั้งหมดในคำขอใบรับรองแล้ว การออกใบรับรองอาจใช้เวลาหลายชั่วโมงหรือนานกว่านั้น เมื่อออก Certificate แล้ว สถานะคำขอ Certificate จะเปลี่ยนเป็นออกแล้ว และคุณสามารถเริ่มใช้ใ Certificate นั้นกับบริการอื่น ๆ ของ AWS ที่ผสานรวมกับ ACM ได้

ได้ บันทึก Certificate Authority Authorization (CAA) ของ DNS ช่วยให้เจ้าของโดเมนสามารถระบุผู้ออกใบรับรองที่ได้รับอนุญาตให้ออกใบรับรองโดเมนของตน AWS Certificate Manager จะค้นหาบันทึก CAA ในการกำหนดค่าโซน DNS สำหรับโดเมน เมื่อคุณขอใบรับรองจาก ACM หากไม่มีบันทึก CAA นั้นอยู่ Amazon ก็สามารถออกใบรับรองสำหรับโดเมนของคุณได้ ลูกค้าส่วนใหญ่อยู่ในหมวดหมู่นี้

Amazon จะออกใบรับรองสำหรับโดเมนของคุณได้ในกรณีที่การกำหนดค่า DNS ของคุณมีบันทึก CAA ซึ่งบันทึกนั้นต้องระบุ CA รายการใดรายการหนึ่งดังต่อไปนี้เสียก่อน: amazon.com, amazontrust.com, awstrust.com หรือ amazonaws.com โปรดดูข้อมูลเพิ่มเติมที่กำหนดค่าบันทึก CAA หรือการแก้ไขปัญหา CAA ในคู่มือผู้ใช้ AWS Certificate Manager

การยืนยัน DNS ทำให้คุณสามารถยืนยันความเป็นเจ้าของโดเมนได้โดยการเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ การยืนยัน DNS ทำให้สามารถกำหนดได้อย่างง่ายดายว่าคุณเป็นเจ้าของโดเมน เมื่อขอ Public SSL/TLS Certificates จาก ACM

การยืนยัน DNS ทำให้สามารถยืนยันได้อย่างง่ายดายว่าคุณเป็นเจ้าของหรือควบคุมโดเมน เพื่อให้คุณได้รับ SSL/TLS Certificate เมื่อใช้การยืนยัน DNS คุณเพียงเขียนบันทึก CNAME ลงในการกำหนดค่า DNS เพื่อกำหนดการควบคุมชื่อโดเมนของคุณ หากต้องการให้ขั้นตอนการยืนยัน DNS ง่ายขึ้น ACM Management Console ก็สามารถกำหนดค่าบันทึก DNS แก่คุณได้ หากคุณจัดการบันทึก DNS ของคุณโดยใช้ Amazon Route 53 วิธีนี้ทำให้สามารถกำหนดการควบคุมชื่อโดเมนของคุณได้อย่างง่ายดายด้วยการคลิกเมาส์ไม่กี่ครั้ง เมื่อกำหนดค่าบันทึก CNAME แล้ว ACM จะต่ออายุใบรับรองที่ใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) โดยอัตโนมัติได้นานเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่ การต่ออายุเป็นไปโดยอัตโนมัติและไม่ต้องทำอะไรเลย

ทุกคนที่ขอ Certificate ผ่าน ACM และมีความสามารถที่จะเปลี่ยนการกำหนดค่า DNS สำหรับโดเมนที่ตนกำลังขออยู่ควรพิจารณาการใช้การยืนยัน DNS

ได้ ACM ยังคงรองรับการยืนยันทางอีเมลสำหรับลูกค้าที่ไม่สามารถเปลี่ยนการกำหนดค่า DNS ของตนได้หรือไม่

คุณต้องเพิ่มบันทึก CNAME สำหรับโดเมนที่คุณต้องการยืนยัน ตัวอย่างเช่น หากต้องการยืนยันชื่อ www.example.com ให้คุณเพิ่มบันทึก CNAME ลงในโซนสำหรับ example.com บันทึกที่คุณเพิ่มนั้นมีโทเค็นแบบไม่ซ้ำกันที่ ACM สร้างขึ้นมาเพื่อโดเมนและบัญชี AWS ของคุณโดยเฉพาะ คุณจะได้รับบันทึก CNAME สองส่วน (ชื่อและป้าย) จาก ACM โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีเพิ่มหรือแก้ไขบันทึก DNS ควรสอบถามผู้ให้บริการ DNS ของคุณ เอกสารประกอบ DNS ของ Amazon Route 53 ให้ข้อมูลเพิ่มเติมแก่ลูกค้าที่ใช้ DNS ของ Amazon Route 53

ได้ สำหรับลูกค้าที่ใช้ DNS ของ Amazon Route 53 ในการจัดการบันทึก DNS ACM Console สามารถเพิ่มบันทึกลงในการกำหนดค่า DNS แก่คุณได้เมื่อคุณขอใบรับรอง โซนที่โฮสต์ DNS ของ Route 53 สำหรับโดเมนของคุณต้องได้รับการกำหนดค่าในบัญชี AWS เดียวกันกับบัญชีที่คุณใช้ส่งคำขอและคุณต้องมีสิทธิ์เพียงพอที่จะเปลี่ยนการกำหนดค่า Amazon Route 53 ของคุณได้ โปรดดูคำแนะนำเพิ่มเติมที่คู่มือผู้ใช้ ACM

ไม่ต้อง คุณสามารถใช้การยืนยัน DNS กับผู้ให้บริการ DNS ทุกรายตราบใดที่ผู้ให้บริการรายนั้นอนุญาตให้คุณเพิ่มบันทึก CNAME ลงในการกำหนดค่า DNS ของคุณ

หนึ่งรายการ คุณสามารถขอรับใบรับรองหลายใบสำหรับชื่อโดเมนชื่อเดียวกันในบัญชี AWS เดียวกันได้โดยใช้บันทึก CNAME ตัวอย่างเช่น หากคุณส่งคำขอ Certificate 2 รายการสำหรับโดเมนชื่อเดียวกันจากบัญชี AWS เดียวกัน คุณจำเป็นต้องใช้บันทึก CNAME สำหรับ DNS เพียง 1 รายการ

ไม่ได้ แต่ละชื่อโดเมนต้องมีบันทึก CNAME ที่ไม่ซ้ำกัน

ได้

บันทึก CNAME ของ DNS มีสององค์ประกอบได้แก่: ชื่อและป้าย องค์ประกอบชื่อของ CNAME ที่ ACM สร้างขึ้นนั้นประกอบด้วยเครื่องหมายสัญประกาศ (_) ตามด้วยโทเค็น ซึ่งเป็นสตริงที่ไม่ซ้ำกันที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของคุณเพื่อสร้างองค์ประกอบชื่อ ACM สร้างป้ายขึ้นจากเครื่องหมายสัญประกาศที่แนบเข้ากับโทเค็นต่างๆ ที่ผูกไว้กับบัญชี AWS และชื่อโดเมนของคุณ ACM จะแนบเครื่องหมายสัญประกาศและโทเค็นเข้ากับชื่อโดเมนของ DNS ที่ AWS ใช้สำหรับการยืนยัน: acm-validations.aws ตัวอย่างด้านล่างแสดงรูปแบบของ CNAME สำหรับ www.example.com, subdomain.example.com และ *.example.com

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

โปรดทราบว่า ACM จะลบป้าย Wildcard (*) ออกเมื่อมีการสร้างบันทึก CNAME สำหรับชื่อ Wildcard ด้วยเหตุนี้บันทึก CNAME ที่ ACM สร้างขึ้นสำหรับชื่อ Wildcard (เช่น *.example.com) จึงเป็นบันทึกเดียวกันกับที่มีการส่งคืนไปให้ชื่อโดเมนที่ไม่มี Label Wildcard (example.com)

ไม่ได้ ชื่อโดเมนแต่ละชื่อ รวมถึงชื่อโฮสต์และชื่อโดเมนย่อยต้องมีการยืนยันแยกกัน เนื่องจากแต่ละชื่อมีบันทึก CNAME ไม่ซ้ำกัน

การใช้บันทึก CNAME ช่วยให้ ACM สามารถต่ออายุ Certificate ได้ตราบใดที่ยังมีบันทึก CNAME นั้นอยู่ บันทึก CNAME จะนำทางไปยังบันทึก TXT ในโดเมนของ AWS (acm-validations.aws) ซึ่ง ACM สามารถอัปเดตได้ตามความจำเป็นเพื่อยืนยันชื่อโดเมนหรือยืนยันซ้ำอีกครั้งโดยคุณไม่ต้องทำอะไรเลย

ได้ คุณสามารถสร้างบันทึก CNAME ของ DNS รายการเดียวแล้วใช้บันทึกนั้นรับใบรับรองในบัญชี AWS เดียวกันในภูมิภาค AWS ใดก็ได้ที่มี ACM ให้บริการอยู่ กำหนดค่าบันทึก CNAME เพียงครั้งเดียว แล้วคุณจะได้รับ Certificates ที่ ACM ออกและต่ออายุให้สำหรับชื่อนั้นโดยไม่ต้องสร้างบันทึกอื่นอีก

ไม่ได้ ใบรับรองแต่ละใบมีการยืนยันได้วิธีเดียวเท่านั้น

ACM จะต่ออายุ Certificate ที่ใช้อยู่ (ที่เชื่อมไว้กับทรัพยากรอื่น ๆ ของ AWS) โดยอัตโนมัติได้นานตราบเท่าที่ยังคงมีบันทึกการยืนยัน DNS อยู่

ได้ เพียงลบบันทึก CNAME ออก ACM จะไม่ออกหรือต่ออายุใบรับรองสำหรับโดเมนที่ใช้การยืนยัน DNS หลังจากคุณลบบันทึก CNAME ออกแล้วและมีการกระจายการเปลี่ยนแปลงผ่าน DNS ระยะเวลาในการเผยแพร่การลบบันทึกจะขึ้นอยู่กับผู้ให้บริการ DNS ของคุณ

ACM จะไม่สามารถออก Certificate หรือต่ออายุ Certificate สำหรับโดเมนที่ใช้การยืนยัน DNS ได้หากคุณลบบันทึก CNAME

การยืนยันทางอีเมลช่วยให้สามารถส่งอีเมลคำขออนุมัติไปยังเจ้าของโดเมนที่ลงทะเบียนไว้สำหรับชื่อโดเมนแต่ละชื่อในคำขอใบรับรอง เจ้าของโดเมนหรือตัวแทนที่ได้รับอนุญาต (ผู้อนุมัติ) สามารถอนุมัติคำขอใบรับรองได้โดยการทำตามคำแนะนำในอีเมล คำแนะนำแจ้งให้ผู้อนุมัติไปยังเว็บไซต์สำหรับอนุมัติแล้วคลิกลิงก์ในอีเมลหรือวางลิงก์จากอีเมลนั้นลงในเบราว์เซอร์เพื่อไปยังเว็บไซต์สำหรับอนุมัติ ผู้อนุมัติยืนยันข้อมูลที่เกี่ยวข้องกับคำขอใบรับรอง เช่น ชื่อโดเมน รหัสใบรับรอง (ARN) และรหัสบัญชี AWS ที่ใช้เริ่มต้นคำขอและอนุมัติคำขอนั้นหากข้อมูลถูกต้อง

ACM ส่งข้อความอีเมลยืนยันไปยังอีเมลระบบทั่วไปห้าฉบับสำหรับแต่ละโดเมน ซึ่งถูกสร้างไว้ล่วงหน้าโดย admin@, administrator@, hostmaster@, webmaster@ และ postmaster@ ไปยังชื่อโดเมนที่คุณร้องขอ ACM ไม่รองรับการยืนยันอีเมล WHOIS สำหรับ Certificate ใหม่หรือการต่ออายุอีกต่อไป

อีเมลพิเศษห้าอีเมลนั้นถูกสร้างขึ้นให้แตกต่างกันสำหรับชื่อโดเมนที่ขึ้นต้นด้วย "www" หรือชื่อ Wildcard ที่ขึ้นต้นด้วยเครื่องหมายดอกจัน (*) ACM จะลบ "www" หรือเครื่องหมายดอกจันที่นำหน้าออกแล้วส่งอีเมลไปยังที่อยู่ด้านงานดูแลระบบที่สร้างขึ้นโดยการนำ admin@, administrator@, hostmaster@, postmaster@ และ webmaster@ มาวางไว้ด้านหน้าของส่วนที่เหลือของชื่อโดเมน

หลังจากขอ Certificate คุณจะสามารถแสดงรายชื่อที่อยู่อีเมลซึ่งระบบได้ส่งอีเมลโดยใช้ ACM Console, AWS CLI หรือ API ไปหาเกี่ยวกับแต่ละโดเมน

ไม่ได้ แต่คุณสามารถกำหนดค่าชื่อโดเมนพื้นฐานแก่โดเมนที่คุณต้องการให้ส่งอีเมลยืนยันได้ ชื่อโดเมนพื้นฐานต้องเป็นซูเปอร์โดเมนของชื่อโดเมนในคำขอใบรับรอง ตัวอย่างเช่น หากคุณต้องการขอใบรับรองสำหรับ server.domain.example.com แต่ต้องการให้ส่งอีเมลอนุมัติตรงไปยัง admin@domain.example.com คุณสามารถทำเช่นนั้นได้โดยใช้ AWS CLI หรือ API โปรดดูรายละเอียดเพิ่มเติมที่ข้อมูลอ้างอิง ACM CLI และข้อมูลอ้างอิง ACM API

ได้ แต่การจัดส่งอีเมลอาจล่าช้าเนื่องจากพร็อกซี อีเมลที่ส่งผ่านพร็อกซีอาจไปเข้าที่โฟลเดอร์สแปม โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

ไม่ได้ ขั้นตอนและนโยบายสำหรับการยืนยันตัวตนเจ้าของโดเมนมีความเข้มงวดมาก และถูกกำหนดโดย CA/Browser Forum ซึ่งกำหนดมาตรฐานของนโยบายสำหรับผู้ออก Certificate ที่ได้รับความเชื่อถือจากสาธารณชน หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่ Amazon Trust Services Certification Practices Statement ล่าสุดใน Amazon Trust Services Repository

โปรดดูคำแนะนำการแก้ไขปัญหาที่คู่มือผู้ใช้ ACM

Key Pair จะถูกสร้างขึ้นสำหรับ Certificate แต่ละใบที่ออกโดย ACM ACM ออกแบบมาเพื่อปกป้องและจัดการคีย์ส่วนตัวที่ใช้กับใบรับรอง SSL/TLS จะมีการใช้แนวทางการปฏิบัติที่ดีที่สุดด้านการเข้ารหัสที่แน่นหนาและการจัดการ Key เพื่อปกป้องและจัดเก็บ Private Keys

ไม่ได้ Private Key ของ ACM Certificate แต่ละใบจะได้รับการจัดเก็บไว้ใน Region ที่คุณขอ Certificate นั้น ตัวอย่างเช่น เมื่อคุณได้รับใบรับรองใหม่ในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ACM จะจัดเก็บคีย์ส่วนตัวไว้ในภูมิภาคเวอร์จิเนียเหนือ ทั้งนี้จะสามารถทำสำเนา ACM Certificates ข้ามภูมิภาคได้เมื่อใบรับรองนั้นเชื่อมโยงกับการกระจายของ CloudFront เท่านั้น ในกรณีดังกล่าว CloudFront จะกระจายใบรับรองของ ACM Certificate ไปยังสถานที่ตั้งทางภูมิศาสตร์ที่กำหนดค่าไว้สำหรับการกระจายของคุณ

การต่ออายุและการปรับใช้ที่จัดการโดย ACM จะจัดการกระบวนการต่ออายุ SSL/TLS ACM Certificates และปรับใช้ Certificate หลังจากต่ออายุแล้ว

ACM สามารถจัดการต่ออายุและปรับใช้SSL/TLS Certificate สำหรับคุณได้ ACM ช่วยให้การกำหนดค่าและดูแลรักษา SSL/TLS สำหรับบริการบนเว็บหรือแอปพลิเคชันมีความปลอดภัยในการดำเนินงานมากกว่ากระบวนการที่ทำด้วยตนเอง ซึ่งมีโอกาสเกิดข้อผิดพลาดได้ การต่ออายุและการปรับใช้ที่มีการจัดการช่วยให้คุณสามารถหลีกเลี่ยงการหยุดทำงานอันเนื่องมาจากใบรับรองหมดอายุได้ ACM ทำงานในฐานะบริการที่ผสานรวมกับบริการอื่น ๆ ของ AWS คุณสามารถเลือกที่จะออก Public Certificate ที่ส่งออกได้ ซึ่งคุณสามารถใช้กับบริการ AWS แบบบูรณาการและส่งออกเพื่อใช้งานกับเวิร์กโหลดใด ๆ ที่ต้องใช้ TLS Certificate นั่นหมายความว่าคุณสามารถจัดการและปรับใช้ใบรับรองบนแพลตฟอร์ม AWS โดยใช้คอนโซลการจัดการของ AWS CLI หรือ API ได้จากส่วนกลาง ACM Private CA ช่วยให้คุณสามารถสร้าง Private Certificate และส่งออก Certificate ดังกล่าวได้ ACM ต่ออายุ Certificate ที่ส่งออก ซึ่งช่วยให้โค้ดสำหรับการทำงานอัตโนมัติฝั่งไคลเอ็นต์ของคุณเองสามารถดาวน์โหลดและปรับใช้ Certificate ดังกล่าวได้

Public Certificates

ACM สามารถต่ออายุและปรับใช้ ACM Certificates แบบสาธารณะ ได้โดยไม่ต้องมีการยืนยันเพิ่มเติมจากเจ้าของโดเมน หากไม่สามารถต่ออายุใบรับรองได้โดยไม่ต้องมีการยืนยันเพิ่มเติม ACM จะจัดการกระบวนการต่ออายุโดยยืนยันความเป็นเจ้าของหรือการควบคุมโดเมนนั้นสำหรับชื่อโดเมนแต่ละชื่อในใบรับรอง หลังจากยืนยันชื่อโดเมนแต่ละชื่อในใบรับรองแล้ว ACM จะต่ออายุใบรับรองและปรับใช้ใบรับรองนั้นกับทรัพยากร AWS ของคุณโดยอัตโนมัติ หาก ACM ไม่สามารถยืนยันความเป็นเจ้าของโดเมน เราจะแจ้งให้คุณ (เจ้าของบัญชี AWS) ทราบ

หากคุณเลือกการยืนยัน DNS ในคำขอใบรับรองของคุณ ACM จะสามารถต่ออายุใบรับรองได้อย่างไม่มีกำหนด โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติมได้นานเท่าที่มีใบรับรองนั้นใช้อยู่ (เชื่อมโยงไว้กับทรัพยากรอื่นๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่ หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรอง คุณจะสามารถปรับปรุงความสามารถของ ACM เพื่อต่ออายุหรือปรับใช้ใบรับรอง ACM ได้อย่างอัตโนมัติ โดยตรวจสอบให้แน่ใจว่ามีการใช้ใบรับรองนั้นอยู่ ว่าชื่อโดเมนทั้งหมดที่ระบุไว้ในใบรับรองสามารถนำทางมาที่เว็บไซต์ของคุณ และชื่อโดเมนทั้งหมดสามารถเข้าถึงได้จากอินเทอร์เน็ต

ใบรับรองส่วนตัว

ACM ให้ 2 ตัวเลือกในการจัดการใบรับรองส่วนตัวที่ออกโดยใช้ AWS Private CA ACM มีความสามารถในการต่ออายุที่แตกต่างกันไป โดยขึ้นอยู่กับวิธีที่คุณใช้จัดการใบรับรองส่วนตัวของคุณ คุณสามารถเลือกตัวเลือกการจัดการที่ดีที่สุดสำหรับใบรับรองส่วนตัวแต่ละใบที่คุณออกได้

1) ACM สามารถต่ออายุและปรับใช้ใบรับรองที่ออกด้วย AWS Private CA และใช้กับบริการที่ผสานกับ ACM เช่น Elastic Load Balancing และเกตเวย์ของ API ได้โดยอัตโนมัติ ACM สามารถต่ออายุและปรับใช้ใบรับรองส่วนตัวที่ออกผ่าน ACM ได้ ตราบเท่าที่ CA ส่วนตัวซึ่งออกใบรับรองดังกล่าวยังคงอยู่ในสถานะกำลังใช้งาน

2) สำหรับใบรับรองส่วนตัวที่คุณส่งออกจาก ACM สำหรับใช้กับทรัพยากรในองค์กร, อินสแตนซ์ EC2 และอุปกรณ์ IoT นั้น ACM จะต่ออายุใบรับรองของคุณโดยอัตโนมัติ คุณต้องเรียกใช้ใบรับรองกับคีย์ส่วนตัวใหม่แล้วปรับใช้กับแอปพลิเคชันของคุณเอง

ACM เริ่มกระบวนการต่ออายุก่อน Certificate หมดอายุล่วงหน้าสูงสุด 60 วัน ปัจจุบัน ACM Certificates มีระยะเวลาที่ใช้ได้นาน 13 เดือน (395 วัน) โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการจัดการการต่ออายุที่คู่มือผู้ใช้ ACM

ไม่มี ACM อาจต่ออายุหรือออก Key ใหม่ให้ Certificate แล้วแทนที่ Certificate เก่าโดยไม่แจ้งล่วงหน้า

หากคุณเลือกการตรวจสอบ DNS ในคำขอ Certificate ของคุณสำหรับ Public Certificate ACM สามารถ ACM จะสามารถต่ออายุ Certificate ได้โดยที่คุณไม่ต้องทำสิ่งใดเพิ่มเติม ตราบใดที่มี Certificate นั้นใช้อยู่ (เชื่อมไว้กับทรัพยากรอื่น ๆ ของ AWS) และยังคงมีบันทึก CNAME อยู่

หากคุณเลือกการยืนยันทางอีเมลเมื่อขอใบรับรองสาธารณะโดยใช้แบร์โดเมน ตรวจสอบให้แน่ใจว่า DNS ค้นหาแบร์โดเมนที่แยกไปยังทรัพยากร AWS ซึ่งเชื่อมโยงกับใบรับรองนั้น การแยกแบร์โดเมนไปยังทรัพยากร AWS อาจยากลำบาก เว้นแต่ว่าคุณจะใช้ Route 53 หรือผู้ให้บริการ DNS รายอื่นที่รองรับบันทึกทรัพยากรนามแฝง (หรือที่เทียบเท่า) สำหรับการแมปแบร์โดเมนไปยังทรัพยากร AWS โปรดดูข้อมูลเพิ่มเติมที่คู่มือ Route 53 สำหรับนักพัฒนา

ไม่ การเชื่อมต่อที่สร้างขึ้นหลังจากการปรับใช้ Certificate ใหม่ จะใช้ Certificate ใหม่ ซึ่งไม่มีผลกระทบกับการเชื่อมต่อที่มีอยู่

ได้

ได้ หรือคุณอาจพิจารณาการใช้ AWS Private CA เพื่อออก Private Certificate ที่ ACM สามารถต่ออายุได้โดยไม่ต้องมีการยืนยันได้ด้วยเช่นกัน โปรดดูการต่ออายุและการนำไปใช้จริงเพื่อดูรายละเอียดเกี่ยวกับวิธีที่ ACM จัดการต่ออายุ Public Certificates ที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตและ Private Certificates

ได้ คุณสามารถใช้ AWS CloudTrail เพื่อตรวจสอบข้อมูลบันทึกที่แจ้งเวลาการใช้งาน Private Key ของ Certificate ได้

คุณสามารถระบุได้ว่าผู้ใช้และบัญชีใดที่เรียกใช้ AWS API สำหรับบริการที่รองรับ AWS CloudTrail รวมถึงสามารถดูที่อยู่ IP ต้นทางที่มีการเรียกใช้ และเวลาที่เรียกใช้ได้ ตัวอย่างเช่น คุณสามารถระบุผู้ใช้ที่เรียกใช้ API เพื่อเชื่อมโยงกับ Certificate ที่ ACM ออกให้โดยใช้ Elastic Load Balancer และเมื่อบริการ Elastic Load Balancing ถอดรหัสคีย์ด้วยการเรียก KMS API

Public Certificate และ Private Certificate ที่เตรียมการใช้งานผ่าน AWS Certificate Manager เพื่อนำไปใช้กับบริการที่ผสานการทำงานกับ ACM เช่น บริการ Elastic Load Balancing, Amazon CloudFront และเกตเวย์ของ Amazon API ไม่มีค่าใช้จ่าย คุณจ่ายเฉพาะสำหรับทรัพยากร AWS ที่คุณสร้างขึ้นเพื่อใช้งานแอปพลิเคชันของคุณ AWS Private CA คิดค่าบริการชำระเงินตามที่ใช้จริง ไปที่หน้าค่าบริการของ AWS Private CA สำหรับรายละเอียดและตัวอย่างเพิ่มเติม

โปรดดูที่หน้าคำถามที่พบบ่อยเกี่ยวกับ AWS Private CA สำหรับคำถามเกี่ยวกับการใช้งาน AWS Private CA