AWS Certificate ManagerGuia do usuário

Versão 1.0

AWS Certificate Manager Guia do usuário

AWS Certificate Manager: Guia do usuárioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Certificate Manager Guia do usuário

Table of ContentsO que é o AWS Certificate Manager? ................................................................................................... 1

Conceitos .................................................................................................................................. 1Certificado ACM ................................................................................................................. 2CAs raiz do ACM ............................................................................................................... 3Domínio de apex ................................................................................................................ 4Criptografia de chave assimétrica ......................................................................................... 4Autoridade certificadora ....................................................................................................... 4Registro de transparência de certificados ............................................................................... 4Domain Name System ........................................................................................................ 5Nomes de domínio ............................................................................................................. 5Criptografia e descriptografia ................................................................................................ 6Nome de domínio totalmente qualificado (FQDN) .................................................................... 6Infraestrutura de chave pública ............................................................................................. 6Certificado raiz ................................................................................................................... 6Secure Sockets Layer (SSL) ................................................................................................ 6HTTPS seguro ................................................................................................................... 7Certificados do servidor SSL ................................................................................................ 7Criptografia de chave simétrica ............................................................................................. 7Transport Layer Security (TLS) ............................................................................................. 7Confiança .......................................................................................................................... 7

Características de certificado do ACM ........................................................................................... 7Regiões compatíveis ................................................................................................................... 9Serviços integrados ..................................................................................................................... 9Selos de site e logotipos de confiança ......................................................................................... 11Cotas ...................................................................................................................................... 11

Cotas gerais ..................................................................................................................... 11Cotas de taxa de API ........................................................................................................ 13

Melhores práticas ...................................................................................................................... 13AWS CloudFormation ........................................................................................................ 14Fixação do certificado ........................................................................................................ 14Validação de domínio ........................................................................................................ 14Adicionar ou excluir nomes de domínio ................................................................................ 15Como cancelar o registro de transparência do certificado ........................................................ 15Ativar o AWS CloudTrail .................................................................................................... 16

Definição de preço .................................................................................................................... 16Segurança ....................................................................................................................................... 17

Proteção de dados .................................................................................................................... 17Segurança de chave privada do ACM .................................................................................. 18

Identity and Access Management ................................................................................................ 19Autenticação .................................................................................................................... 19Controle de acesso ........................................................................................................... 20Visão geral do gerenciamento de acesso ............................................................................. 20Políticas gerenciadas ......................................................................................................... 22Políticas gerenciadas pelo cliente ........................................................................................ 23Políticas em linha ............................................................................................................. 23Referência de permissões da API do ACM ........................................................................... 26

Registro e monitoramento .......................................................................................................... 27Usar CloudTrail ................................................................................................................ 27

Resiliência ............................................................................................................................... 40Segurança da infraestrutura ....................................................................................................... 40

Configuração .................................................................................................................................... 41Configurar a AWS e o IAM ........................................................................................................ 41

Cadastre-se na AWS ......................................................................................................... 41Criar um usuário do IAM .................................................................................................... 41

Versão 1.0iii

AWS Certificate Manager Guia do usuário

Registrar um nome de domínio ................................................................................................... 42Configurar seu site ou aplicativo ................................................................................................. 42

Início rápido do Linux ........................................................................................................ 43Início rápido do Windows ................................................................................................... 43

(Opcional) Configurar e-mail ....................................................................................................... 43Banco de dados WHOIS .................................................................................................... 44Registro MX ..................................................................................................................... 44

(Opcional) Configurar CAA ......................................................................................................... 44Conceitos básicos ............................................................................................................................. 47

Solicitar um certificado público .................................................................................................... 47Solicitar um certificado público usando o console ................................................................... 48Solicitar um certificado público usando a CLI ........................................................................ 49

Solicitar um certificado privado ................................................................................................... 49Solicitar um certificado privado usando o console do ACM ...................................................... 50Solicitar um certificado privado usando a CLI ........................................................................ 51

Exportar um certificado privado ................................................................................................... 51Exportar um certificado privado usando o console .................................................................. 51Exportar um certificado privado usando a CLI ....................................................................... 52

Validar com DNS ...................................................................................................................... 53Adicionar um CNAME a seu banco de dados ........................................................................ 56Excluir um CNAME de seu banco de dados ......................................................................... 56

Validar com e-mail .................................................................................................................... 57Lista de certificados .................................................................................................................. 60

Lista de certificados (console) ............................................................................................. 60Lista de certificados (CLI) .................................................................................................. 61

Descrever certificados ............................................................................................................... 62Descrição de certificados (console) ...................................................................................... 62Descrição de certificados (CLI) ........................................................................................... 63

Exclusão de certificados ............................................................................................................ 64Exclusão de certificados (console) ....................................................................................... 64Exclusão de certificados (CLI) ............................................................................................ 64

Instalar certificados do ACM ....................................................................................................... 65Reenvio de e-mail (opcional) ...................................................................................................... 65

Reenvio de e-mail (console) ............................................................................................... 65Reenvio de e-mail (CLI) ..................................................................................................... 65

Renovação gerenciada ...................................................................................................................... 66Validação de domínio ................................................................................................................ 66

Noções básicas de validação automática de domínio ............................................................. 67Quando há falha na renovação automática de certificado ........................................................ 67

Verificar o status da renovação ................................................................................................... 68Verificar o status (console) ................................................................................................. 69Verificar o status (API) ...................................................................................................... 69Verificar o status (CLI) ....................................................................................................... 69Verificar o status (PHD) ..................................................................................................... 69

Solicitar e-mail (opcional) ........................................................................................................... 71Importar certificados .......................................................................................................................... 72

Pré-requisitos ........................................................................................................................... 72Formato do certificado ............................................................................................................... 73Importar um certificado .............................................................................................................. 75

Importar usando o console ................................................................................................. 75Importar usando a AWS CLI ............................................................................................... 75

Reimportar um certificado .......................................................................................................... 76Reimportar usando o console ............................................................................................. 76Reimportar usando a AWS CLI ........................................................................................... 77

Marcação de certificados ACM ........................................................................................................... 78Restrições de tag ...................................................................................................................... 78Gerenciamento de tags .............................................................................................................. 79

Versão 1.0iv

AWS Certificate Manager Guia do usuário

Gerenciar tags (console) .................................................................................................... 79Gerenciamento de tags (AWS Command Line Interface) ......................................................... 80Gerenciamento de tags (API AWS Certificate Manager) .......................................................... 80

Uso da API ACM .............................................................................................................................. 81AddTagsToCertificate ................................................................................................................ 81DeleteCertificate ....................................................................................................................... 83DescribeCertificate .................................................................................................................... 84ExportCertificate ....................................................................................................................... 86GetCertificate ........................................................................................................................... 88ImportCertificate ........................................................................................................................ 90ListCertificates .......................................................................................................................... 92RenewCertificate ....................................................................................................................... 94ListTagsForCertificate ................................................................................................................ 95RemoveTagsFromCertificate ....................................................................................................... 96RequestCertificate ..................................................................................................................... 98ResendValidationEmail .............................................................................................................. 99

Solução de problemas ..................................................................................................................... 102Solicitações de certificado ........................................................................................................ 102

Tempo limite de solicitação .............................................................................................. 102Falha na solicitação ......................................................................................................... 102

Validação de certificado ........................................................................................................... 104Validação de DNS ........................................................................................................... 104Validação de e-mail ......................................................................................................... 107

Renovação de certificado ......................................................................................................... 109Preparar para a validação automática de domínio ................................................................ 110Tratar de falhas em renovação de certificado gerenciada ...................................................... 110

Solução de outros problemas .................................................................................................... 114Importação de certificado ................................................................................................. 114Fixação do certificado ...................................................................................................... 115API Gateway .................................................................................................................. 115

Histórico do documento .................................................................................................................... 116

Versão 1.0v

AWS Certificate Manager Guia do usuárioConceitos

O que é o AWS Certificate Manager?Bem-vindo ao serviço AWS Certificate Manager (ACM) O ACM cuida da complexidade de criar e gerenciarcertificados SSL/TLS públicos para seus sites e aplicativos baseados na AWS. Você pode usar certificadospúblicos fornecidos por ACM (p. 47) (certificados ACM) ou certificados que você importa para oACM (p. 72). Os certificados ACM podem proteger vários nomes de domínio e vários nomes dentro deum domínio. Você também pode usar o ACM para criar certificados SSL curinga que podem proteger umnúmero ilimitado de subdomínios.

O ACM é totalmente vinculado ao AWS Certificate Manager Private Certificate Authority. É possívelusar o ACM PCA para criar uma autoridade de certificação (CA) privada e usar o ACM para emitircertificados privados. Eles são certificados X.509 SSL/TLS que identificam internamente os usuários,computadores, aplicativos, serviços, servidores e outros dispositivos. Os certificados privados não podemser publicamente confiáveis. Para obter mais informações sobre o ACM PCA, consulte o Guia do usuáriodo AWS Certificate Manager Private Certificate Authority. Os certificados privados emitidos pelo ACMse parecem bastante com os certificados públicos ACM. Eles têm benefícios e restrições semelhantes.Os benefícios incluem o gerenciamento das chaves privadas associadas ao certificado, a renovação decertificados e a permissão de uso do console para implantar o certificado privado com serviços integrados.Para obter mais informações sobre as restrições associadas ao uso do ACM, consulte Solicitar umcertificado privado (p. 49). Também é possível usar o ACM para exportar um certificado privado e achave privada criptografada para serem usados em qualquer lugar. Para obter mais informações, consulteExportar um certificado privado (p. 51). Para obter informações sobre os benefícios do uso do ACMPCA como um serviço independente para emitir certificados privados, consulte a introdução no Guia dousuário do ACM PCA.

Note

Não é possível instalar certificados públicos do ACM diretamente em um site ou aplicativo. Énecessário instalá-lo usando um dos serviços integrados ao ACM e ao ACM PCA. Para obtermais informações sobre esses serviços, consulte Serviços integrados com AWS CertificateManager (p. 9).

Tópicos• Conceitos (p. 1)• Características de certificado do ACM (p. 7)• Regiões compatíveis (p. 9)• Serviços integrados com AWS Certificate Manager (p. 9)• Selos de site e logotipos de confiança (p. 11)• Cotas (p. 11)• Melhores práticas (p. 13)• Definição de preço para AWS Certificate Manager (p. 16)

ConceitosEsta seção apresenta os termos e os conceitos básicos relacionados ao AWS Certificate Manager (ACM).

Tópicos• Certificado ACM (p. 2)• CAs raiz do ACM (p. 3)• Domínio de apex (p. 4)• Criptografia de chave assimétrica (p. 4)• Autoridade certificadora (p. 4)

Versão 1.01

AWS Certificate Manager Guia do usuárioCertificado ACM

• Registro de transparência de certificados (p. 4)• Domain Name System (p. 5)• Nomes de domínio (p. 5)• Criptografia e descriptografia (p. 6)• Nome de domínio totalmente qualificado (FQDN) (p. 6)• Infraestrutura de chave pública (p. 6)• Certificado raiz (p. 6)• Secure Sockets Layer (SSL) (p. 6)• HTTPS seguro (p. 7)• Certificados do servidor SSL (p. 7)• Criptografia de chave simétrica (p. 7)• Transport Layer Security (TLS) (p. 7)• Confiança (p. 7)

Certificado ACMO ACM gera certificados X.509 versão 3. Cada um deles é válido por 13 meses e contém as extensões aseguir.

• Basic Constraints (Restrições básicas): especifica se o requerente do certificado é uma autoridade decertificação (CA).

• Authority Key Identifier (Identificador de chave da autoridade): permite a identificação da chave públicacorrespondente à chave privada usada para assinar o certificado.

• Subject Key Identifier (Identificador de chave do requerente): permite a identificação de certificados quecontenham uma chave pública específica.

• Key Usage (Uso da chave): define a finalidade da chave pública incorporada ao certificado.• Extended Key Usage (Uso da chave estendido): especifica um ou mais finalidades de uso da chave

pública além das especificadas pela extensão Key Usage (Uso da chave).• CRL Distribution Points (Pontos de distribuição do CRL): especifica onde informações do CRL podem

ser obtidas.

O texto simples de um certificado emitido pelo ACM é semelhante ao seguinte exemplo:

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:

Versão 1.02

AWS Certificate Manager Guia do usuárioCAs raiz do ACM

08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl

Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

CAs raiz do ACMOs certificados públicos de entidade final emitidos pelo ACM geram sua confiança das seguintes CAs raizda Amazon:

Nome distinto Algoritmo de criptografia

CN=Amazon Root CA 1, O=Amazon, C=US RSA de 2048 bits (RSA_2048)

CN=Amazon Root CA 2, O=Amazon, C=US RSA de 4096 bits (RSA_4096)

CN=Amazon Root CA 3, O=Amazon, C=US Elliptic Prime Curve de 256 bits (EC_prime256v1)

CN=Amazon Root CA 4, O=Amazon, C=US Elliptic Prime Curve de 384 bits (EC_secp384r1)

Versão 1.03

AWS Certificate Manager Guia do usuárioDomínio de apex

A raiz padrão de confiança para certificados emitidos pelo ACM é CN=Amazon Root CA 1, O=Amazon,C=US, que oferece segurança RSA de 2.048 bits. As outras raízes estão reservadas para uso futuro.Todas as raízes têm assinatura cruzada pelo certificado de autoridade de certificação raiz StarfieldServices.

Para obter mais informações, consulte Amazon Trust Services.

Domínio de apexConsulte Nomes de domínio (p. 5).

Criptografia de chave assimétricaAo contrário da Criptografia de chave simétrica (p. 7), a criptografia assimétrica usa chaves diferentes,mas matematicamente relacionadas, para criptografar e descriptografar o conteúdo. Uma das chavesé pública e, normalmente, é disponibilizada em um certificado X.509 v3. A outra chave é privada e ficaarmazenada em segurança. O certificado X.509 vincula a identidade de um usuário, computador ou outrorecurso (o assunto do certificado) à chave pública.

Os certificados do ACM são certificados X.509 SSL/TLS que vinculam a identidade do seu site e osdetalhes de sua organização à chave pública contida no certificado. O ACM usa a chave mestra do cliente(CMK) para criptografar a chave privada. Para obter mais informações, consulte Segurança de chaveprivada do ACM (p. 18).

Autoridade certificadoraUma autoridade certificadora (CA) é uma entidade que emite certificados digitais. Comercialmente, otipo mais comum de certificado digital é baseado no padrão ISO X.509. A CA emite certificados digitaisassinados que afirmam a identidade do certificado específico e vinculam essa identidade à chave públicacontida no certificado. Em geral, a CA também gerencia a revogação de certificados.

Registro de transparência de certificadosPara se proteger contra certificados SSL/TLS emitidos por engano ou por um CA comprometida, algunsnavegadores exigem que os certificados públicos emitidos para seu domínio sejam registrados em um logde transparência de certificados. O nome de domínio é registrado. A chave privada, não. Os certificadosnão registrados normalmente geram um erro no navegador.

É possível monitorar os logs para garantir a emissão de apenas certificados autorizados para seu domínio.É possível usar um serviço como o Certificate Search para verificar os logs.

Antes de emitir um certificado SSL/TLS publicamente confiável para seu domínio, a CA da Amazon o enviapara pelo menos dois servidores de log de transparência de certificados. Esses servidores adicionam ocertificado aos bancos de dados públicos e retornam um carimbo de tempo do certificado assinado (SCT)para a CA da Amazon. A CA incorpora o SCT no certificado, assina o certificado e emite-o para você. Oscarimbos de tempo são incluídos com outras extensões X.509.

X509v3 extensions:

CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none

Versão 1.04

AWS Certificate Manager Guia do usuárioDomain Name System

Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

O registro de transparência de certificados é automático ao solicitar ou renovar um certificado, a menosque você cancele essa opção. Para obter mais informações o cancelamento, consulte Como cancelar oregistro de transparência do certificado (p. 15).

Domain Name SystemO Domain Name System (DNS) é um sistema de nomeação distribuído hierárquico para computadorese outros recursos conectados à internet ou a uma rede privada. O DNS é usado principalmente paraconverter nomes de domínio textuais, como aws.amazon.com, em endereços IP (Internet Protocol)numéricos no formato 111.122.133.144. O banco de dados do DNS de seu domínio, no entanto,contém vários registros que podem ser usados para outros fins. Por exemplo, com o ACM você pode usarum registro CNAME para validar que possui ou controla um domínio ao solicitar um certificado. Para obtermais informações, consulte Usar DNS para validar propriedade de domínio (p. 53).

Nomes de domínioUm nome de domínio é uma string de texto, como www.example.com, que pode ser convertida peloDomain Name System (DNS) em um endereço IP. As redes de computadores, incluindo a Internet, usamendereços IP em vez de nomes textuais. Um nome de domínio consiste em diferentes rótulos separadospor pontos:

TLD

O rótulo mais à direita é chamado de domínio de nível superior (TLD). Exemplos comuns incluem .com,.net e .edu. Além disso, o TLD das entidades registradas em alguns países é uma abreviação do nomedo país e é chamado de código do país. Alguns exemplos são .uk para o Reino Unido, .ru para a Rússiae .fr para França. Quando os códigos de países são usados, uma hierarquia de segundo nível do TLDé frequentemente apresentada para identificar o tipo da entidade registrada. Por exemplo, o TLD .co.ukidentifica empresas comerciais no Reino Unido.

Domínio de apex

O nome de domínio de apex inclui e expande o domínio de nível superior. Para nomes de domínioque incluem um código de país, o domínio de apex inclui o código e os rótulos, se houver algum, queidentificam o tipo da entidade registrada. O domínio de apex não inclui subdomínios (consulte o parágrafoa seguir). Em www.example.com, o nome de domínio apex é example.com. Em www.example.co.uk,o nome de domínio de apex é example.co.uk. Outros nomes frequentemente usados em lugar de apexsão base, raiz, apex de raiz ou apex de zona.

Subdomínio

Os nomes dos subdomínios precedem o nome do domínio de apex e são separados dele, e entre si, porum período. O nome de subdomínio mais comum é www, mas qualquer nome é possível. Além disso, osnomes de subdomínios podem ter vários níveis. Por exemplo, em jake.dog.animals.example.com,os subdomínios são jake, dog e animals, nessa ordem.

FQDN

Versão 1.05

AWS Certificate Manager Guia do usuárioCriptografia e descriptografia

Um nome de domínio totalmente qualificado (FQDN) é o nome DNS completo de um computador, siteou outro recurso conectado a uma rede ou à Internet. Por exemplo, o aws.amazon.com é o FQDNpara o Amazon Web Services. Um FQDN inclui todos os domínios até o domínio de nível superior –. Porexemplo, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]representa o formato geral de um FQDN.

PQDN

Um nome de domínio que não é totalmente qualificado é chamado de nome de domínio parcialmentequalificado (PQDN), e é ambíguo. Um nome como [subdomain1.subdomain2.] é um PQDN porque odomínio raiz não pode ser determinado.

Registro

O direito de usar um nome de domínio é delegado pelos registradores de nomes de domínio. Osregistradores normalmente são credenciados pela Internet Corporation for Assigned Names and Numbers(ICANN). Além disso, outras organizações chamadas registros mantêm os bancos de dados TLD.Quando você solicita um nome de domínio, o registrador envia suas informações para o registro doTLD apropriado. O registro atribui um nome de domínio, atualiza o banco de dados TLD e publica suasinformações no WHOIS. Normalmente, os nomes de domínio devem ser adquiridos.

Criptografia e descriptografiaA criptografia é o processo de fornecer a confidencialidade dos dados. A descriptografia reverte o processoe recupera os dados originais. Os dados não criptografados normalmente são chamados de texto simplessejam ou não texto. Os dados criptografados geralmente são chamados de texto cifrado. A criptografiaHTTPS de mensagens entre clientes e servidores usa algoritmos e chaves. Os algoritmos definem oprocedimento passo a passo pelo qual dados em texto sem formatação são convertidos em texto cifrado(criptografia) e o texto cifrado é reconvertido novamente no texto simples original (descriptografia). Aschaves são usadas pelos algoritmos durante o processo de criptografia ou descriptografia. As chavespodem ser privadas ou públicas.

Nome de domínio totalmente qualificado (FQDN)Consulte Nomes de domínio (p. 5).

Infraestrutura de chave públicaUma infraestrutura de chave pública (PKI) consiste em hardware, software, pessoas, políticas, documentose procedimentos necessários para criar, emitir, gerenciar, distribuir, usar, armazenar e revogar certificadosdigitais. A PKI facilita a transferência segura de informações em redes de computadores.

Certificado raizUma autoridade certificadora (CA) normalmente existe em uma estrutura hierárquica que contém váriasoutras CAs com relacionamentos pai-filho claramente definidos entre eles. CAs subordinadas (ou filhas)são certificadas pelas CAs de seus pais, criando uma cadeia de certificados. A CA no alto da hierarquiaé chamada de CA raiz, e seu certificado é chamado de certificado raiz. Este certificado é geralmenteautoassinado.

Secure Sockets Layer (SSL)Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos de criptografia que fornecemsegurança na comunicação em uma rede de computadores. TLS é o sucessor do SSL. Ambos usamcertificados X.509 para autenticar o servidor. Os dois protocolos negociam uma chave simétrica entre ocliente e o servidor, que é usada para criptografar os dados entre as duas entidades.

Versão 1.06

AWS Certificate Manager Guia do usuárioHTTPS seguro

HTTPS seguroHTTPS significa HTTP sobre SSL/TLS, uma forma de HTTP seguro que é compatível com todos osprincipais navegadores e servidores. Todas as solicitações e respostas HTTP são criptografadas antesde serem enviadas pela rede. HTTPS combina o protocolo HTTP com técnicas de criptografia simétricas,assimétricas e baseadas em certificado X.509. HTTPS funciona inserindo uma camada de segurançade criptografia abaixo da camada de aplicativos HTTP e acima da camada de transporte TCP no modeloOpen Systems Interconnection (OSI). A camada de segurança usa o protocolo Secure Sockets Layer(SSL) ou o protocolo de Transport Layer Security (TLS).

Certificados do servidor SSLAs transações HTTPS exigem certificados de servidor para autenticar um servidor. Um certificado deservidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto docertificado. Um certificado SSL/TLS é assinado por uma autoridade certificadora (CA) e contém o nome doservidor, o período de validade, a chave pública, o algoritmo de assinatura e mais.

Criptografia de chave simétricaA criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar dados digitais.Consulte também Criptografia de chave assimétrica (p. 4).

Transport Layer Security (TLS)Consulte Secure Sockets Layer (SSL) (p. 6).

ConfiançaPara que um navegador da web confie na identidade de um site, o navegador deve ser capaz de verificaro certificado do site. Os navegadores, no entanto, confiam em apenas um pequeno número de certificadosconhecidos como certificados CA raiz. Um terceiro confiável, conhecido como uma autoridade certificadora(CA), valida a identidade do site e emite um certificado digital assinado para o operador do site. Onavegador pode, então, verificar a assinatura digital para validar a identidade do site. Se a validação forbem-sucedida, o navegador exibe um ícone de cadeado na barra de endereços.

Características de certificado do ACMOs certificados públicos fornecidos pelo ACM têm as características descritas nesta seção.

Note

Essas características se aplicam apenas aos certificados fornecidos pelo ACM. Elas podem nãose aplicar aos certificados que você importar para o ACM (p. 72).

Validação de domínio (DV)

Os certificados do ACM têm validação de domínio. Ou seja, o campo de assunto de um certificadodo ACM identifica um nome de domínio e nada mais. Ao solicitar um certificado do ACM, você devevalidar que possui ou controla todos os domínios especificados na solicitação. Você pode validar apropriedade usando e-mail ou DNS. Para obter mais informações, consulte Usar o e-mail para validara propriedade do domínio (p. 57) e Usar DNS para validar propriedade de domínio (p. 53).

Período de validade

No momento, o período de validade para os certificados do ACM é de 13 meses.

Versão 1.07

AWS Certificate Manager Guia do usuárioCaracterísticas de certificado do ACM

Renovação e implantação gerenciadas

O ACM gerencia o processo de renovação de certificados do ACM e de provisionamento doscertificados após serem renovados. A renovação automática pode ajudá-lo a evitar tempo deinatividade devido a certificados configurados incorretamente, revogados ou expirados. Paraobter mais informações, consulte Renovação gerenciada para certificados do ACM emitidos pelaAmazon (p. 66).

Confiança de navegadores e aplicativos

Todos os principais navegadores, incluindo Google Chrome, Microsoft Internet Explorer e MicrosoftEdge, Mozilla Firefox e Apple Safari confiam nos certificados do ACM. Os navegadores que confiamnos certificados do ACM exibem um ícone de cadeado na barra de status ou na barra de endereçosquando conectados por SSL/TLS a sites que usam os certificados do ACM. O Java também confia noscertificados do ACM.

Vários nomes de domínio

Cada certificado do ACM deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN),e você poderá adicionar mais nomes se quiser. Por exemplo, quando estiver criando um certificadodo ACM para www.example.com, você também poderá adicionar o nome www.example.net se osclientes puderem acessar seu site usando qualquer um dos nomes. Isso também é verdadeiro paradomínios vazios (também conhecidos como o apex de zona ou domínios nus). Ou seja, você podesolicitar um certificado do ACM para www.example.com e adicionar o nome example.com. Para obtermais informações, consulte Solicitar um certificado público (p. 47).

Nomes curinga

O ACM permite que você use um asterisco (*) no nome de domínio para criar um certificado doACM contendo um nome curinga que pode proteger vários sites no mesmo domínio. Por exemplo,*.example.com protege www.example.com e images.example.com.

Note

Quando você solicita um certificado curinga, o asterisco (*) deve estar na posição mais àesquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,o *.example.com pode proteger login.example.com e test.example.com masnão consegue proteger test.login.example.com. Note também que *.example.comprotege apenas os subdomínios de example.com, ele não protege o domínio vazio ouapex (example.com). No entanto, você pode solicitar um certificado que proteja um domíniovazio ou apex ou seus subdomínios, especificando vários nomes de domínio em suasolicitação. Por exemplo, você pode solicitar um certificado que proteja example.com e*.example.com.

Algoritmos

Um certificado deve especificar um algoritmo e um tamanho de chave. Atualmente, os seguintesalgoritmos de chave pública oferecem suporte ao ACM:• RSA de 2048 bits (RSA_2048)• RSA de 4096 bits (RSA_4096)• Elliptic Prime Curve de 256 bits (EC_prime256v1)• Elliptic Prime Curve de 384 bits (EC_secp384r1)

Important

Observe que os serviços integrados permitem apenas que sejam associados aos recursos osalgoritmos e os tamanhos de chaves compatíveis. Além disso, o suporte será diferente se ocertificado for importado para o IAM ou para o ACM. Para obter mais informações, consulte adocumentação da para cada serviço.• Para o Elastic Load Balancing, consulte Listeners HTTPS para seu Application Load

Balancer.• Para o CloudFront, consulte Cifras e protocolos SSL/TLS com suporte.

Versão 1.08

AWS Certificate Manager Guia do usuárioRegiões compatíveis

Exceções

Observe o seguinte:• O ACM não fornece certificados de validação estendida (EV) certificados nem certificados de

validação de organização (OV).• O ACM não fornece certificados para outros itens que não sejam o protocolos SSL/TLS.• Não é possível usar certificados do ACM para criptografia de e-mail.• O ACM permite somente ASCII codificado em UTF-8 para os nomes de domínio, incluindo rótulos

que contêm "xn-" (Punycode). O ACM não aceita entrada Unicode (rótulos u) para nomes dedomínio.

• No momento, o ACM não permite que você cancele a opção de renovação de certificadosgerenciados (p. 66) para certificados do ACM. Além disso, a renovação gerenciada não estádisponível para certificados importados no ACM.

• Você não pode solicitar certificados para nomes de domínio pertencentes à Amazon, como aquelesque terminam em amazonaws.com, cloudfront.net ou elasticbeanstalk.com.

• Você não pode fazer download da chave privada para um certificado do ACM.• Você não pode instalar diretamente certificados do ACM no seu site ou aplicativo Amazon Elastic

Compute Cloud (Amazon EC2). No entanto, você pode usar o certificado com qualquer serviçointegrado. Para obter mais informações, consulte Serviços integrados com AWS CertificateManager (p. 9).

Regiões compatíveisAcesse Regiões e endpoints da AWS em AWS General Reference ou na Tabela de regiões da AWS paraver a disponibilidade regional do ACM.

Os certificados no ACM são recursos regionais. Para usar um certificado com Elastic Load Balancing parao mesmo nome de domínio totalmente qualificado (FQDN) ou conjunto de FQDNs em mais de uma regiãoda AWS, você deve solicitar ou importar um certificado para cada região. Para certificados fornecidos peloACM, isso significa que você deve revalidar cada nome de domínio no certificado para cada região. Vocênão pode copiar um certificado entre as regiões.

Para usar um certificado do ACM com o Amazon CloudFront, você deve solicitar ou importar o certificadona região Leste dos EUA (Norte da Virgínia). Os certificados do ACM nessa região que estiveremassociados a uma distribuição do CloudFront serão distribuídos em todas as localizações geográficasconfiguradas para essa distribuição.

Serviços integrados com AWS Certificate ManagerO AWS Certificate Manager oferece suporte a um número crescente de serviços da AWS. Não é possívelinstalar o certificado do ACM ou certificado privado do ACM PCA diretamente no seu site ou aplicativobaseado na AWS. Você deve usar um dos serviços a seguir.

Elastic Load Balancing

O Elastic Load Balancing distribui automaticamente o tráfego de entrada de seu aplicativo emvárias instâncias do Amazon EC2. Ele detecta instâncias não íntegras e redireciona o tráfegoautomaticamente para instâncias íntegras até que as instâncias não íntegras sejam restauradas. OElastic Load Balancing escalona automaticamente sua capacidade de processamento de solicitaçõesem resposta ao tráfego de entrada. Para obter mais informações sobre balanceamento de carga,consulte o Guia do usuário do Elastic Load Balancing.

Em geral, para atender conteúdo protegido por SSL/TLS, os load balancers exigem que certificadosSSL/TLS sejam instalados ou no load balancer ou na instância do Amazon EC2 de back-end. O ACM

Versão 1.09

AWS Certificate Manager Guia do usuárioServiços integrados

é integrado ao Elastic Load Balancing para implantar certificados ACM no load balancer. Para obtermais informações, consulte Criar um Application Load Balancer.

Amazon CloudFront

O Amazon CloudFront é um serviço da web que agiliza a distribuição do seu conteúdo web estático edinâmico para usuários finais ao fornecer seu conteúdo de uma rede global de pontos de presença.Quando um usuário final solicita um conteúdo que você está servindo por meio do CloudFront, ousuário é direcionado ao ponto de presença com a menor latência. Isso garante que o conteúdo sejadistribuído com o melhor desempenho possível. Se o conteúdo estiver naquele ponto de presença,o CloudFront o entrega imediatamente. Se o conteúdo ainda não estiver naquele ponto de presença,o CloudFront o recupera do bucket do Amazon S3 ou do servidor da web que você identificou comofonte de conteúdo definitiva. Para obter mais informações sobre o CloudFront, consulte o Guia dodesenvolvedor do Amazon CloudFront.

Para atender conteúdo protegido sobre SSL/TLS, o CloudFront exige que certificados SSL/TLSsejam instalados na distribuição do CloudFront ou na fonte de conteúdo do back-end. O ACM éintegrado ao CloudFront para implantar certificados ACM na distribuição do CloudFront. Para obtermais informações, consulte Obter um certificado do SSL/TLS.

Note

Para usar um certificado do ACM com o CloudFront, é necessário solicitá-lo ou importá-lo naregião Leste dos EUA (Norte da Virgínia).

AWS Elastic Beanstalk

O Elastic Beanstalk ajuda você a implantar e gerenciar aplicativos na nuvem da AWS sem sepreocupar com a infraestrutura na qual esses aplicativos são executados. O AWS Elastic Beanstalkreduz a complexidade do gerenciamento. Basta fazer upload do aplicativo, e o Elastic Beanstalkgerencia automaticamente os detalhes de provisionamento da capacidade, balanceamento de carga,escalabilidade e monitoramento de integridade do aplicativo. O Elastic Beanstalk usa o serviço ElasticLoad Balancing para criar um load balancer. Para obter mais informações sobre o Elastic Beanstalk,consulte o Guia do desenvolvedor do AWS Elastic Beanstalk.

Para escolher um certificado, você deve configurar o load balancer para seu aplicativo no consoledo Elastic Beanstalk. Para obter mais informações, consulte Como configurar o ambiente do loadbalancer do Elastic Beanstalk para encerrar o HTTPS.

Amazon API Gateway

Com a proliferação de dispositivos móveis e o crescimento da Internet das Coisas (IoT), tornou-se cada vez mais comum criar APIs que podem ser usadas para acessar dados e interagir comsistemas de back-end na AWS. Você pode usar o API Gateway para publicar, manter, monitorar eproteger suas APIs. Após implantar a API no API Gateway, você pode configurar um nome de domíniopersonalizado para simplificar o acesso a ela. Para configurar um nome de domínio personalizado,você deve fornecer um certificado SSL/TLS. Você pode usar o ACM para gerar ou importar ocertificado.

AWS CloudFormation

O AWS CloudFormation ajuda você a modelar e configurar os recursos do Amazon Web Services.Você cria um modelo que descreve os recursos da AWS que deseja usar, como o Elastic LoadBalancing ou API Gateway. Em seguida, o AWS CloudFormation se encarrega de provisionar econfigurar esses recursos para você. Você não precisa criar individualmente e configurar recursos daAWS e adivinhar o que depende do quê; O AWS CloudFormation cuida de tudo isso. Os certificadosdo ACM são incluídos como modelo de recurso, ou seja, o AWS CloudFormation pode solicitarcertificados do ACM que podem ser usados com os serviços da AWS para permitir conexõesseguras. Para obter mais informações, consulte AWS::CertificateManager::Certificado. Além disso,os certificados do ACM são incluídos em vários recursos da AWS que podem ser configurados com oAWS CloudFormation.

Versão 1.010

AWS Certificate Manager Guia do usuárioSelos de site e logotipos de confiança

Note

Se você criar um certificado do ACM com o AWS CloudFormation, a pilha do AWSCloudFormation continuará no estado CREATE_IN_PROGRESS. Todas as outras operaçõesde stack são atrasadas até que você aja de acordo com as instruções no e-mail de validaçãodo certificado. Para obter mais informações, consulte Falha de recurso em estabilizar duranteuma operação de criar, atualizar ou excluir stack.

Selos de site e logotipos de confiançaA Amazon não fornece um selo de site nem permite que sua marca comercial seja usada dessa forma:

• O AWS Certificate Manager (ACM) não fornece um selo de site seguro que você possa usar no seu site.Se quiser usar um selo de site, você obter um com um terceiro fornecedor. Recomendamos escolher umfornecedor que avalie e garanta a segurança de seu site ou práticas comerciais.

• A Amazon não permite que sua marca comercial ou logotipo sejam usados como uma etiqueta decertificado, selo de site ou logotipo de confiança. Selos e etiquetas deste tipo podem ser copiados parasites que não usam o serviço do ACM e podem ser usados de modo inadequado para estabelecerconfiança sob pretensões falsas. Para proteger nossos clientes e a reputação da Amazon, nãopermitimos que nossa marca comercial e logotipo sejam usados dessa forma.

CotasAs cotas de serviço do AWS Certificate Manager (ACM) a seguir se aplicam a cada região da AWS paracada conta da AWS. Para solicitar aumentos de cota, abra um caso no AWS Support Center.

Note

As novas contas da AWS poderão começar com cotas mais baixas do que as descritas aqui. Sevocê atingir inesperadamente uma cota em uma nova conta, registre isso no AWS Support Centercomo uma solicitação de aumento de cota.

Cotas gerais

Item Cota padrão

Número de certificados do ACM

As novas contas da AWS podem começar comuma cota inferior à máxima.

1000

Número de certificados do ACM por ano (últimos365 dias)

É possível solicitar até duas vezes a cota decertificados do ACM por ano, por região e porconta. Por exemplo, se a cota for 1.000, vocêpoderá solicitar até 2.000 certificados do ACMpor ano em uma região e uma conta específicas.Você pode ter apenas 1.000 certificados emum determinado momento. Para solicitar 2.000certificados em um ano, você deverá excluir1.000 durante o ano para ficar dentro da cota. Seprecisar de mais de 1.000 certificados a qualquer

Duas vezes a cota da sua conta

Versão 1.011

AWS Certificate Manager Guia do usuárioCotas gerais

Item Cota padrãomomento, entre em contato com o AWS SupportCenter.

Número de certificados importados 1000

Número de certificados importados por ano(últimos 365 dias)

Duas vezes a cota da sua conta

Número de nomes de domínio por certificado doACM

A cota padrão é 10 nomes de domínio para cadacertificado do ACM. Sua cota pode ser maior.

O primeiro nome de domínio que você envia éincluído como o nome comum (CN) do assuntodo certificado. Todos os nomes são incluídos naextensão nome de assunto alternativo.

Você pode solicitar até 100 nomes de domínio.Para solicitar um aumento da sua cota, abraum caso no AWS Support Center. No entanto,antes de abrir um caso, entenda como a adiçãode nomes de domínio pode criar mais trabalhoadministrativo quando você usa a validação dee-mail. Para obter mais informações, consulteValidação de domínio (p. 14).

A cota para o número de nomes de domíniopor certificado do ACM se aplica apenas aoscertificados fornecidos pelo ACM. Essa cota não seaplica aos certificados importados para o ACM. Asseções a seguir se aplicam apenas aos certificadosdo ACM.

10

Número de CAs privadas

O ACM é integrado ao AWS Certificate ManagerPrivate Certificate Authority (ACM Private CA).É possível usar o console do ACM, a AWS CLIou a API do ACM para solicitar certificadosprivados de uma autoridade de certificação(CA) privada hospedada pelo ACM Private CA.Esses certificados são gerenciados no ambientedo ACM e têm as mesmas restrições que oscertificados públicos emitidos pelo ACM. Paraobter mais informações, consulte Solicitar umcertificado privado (p. 49). Também é possívelemitir certificados privadas usando o serviçoindependente do ACM PCA. Para obter maisinformações, consulte Emitir um certificado privadode entidade final.Uma CA privada que tenha sido excluídaserá contabilizada em sua cota até o final deseu período de restauração. Para obter maisinformações, consulte Excluir a CA privada.

10

Versão 1.012

AWS Certificate Manager Guia do usuárioCotas de taxa de API

Item Cota padrão

Número de certificados privados por CA (vida útil) 1.000.000

Cotas de taxa de APIAs cotas a seguir se aplicam à API do ACM para cada região e conta. O ACM limita as solicitações deAPI com cotas diferentes, dependendo da operação de API. A limitação significa que o ACM rejeita umasolicitação que seria válida porque ela excede a cota da operação para o número de solicitações porsegundo. Quando uma solicitação é limitada, o ACM retorna um erro ThrottlingException. A tabela aseguir lista cada operação de API e a cota com a qual o ACM limita solicitações para essa operação.

Cota de solicitações por segundo para cada operação de API do ACM

Chamada de API Solicitações por segundo

AddTagsToCertificate 5

DeleteCertificate 10

DescribeCertificate 10

ExportCertificate 5

ImportCertificate 1

ListCertificates 5

ListTagsForCertificate 10

RemoveTagsFromCertificate 5

RequestCertificate 5

ResendValidationEmail 1

Para obter mais informações, consulte Referência de API do AWS Certificate Manager.

Melhores práticasMelhores práticas são recomendações que podem ajudá-lo a usar o AWS Certificate Manager (AWSCertificate Manager) de forma mais eficaz. As melhores práticas a seguir são baseadas em experiênciareal de clientes atuais do ACM.

Tópicos• AWS CloudFormation (p. 14)• Fixação do certificado (p. 14)• Validação de domínio (p. 14)• Adicionar ou excluir nomes de domínio (p. 15)• Como cancelar o registro de transparência do certificado (p. 15)• Ativar o AWS CloudTrail (p. 16)

Versão 1.013

AWS Certificate Manager Guia do usuárioAWS CloudFormation

AWS CloudFormationCom o AWS CloudFormation você pode criar um modelo que descreva os recursos do AWS que vocêdeseja usar. Em seguida, o AWS CloudFormation provisiona e configura esses recursos para você.O AWS CloudFormation pode provisionar recursos que tenham suporte do ACM, como Elastic LoadBalancing, Amazon CloudFront e Amazon API Gateway. Para obter mais informações, consulte Serviçosintegrados com AWS Certificate Manager (p. 9).

Se você usar o AWS CloudFormation para criar e excluir rapidamente vários ambientes de teste,recomendamos que não crie um certificado do ACM separado para cada ambiente. Se fizer isso, vocêesgotará rapidamente sua cota de certificados. Para obter mais informações, consulte Cotas (p. 11).Em vez disso, crie um certificado curinga que abranja todos os nomes de domínio que você estiver usandopara testes. Por exemplo, se você for criar repetidamente certificados do ACM para nomes de domínioque variam em apenas um número de versão, como <version>.service.example.com, crie um únicocertificado curinga para <*>.service.example.com. Inclua o certificado curinga no modelo que o AWSCloudFormation usa para criar seu ambiente de teste.

Fixação do certificadoA fixação do certificado, também conhecido como fixação SSL, é um processo que você pode usar emseu aplicativo para validar um host remoto ao associar esse host diretamente com seu certificado X.509ou chave pública em vez de com uma hierarquia de certificado. O aplicativo, portanto, usa a associaçãopara contornar a validação da cadeia de certificados SSL/TLS. O processo típico de validação do SSLverifica as assinaturas em toda a cadeia de certificados, do certificado da autoridade de certificação (CA)raiz até os certificados da CA subordinada, se houver. Ele também verifica o certificado do host remotona parte inferior da hierarquia. O aplicativo pode, em vez disso, fazer a fixação do certificado para o hostremoto, para informar que apenas esse é um certificado confiável e não o certificado raiz ou qualquer outrona cadeia. Você pode adicionar o certificado do host remoto ou a chave pública a seu aplicativo durante odesenvolvimento. Como alternativa, o aplicativo pode adicionar o certificado ou a chave quando se conectaao host pela primeira vez.

Warning

Recomendamos que seu aplicativo não fixe um certificado do ACM. O ACM executaRenovação gerenciada para certificados do ACM emitidos pela Amazon (p. 66) para renovarautomaticamente seus certificados SSL/TLS emitidos pela Amazon antes que eles expirem. Pararenovar um certificado, o ACM gera um novo par de chaves públicas/privadas. Se o seu aplicativofixar o certificado do ACM e o certificado for renovado com sucesso com uma nova chave pública,o aplicativo talvez não consiga se conectar ao seu domínio.

Se você decidir fazer a fixação de um certificado, as opções a seguir não impedirão que o aplicativo seconecte ao seu domínio:

• Importe o próprio certificado para o ACM e, em seguida, fixe seu aplicativo no certificado importado. OACM não tenta renovar automaticamente certificados importados.

• Se você estiver usando um certificado público, fixe o aplicativo a todos os certificados raiz da Amazondisponíveis. Se você estiver usando um certificado privado, fixe o aplicativo ao certificado raiz da CA.

Validação de domínioPara que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWSCertificate Manager (ACM) deve verificar se você possui ou controla todos os domínios especificados nasolicitação. Você pode executar uma verificação usando o e-mail ou o DNS. Para obter mais informações,consulte Usar DNS para validar propriedade de domínio (p. 53) e Usar o e-mail para validar apropriedade do domínio (p. 57).

Versão 1.014

AWS Certificate Manager Guia do usuárioAdicionar ou excluir nomes de domínio

Adicionar ou excluir nomes de domínioVocê não pode adicionar nem remover nomes de domínio de um certificado do ACM existente. Em vezdisso, você deve solicitar um novo certificado com a lista revisada de nomes de domínio. Por exemplo,se seu certificado tiver cinco nomes de domínio e você desejar adicionar mais quatro, deverá solicitar umnovo certificado com todos os nove nomes de domínio. Assim como com qualquer novo certificado, vocêdeve validar a propriedade de todos os nomes de domínio na solicitação, incluindo nomes previamentevalidados no certificado original.

Se usar a validação de e-mail, você receberá até oito mensagens de e-mail de validação para cadadomínio, e pelo menos uma delas deverá ser respondida em 72 horas. Por exemplo, quando solicita umcertificado com cinco nomes de domínio, você recebe até 40 mensagens de e-mail de validação, e pelomenos cinco delas devem ser respondidas em 72 horas. À medida que o número de nomes de domínio nasolicitação de certificado aumenta, o trabalho necessário para validar a propriedade dos domínios por e-mail também aumenta.

Se, em vez disso, você usar validação DNS, deverá gravar um novo registro DNS no banco de dadospara o FQDN que você deseja validar. O ACM enviará o registro a ser criado e, posteriormente, consultaráo banco de dados para determinar se o registro foi adicionado. A adição do registro confirma que vocêpossui ou controla o domínio. No exemplo anterior, ao solicitar um certificado com cinco nomes dedomínio, você deve criar cinco registros de DNS. Recomendamos usar a validação de DNS, quandopossível.

Como cancelar o registro de transparência docertificado

Important

Independentemente das ações executadas para excluir o registro em log de transparênciade certificado, seu certificado ainda pode ser registrado por qualquer cliente ou indivíduo quetenha acesso ao endpoint público ou privado ao qual você associa o certificado. No entanto, ocertificado não contem um timestamp de certificado assinado (SCT). Apenas a CA emissora podeincorporar um SCT em um certificado.

Desde 30 de abril de 2018, o Google Chrome não confia mais em certificados SSL/TLS públicos nãoregistrados em um log de transparência de certificados. Portanto, desde 24 de abril de 2018, a CA daAmazon começou a publicar todos os novos certificados e as renovações em pelo menos dois logspúblicos. Após o registro de um certificado, ele não pode ser removido. Para obter mais informações,consulte Registro de transparência de certificados (p. 4).

O registro é realizada automaticamente ao solicitar um certificado ou quando ele é renovado, mas épossível cancelar essa opção. Os motivos comuns para essa escolha incluem preocupações sobresegurança e privacidade. Por exemplo, o registro de nomes de domínio internos do host fornece apossíveis invasores informações sobre redes internas não seriam públicas de outra forma. Além disso,podem vazar nomes de produtos e sites novos ou ainda não lançados.

Para cancelar o registro de transparência ao solicitar um certificado, use o parâmetro Options do comandorequest-certificate da AWS CLIou a API RequestCertificate.

Caso seu certificado tenha sido emitido antes de 24 de abril de 2018 e você quiser ter certeza de que elenão esteja registrado durante a renovação, chame o comando update-certificate-options ou a APIUpdateCertificateOptions para cancelar.

Após o registro de um certificado, ele não pode ser removido do log. O cancelamento depois disso não teráefeito. Se você cancelar o registro ao solicitar um certificado e depois optar por incluí-lo novamente, seucertificado não será registrada enquanto não for renovado. Se você quiser que o certificado seja registradoimediatamente, recomendamos que emita um novo.

Versão 1.015

AWS Certificate Manager Guia do usuárioAtivar o AWS CloudTrail

Note

No momento, não é possível usar o console para cancelar ou ativar o registro de transparência.

O exemplo a seguir mostra como usar o comando request-certificate para desabilitar a transparência docertificado ao solicitar um novo certificado.

aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--options CertificateTransparencyLoggingPreference=DISABLED \--idempotency-token 184627

O comando anterior gera o ARN do seu novo certificado.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Se você já tiver um certificado e não quiser que ele esteja registrado quando for renovado, use o comandoupdate-certificate-options. Esse comando não retorna um valor.

aws acm update-certificate-options \--certificate-arn arn:aws:acm:region:account:\certificate/12345678-1234-1234-1234-123456789012 \--options CertificateTransparencyLoggingPreference=DISABLED

Ativar o AWS CloudTrailAtive o registro em log CloudTrail antes de começar a usar o ACM. O CloudTrail permite monitorarsuas implantações da AWS recuperando um histórico de chamadas à API da AWS para sua conta,inclusive aquelas feitas por meio do Console de Gerenciamento da AWS, pelos SDKs da AWS, pelaAWS Command Line Interface e pelos serviços de alto nível da AWS. Você também pode identificarquais usuários e contas chamaram as APIs do ACM, o endereço IP de origem do qual as chamadasforam feitas e quando elas ocorreram. Você pode integrar o CloudTrail a aplicativos usando a API,automatizar a criação de trilhas para a sua organização, verificar o status das suas trilhas e controlar comoos administradores ativam e desativam o registro do CloudTrail. Para obter mais informações, consulteCriação de uma trilha. Vá para Usar o CloudTrail com o AWS Certificate Manager (p. 27) para ver trilhasde exemplo para ações do ACM.

Definição de preço para AWS Certificate ManagerVocê não está sujeito a uma cobrança adicional para certificados SSL/TLS que gerencia com o AWSCertificate Manager. Você paga apenas pelos recursos da AWS que criar para executar seu site ouaplicativo. Para as informações mais recentes sobre a definição de preços do ACM, consulte a páginaDefinição de preços do AWS Certificate Manager no site AWS.

Versão 1.016

AWS Certificate Manager Guia do usuárioProteção de dados

Segurança no AWS CertificateManager

A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde datacenters e arquiteturas de rede criados para atender aos requisitos das empresas com as maioresexigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isso como segurança da nuvem e segurança na nuvem:

• Segurança da nuvem – A AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como partedos Programas de conformidade da AWS. Para saber mais sobre os programas de conformidadeque se aplicam ao AWS Certificate Manager, consulte Serviços da AWS no escopo por programa deconformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos dasua empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada aousar o AWS Certificate Manager (ACM). Os tópicos a seguir mostram como configurar o ACM para atenderaos seus objetivos de segurança e conformidade. Você também aprende como usar outros serviços daAWS que ajudam a monitorar e proteger os recursos do ACM.

Tópicos• Proteção de dados no AWS Certificate Manager (p. 17)• Identity and Access Management para AWS Certificate Manager (p. 19)• Registro em log e monitoramento do AWS Certificate Manager (p. 27)• Resiliência no AWS Certificate Manager (p. 40)• Segurança da infraestrutura no AWS Certificate Manager (p. 40)

Proteção de dados no AWS Certificate ManagerO AWS Certificate Manager (ACM) está em conformidade com o modelo de responsabilidadecompartilhada da AWS, que inclui regulamentos e diretrizes de proteção de dados. A AWS é responsávelpor proteger a infraestrutura global que executa todos os serviços da AWS. A AWS mantém controle sobreos dados hospedados nessa infraestrutura, incluindo os controles de configuração de segurança paralidar com o conteúdo e os dados pessoais do cliente. Os clientes da AWS e os parceiros do APN, queatuam como controladores ou processadores de dados, são responsáveis por todos os dados pessoaisque colocam na Nuvem AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da sua conta da AWSe configure contas de usuário individuais com o AWS Identity and Access Management (IAM), de modo

Versão 1.017

AWS Certificate Manager Guia do usuárioSegurança de chave privada do ACM

que cada usuário receba somente as permissões necessárias para cumprir suas funções. Recomendamostambém que você proteja seus dados das seguintes formas:

• Use uma autenticação multifator (MFA) com cada conta.• Use SSL/TLS para se comunicar com os recursos da AWS.

• Configure a API e o registro em log das atividades do usuário com o AWS CloudTrail.• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos

serviços da AWS.• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e

proteger dados pessoais que são armazenados no Amazon S3.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, comonúmeros de conta dos seus clientes, em campos de formato livre, como um campo Name (Nome). Issoinclui quando você trabalhar com o ACM ou outros serviços da AWS usando o console, a API, a AWSCLI ou os AWS SDKs. Todos os dados inseridos por você no ACM ou em outros serviços podem serseparados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não incluainformações de credenciais no URL para validar a solicitação a esse servidor.

Para obter mais informações sobre proteção de dados, consulte a publicação AWS Shared ResponsibilityModel and GDPR (Modelo de responsabilidade compartilhada da AWS e GDPR) no Blog de segurança daAWS.

Segurança de chave privada do ACMQuando você solicita um certificado público (p. 47), o AWS Certificate Manager (ACM) gera um par dechaves públicas/privadas. Para certificados importados (p. 72), você gera o par de chaves. A chavepública se torna parte do certificado. O ACM armazena o certificado e sua chave privada correspondentee usa o AWS Key Management Service (AWS KMS) para ajudar a proteger a chave privada. O processofunciona deste modo:

1. Na primeira vez que você solicitar ou importar um certificado em uma região da AWS, o ACM criará umachave mestra de cliente gerenciada pela AWS (CMK) no AWS KMS com o alias aws/acm. Essa CMK éexclusiva em cada conta da AWS e em cada região da AWS.

2. O ACM usa essa CMK para criptografar a chave privada do certificado. O ACM armazena apenasuma versão criptografada da chave privada; o ACM não armazena a chave privada em texto nãocriptografado. O ACM usa a mesma CMK para criptografar as chaves privadas para todos oscertificados em uma conta da AWS e em uma região da AWS específicas.

3. Quando você associa o certificado com um serviço que está integrado com o AWS CertificateManager, o ACM envia o certificado e a chave privada criptografada para o serviço. Você também criaimplicitamente uma concessão em AWS KMS que permite que o serviço use o CMK em AWS KMSpara descriptografar a chave privada do certificado. Para obter mais informações sobre concessões,consulte Como usar concessões no AWS Key Management Service Developer Guide. Para obter maisinformações sobre serviços com suporte do ACM, consulte Serviços integrados com AWS CertificateManager (p. 9).

4. Os serviços integrados usam o CMK em AWS KMS para descriptografar a chave privada. Em seguida,o serviço usa o certificado e a chave privada descriptografada (texto sem formatação) para estabelecercanais de comunicação segura (sessões SSL/TLS) com seus clientes.

5. Quando o certificado é desassociado de um serviço integrado, a concessão criada na etapa 3 ébaixada. Isso significa que o serviço não pode mais usar o CMK em AWS KMS para descriptografar achave privada do certificado.

6. As chaves privadas são armazenadas em módulos de segurança de hardware (HSMs) gerenciados pelaAWS. Estes aderem aos padrões de segurança FIPS 140-2 nível 3.

Versão 1.018

AWS Certificate Manager Guia do usuárioIdentity and Access Management

Identity and Access Management para AWSCertificate Manager

O acesso ao AWS Certificate Manager (ACM) requer credenciais que a AWS pode usar para autenticarsuas solicitações. Os tópicos a seguir fornecem detalhes sobre como você pode usar o AWS Identityand Access Management (IAM) para ajudar a proteger suas autoridades de certificado (CAs) privadascontrolando quem pode acessá-las.

AutenticaçãoVocê pode acessar a AWS como alguns dos seguintes tipos de identidade:

• Usuário raiz da conta da AWS – Ao criar uma conta da AWS, você começa com uma única identidadede login que tenha acesso total a todos os recursos e serviços da AWS na conta. Essa identidade échamada de AWS da conta da usuário raiz e é acessada pelo login com o endereço de e-mail e a senhaque você usou para criar a conta. Recomendamos que não use o usuário raiz para suas tarefas diárias,nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somentepara criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança euse-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços.

• Usuário do IAM – um usuário do IAM é uma identidade na sua conta da AWS que tem permissõespersonalizadas específicas (por exemplo, para criar a directory no ACM). Você pode usar uma senha eum nome do usuário do IAM para fazer login em páginas da web seguras da AWS como o Console degerenciamento da AWS, os Fóruns de discussão da AWS ou o AWS Support Center.

 

Além de um nome e uma senha de usuário, você também pode gerar chaves de acesso para cadausuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja comum dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e deCLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você nãoutilizar ferramentas da AWS, cadastre a solicitação você mesmo. ACM supports Signature versão 4, umprotocolo para autenticar solicitações de API de entrada. Para mais informações sobre a autenticação desolicitações, consulte Processo de cadastramento do Signature versão 4 na AWS General Reference.

 • As funções IAM – Uma função do IAM é uma identidade do IAM que você pode criar em sua conta que

tenha permissões específicas. Uma função do IAM é semelhante a um usuário do IAM, pois é umaidentidade da AWS com políticas de permissão que determinam o que a identidade pode e não podefazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar. Além disso, uma função não tem credenciais delongo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quandovocê assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão defunção. IAM com credenciais temporárias são úteis nas seguintes situações:

 • Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades

existentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função aum usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Paraobter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia dousuário do IAM.

 

Versão 1.019

AWS Certificate Manager Guia do usuárioControle de acesso

• Acesso ao serviço da AWS – Uma função de serviço é uma função do IAM que um serviço assumepara realizar ações em seu nome na sua conta. Ao configurar alguns ambientes de serviço da AWS,você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todasas permissões necessárias para o serviço acessar os recursos da AWS de que precisa. As funçõesde serviço variam de acordo com o serviço, mas muitas permitem que você escolha as permissões,desde que atenda aos requisitos documentados para esse serviço. As funções de serviço fornecemacesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços emoutras contas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, vocêpode criar uma função que permita que Amazon Redshift acesse um bucket do Amazon S3 em seunome e carregue dados desse bucket em um cluster Amazon Redshift. Para obter mais informações,consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

 • Execução de aplicativos no Amazon EC2 – Você pode usar uma função do IAM para gerenciar

credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para mais informações, consulte Uso de uma função do IAM paraconceder permissões aos aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuáriodo IAM.

Controle de acessoVocê pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha permissões,você não pode criar nem acessar recursos do AWS Certificate Manager. Por exemplo, você deve terpermissão para criar, importar, recuperar ou relacionar certificados.

Os tópicos a seguir descrevem como gerenciar permissões. Recomendamos que você leia a visão geralprimeiro.

• Visão geral do gerenciamento de acesso para seus recursos do ACM (p. 20)• políticas gerenciadas pela AWS (p. 22)• Políticas gerenciadas pelo cliente (p. 23)• Políticas em linha (p. 23)• Permissões da API do ACM: referência de ações e recursos (p. 26)

Visão geral do gerenciamento de acesso para seusrecursos do ACMCada recurso do AWS Certificate Manager (ACM) pertence a uma conta da AWS, e as permissões paracriar ou acessar os recursos são definidas nas políticas de permissões nessa conta. Um administradorde conta pode associar políticas de permissões a identidades IAM (ou seja, usuários, grupos e funções).Alguns serviços (incluindo o ACM) também oferecem suporte à anexação de políticas de permissões aosrecursos.

Note

O administrador de uma conta (ou o usuário administrador) é um usuário com permissõesde administrador. Para obter mais informações, consulte Criação de um grupo e usuárioadministrador no Guia do usuário do IAM.

Versão 1.020

AWS Certificate Manager Guia do usuárioVisão geral do gerenciamento de acesso

Ao gerenciar permissões, você decide quem recebe as permissões, os recursos para os quais eles obtêmpermissões e as ações específicas permitidas.

Tópicos• Recursos e operações do ACM (p. 21)• Entender a propriedade de recursos (p. 21)• Gerenciar acesso a certificados do ACM (p. 21)

Recursos e operações do ACMNo ACM, o principal recurso é um certificado. Os certificados têm nomes de recurso da Amazon (ARNs)exclusivos associados, conforme mostrado na lista a seguir.

• Certificado ACM

Formato ARN:

arn:aws:acm:AWS region:AWS account ID:certificate/Certificate ID

Exemplo de ARN:

arn:aws:acm:us-west-2:123456789012:certificate/12345678-12ab-34cd-56ef-12345678

Entender a propriedade de recursosUm proprietário do recurso é a conta da AWS que criou um recurso. Ou seja, o proprietário do recursoé a conta da AWS da entidade principal que autentica a solicitação que criou o recurso. (Uma entidadeprincipal pode ser um usuário raiz de uma conta da AWS, um usuário do IAM ou uma função do IAM.) Osexemplos a seguir ilustram como isso funciona.

• Se você usar as credenciais do usuário raiz de sua conta da AWS para criar um certificado do ACM, suaconta da AWS possuirá o certificado.

• Se você criar um usuário do IAM na sua conta da AWS, poderá conceder permissão a esse usuário paracriar um certificado do ACM. No entanto, a conta à qual esse usuário pertence possui o certificado.

• Se você criar uma função do IAM na sua conta da AWS e conceder permissão a ela para criar umcertificado do ACM, qualquer pessoa que puder assumir a função poderá criar um certificado. Noentanto, a conta à qual essa função pertence possui o certificado.

Gerenciar acesso a certificados do ACMA política de permissões descreve quem tem acesso a quê. Esta seção explica as opções disponíveis paraa criação das políticas de permissões.

Note

Esta seção discute como usar o IAM no contexto do ACM. Não são fornecidas informaçõesdetalhadas sobre o serviço do IAM. Para concluir a documentação do IAM, consulte o Guia dousuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM,consulte Referência de política do IAM da AWS.

Você pode usar o IAM para criar políticas que apliquem permissões a usuários, grupos e funções do IAM.Essas são chamadas de políticas com–base em identidade. O IAM oferece os seguintes tipos de políticascom–base em identidade:

Versão 1.021

AWS Certificate Manager Guia do usuárioPolíticas gerenciadas

• Políticas gerenciadas pela AWS – políticas que são criadas e gerenciadas pela AWS. Essas sãopolíticas independentes que podem ser anexadas a vários usuários, grupos e funções na sua conta daAWS.

• Políticas gerenciadas pelo cliente – políticas que você cria e gerencia na sua conta da AWS e que vocêpode anexar a vários usuários, grupos e funções. Você tem um controle mais preciso ao usar políticasgerenciadas pelo cliente do que ao usar políticas gerenciadas da AWS.

• Políticas em linha – Políticas que você criou e gerencia e que você incorporou diretamente a um únicousuário, grupo ou função.

Outros serviços, como o Amazon S3, também oferecem suporte a políticas de permissões baseadasem recursos–. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciarpermissões de acesso a esse bucket. O ACM não oferece suporte a políticas baseadas em recursos.

políticas gerenciadas pela AWSAs políticas gerenciadas pela AWS são políticas independentes baseadas em identidade que você podeanexar a vários usuários, grupos ou funções na sua conta da AWS. As políticas gerenciadas pela AWSsão criadas e gerenciadas pela AWS. As seguintes políticas gerenciadas da AWS estão disponíveis parao ACM. Para obter mais informações sobre como anexar políticas gerenciadas a um usuário, grupo oufunção, consulte Como trabalhar com políticas gerenciadas no Guia do usuário do IAM.

Para usar uma política gerenciada da AWS, um usuário com privilégios administrativos deve anexar apolítica a um usuário, uma função ou um grupo. Para obter mais informações sobre como anexar aspolíticas gerenciadas da AWS, consulte Como anexar políticas gerenciadas no Guia do usuário do IAM.

Tópicos• AWSCertificateManagerReadOnly (p. 22)• AWSCertificateManagerFullAccess (p. 22)

AWSCertificateManagerReadOnlyEsta política oferece acesso somente leitura a certificados do ACM; ela permite que os usuáriosdescrevam, listem e recuperem certificados do ACM.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" } }

Para visualizar essa política gerenciada da AWS no console, acesse https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.

AWSCertificateManagerFullAccessEsta política fornece acesso total a todos os recursos e ações do ACM.

Versão 1.022

AWS Certificate Manager Guia do usuárioPolíticas gerenciadas pelo cliente

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }] }

Para visualizar essa política gerenciada da AWS no console, acesse https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.

Políticas gerenciadas pelo clienteAs políticas gerenciadas pelo cliente são independentes– e baseadas em identidade que você cria e podeanexar a vários usuários, grupos ou funções na sua conta da AWS. Você pode gerenciar e criar políticasusando o Console de gerenciamento da AWS, o AWS Command Line Interface (AWS CLI) ou a API doIAM. Para obter mais informações, consulte Políticas gerenciadas pelo cliente .

Políticas em linhaAs políticas em linha são políticas criadas, gerenciadas e incorporadas diretamente a um único usuário,grupo ou função. Os exemplos de políticas a seguir mostram como atribuir permissões para executarações do ACM. Para obter mais informações sobre como anexar políticas em linha, consulte Comotrabalhar com políticas em linha no Guia do usuário do IAM. Você pode usar o Console de gerenciamentoda AWS, o AWS Command Line Interface (AWS CLI) ou a API IAM para criar e incorporar políticas emlinha.

Tópicos• Listar certificados (p. 23)• Recuperar um certificado (p. 24)• Importar um certificado (p. 24)• Excluir um certificado (p. 24)• Acesso Somente leitura ao ACM (p. 24)• Acesso total ao ACM (p. 25)• Acesso de administrador a todos os recursos da AWS (p. 25)

Listar certificadosA política a seguir permite que um usuário liste todos os certificados do ACM na conta do usuário.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "acm:ListCertificates", "Resource": "*" }] }

Versão 1.023

AWS Certificate Manager Guia do usuárioPolíticas em linha

Note

Esta permissão é necessária para que os certificados do ACM apareçam nos consoles do ElasticLoad Balancing e do CloudFront.

Recuperar um certificadoA política a seguir permite que um usuário recupere um certificado específico do ACM.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:GetCertificate", "Resource": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }

Importar um certificadoA política a seguir permite que um usuário importe um certificado.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:ImportCertificate", "Resource": "arn:aws:acm:ap-northeast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }

Excluir um certificadoA política a seguir permite que um usuário exclua um certificado específico do ACM.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:DeleteCertificate", "Resource": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }

Acesso Somente leitura ao ACMA política a seguir permite que um usuário descreva e liste um certificado do ACM e recupere o certificadodo ACM e a cadeia de certificados.

Versão 1.024

AWS Certificate Manager Guia do usuárioPolíticas em linha

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" } }

Note

Essa política está disponível como uma política gerenciada pela AWS noConsole de gerenciamento da AWS. Para obter mais informações, consulteAWSCertificateManagerReadOnly (p. 22). Para visualizar essa política gerenciada noconsole, acesse https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.

Acesso total ao ACMA política a seguir permite que um usuário execute qualquer ação do ACM.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }] }

Note

Essa política está disponível como uma política gerenciada pela AWS noConsole de gerenciamento da AWS. Para obter mais informações, consulteAWSCertificateManagerFullAccess (p. 22). Para visualizar a política gerenciada noconsole, acesse https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.

Acesso de administrador a todos os recursos da AWSA política a seguir permite que um usuário realize qualquer ação em qualquer recurso da AWS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*", "Resource": "*" }]

Versão 1.025

AWS Certificate Manager Guia do usuárioReferência de permissões da API do ACM

}

Note

Essa política está disponível como uma política gerenciada pela AWS no Console degerenciamento da AWS. Para visualizar a política gerenciada no console, acesse https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess.

Permissões da API do ACM: referência de ações erecursosAo configurar o controle de acesso (p. 20) e escrever políticas de permissões que você pode anexara uma identidade do IAM (políticas baseadas em identidade), use a tabela a seguir como referência. Aprimeira coluna na tabela lista cada operação da API do AWS Certificate Manager. Você especifica asações em um elemento Action de política. As colunas remanescentes fornecem informações adicionais:

Você pode usar os elementos de política do IAM em suas políticas do ACM para expressar condições.Para obter uma lista, consulte Chaves disponíveis no Guia do usuário do IAM.

Note

Para especificar uma ação, use o prefixo acm: seguido do nome da operação da API (porexemplo, acm:RequestCertificate).

Permissões e operações da API do ACM

ACMOperações de API Permissões obrigatórias(operações de API)

Recursos

AddTagsToCertificate acm:AddTagsToCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

DeleteCertificate acm:DeleteCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

DescribeCertificate acm:DescribeCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

ExportCertificate acm:ExportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

GetCertificate acm:GetCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

ImportCertificate acm:ImportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

ListCertificates acm:ListCertificates arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

ListTagsForCertificate acm:ListTagsForCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

RemoveTagsFromCertificate acm:RemoveTagsFromCertificatearn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

RequestCertificate acm:RequestCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

Versão 1.026

AWS Certificate Manager Guia do usuárioRegistro e monitoramento

ACMOperações de API Permissões obrigatórias(operações de API)

Recursos

ResendValidationEmail acm:ResendValidationEmail arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_authority_ID

Registro em log e monitoramento do AWSCertificate Manager

O monitoramento é uma parte importante da manutenção da confiabilidade, da disponibilidade e dodesempenho do AWS Certificate Manager e de suas soluções da AWS. Você deve coletar dados demonitoramento de todas as partes de sua solução da AWS, para facilitar a depuração de uma falhamultipontos, caso ocorra.

Os tópicos a seguir descrevem as ferramentas de monitoramento de nuvem da AWS disponíveis para usocom o ACM.

Tópicos• Usar o CloudTrail com o AWS Certificate Manager (p. 27)

Usar o CloudTrail com o AWS Certificate ManagerO AWS Certificate Manager é integrado ao AWS CloudTrail, um serviço que fornece um registro deações realizadas por um usuário, uma função ou um serviço da AWS no ACM. O CloudTrail é habilitadopor padrão na sua conta da AWS. O CloudTrail captura chamadas de API para o ACM como eventos,incluindo chamadas do console do ACM e chamadas de código para as operações de API do ACM. Sevocê configurar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail a um bucket doAmazon S3, incluindo eventos do ACM. Se não configurar uma trilha, você ainda poderá visualizar oseventos mais recentes no console do CloudTrail em Event history.

Usando as informações coletadas pelo CloudTrail, você pode determinar a solicitação que foi feita aoACM, o endereço IP do qual a solicitação foi feita, quem a fez e quando ela foi feita, além de outrosdetalhes. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos doCloudTrail. Quando uma atividade de evento compatível ocorre no ACM, essa atividade é registrada emum evento do CloudTrail junto com outros eventos de serviços da AWS em Event history (Histórico deeventos). Você pode visualizar, pesquisar e fazer download de eventos recentes em sua conta da AWS.

Além disso, é possível configurar outros serviços da AWS para analisar mais profundamente e agir sobreos dados de evento coletados nos logs do CloudTrail.

Para obter mais informações sobre o CloudTrail, consulte a documentação a seguir.

• AWS CloudTrail User Guide.• Visão geral da criação de uma trilha• CloudTrail Serviços compatíveis e integrações do• Configuração de notificações do Amazon SNS para o CloudTrail• Receber arquivos de log do CloudTrail de várias regiões e receber arquivos de log do CloudTrail de

várias contas

Tópicos

Versão 1.027

AWS Certificate Manager Guia do usuárioUsar CloudTrail

• Ações de API do ACM compatíveis com o registro em log do CloudTrail (p. 28)• Registro em log para chamadas de API relacionadas ao ACM (p. 36)

Ações de API do ACM compatíveis com o registro em log doCloudTrailO ACM oferece suporte ao registro em log das ações a seguir como eventos nos arquivos de log doCloudTrail:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações deidentidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário raiz ou do AWS Identity and Access Management(IAM).

• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuáriofederado

• Se a solicitação foi feita por outro serviço da AWS

Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

As seções a seguir fornecem exemplos de logs para as operações de API compatíveis.

• Adicionar tags a um certificado (AddTagsToCertificate) (p. 28)• Excluir um certificado (DeleteCertificate) (p. 29)• Descrever um certificado (DescribeCertificate) (p. 29)• Exportar um certificado (ExportCertificate) (p. 30)• Importar um certificado (ImportCertificate) (p. 31)• Listar certificados (ListCertificates) (p. 32)• Listar tags para um certificado (ListTagsForCertificate) (p. 33)• Remover tags de um certificado (RemoveTagsFromCertificate) (p. 34)• Solicitar um certificado (RequestCertificate) (p. 34)• Reenviar e-mail de validação (ResendValidationEmail) (p. 35)• Recuperar um certificado (GetCertificate) (p. 36)

Adicionar tags a um certificado (AddTagsToCertificate)

O exemplo CloudTrail a seguir mostra os resultados de uma chamada para a API AddTagsToCertificateI.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:53:53Z", eventSource: "acm.amazonaws.com",

Versão 1.028

AWS Certificate Manager Guia do usuárioUsar CloudTrail

eventName: "AddTagsToCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { tags: [{ value: "Alice", key: "Admin" }], certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, responseElements: null, requestID: "ffd7dd1b-fbfe-11e5-ba7b-5f4e988901f9", eventID: "4e7b10bb-7010-4e60-8376-0cac3bc860a5", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Excluir um certificado (DeleteCertificate)O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API DeleteCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:26Z", "eventSource": "acm.amazonaws.com", "eventName": "DeleteCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "6b0f5bb9-ec9c-11e5-a28b-51e7e3169e0f", "eventID": "08f18f8a-a827-4924-b864-afaf98517793", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Descrever um certificado (DescribeCertificate)O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API DescribeCertificate.

Note

O log do CloudTrail para a operação DescribeCertificate não exibe informações sobre ocertificado do ACM que você especificar. Você pode visualizar informações sobre o certificadousando o console, a AWS Command Line Interface ou a API DescribeCertificate.

Versão 1.029

AWS Certificate Manager Guia do usuárioUsar CloudTrail

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:42Z", "eventSource": "acm.amazonaws.com", "eventName": "DescribeCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "74b91d83-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7779b6da-75c2-4994-b8c1-af3ad47b518a", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Exportar um certificado (ExportCertificate)O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API ExportCertificate.

{ "Records": [{ "version": "0", "id": "12345678-1234-1234-1234-123456789012" "detail-type": "AWS API Call via CloudTrail", "source": "aws.acm", "account": "123456789012", "time": "2018-05-24T15:28:11Z", "region": "us-east-1", "resources": [], "detail": { "eventVersion": "1.04", "userIdentity": { "type": "Root", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2018-05-24T15:28:11Z", "eventSource": "acm.amazonaws.com", "eventName": "ExportCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.15.4 Python/2.7.9 Windows/8 botocore/1.10.4", "requestParameters": { "passphrase": { "hb": [42, 42,

Versão 1.030

AWS Certificate Manager Guia do usuárioUsar CloudTrail

42, 42, 42, 42, 42, 42, 42, 42], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 10, "capacity": 10, "address": 0 }, "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": { "certificateChain": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n" -----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n", "privateKey": "**********", "certificate": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n" }, "requestID": "11802113-5f67-11e8-bc6b-d93a70b3bedf", "eventID": "5b66558e-27c5-43b0-9b3a-10f28c527453", "eventType": "AwsApiCall" }}]

Importar um certificado (ImportCertificate)

O exemplo a seguir mostra a entrada de log do CloudTrail que registra uma chamada para a operação daAPI ImportCertificate do ACM.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-10-04T16:01:30Z", "eventSource": "acm.amazonaws.com", "eventName": "ImportCertificate", "awsRegion": "ap-southeast-2", "sourceIPAddress": "54.240.193.129", "userAgent": "Coral/Netty", "requestParameters": { "privateKey": { "hb": [ byte, byte, byte, ... ],

Versão 1.031

AWS Certificate Manager Guia do usuárioUsar CloudTrail

"offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 1674, "capacity": 1674, "address": 0 }, "certificateChain": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2105, "capacity": 2105, "address": 0 }, "certificate": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2503, "capacity": 2503, "address": 0 } }, "responseElements": { "certificateArn": "arn:aws:acm:ap-southeast-2:111122223333:certificate/6ae06649-ea82-4b58-90ee-dc05870d7e99" }, "requestID": "cf1f3db7-8a4b-11e6-88c8-196af94bb7be", "eventID": "fb443118-bfaa-4c90-95c1-beef21e07f8e", "eventType": "AwsApiCall", "recipientAccountId": "111122223333"}

Listar certificados (ListCertificates)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API ListCertificates.

Note

O log do CloudTrail para a operação ListCertificates não exibe seus certificados do ACM.Você pode visualizar a lista de certificados usando o console, o AWS Command Line Interface oua API ListCertificates.

Versão 1.032

AWS Certificate Manager Guia do usuárioUsar CloudTrail

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:43Z", "eventSource": "acm.amazonaws.com", "eventName": "ListCertificates", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "maxItems": 1000, "certificateStatuses": ["ISSUED"] }, "responseElements": null, "requestID": "74c99844-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "cdfe1051-88aa-4aa3-8c33-a325270bff21", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Listar tags para um certificado (ListTagsForCertificate)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a APIListTagsForCertificate.

Note

O log do CloudTrail para a operação ListTagsForCertificate não exibe suas tags. Vocêpode visualizar a lista de tags usando o console, o AWS Command Line Interface ou a APIListTagsForCertificate.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:30:11Z", eventSource: "acm.amazonaws.com", eventName: "ListTagsForCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"

Versão 1.033

AWS Certificate Manager Guia do usuárioUsar CloudTrail

}, responseElements: null, requestID: "b010767f-fbfb-11e5-b596-79e9a97a2544", eventID: "32181be6-a4a0-48d3-8014-c0d972b5163b", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Remover tags de um certificado (RemoveTagsFromCertificate)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a APIRemoveTagsFromCertificate.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T14:10:01Z", eventSource: "acm.amazonaws.com", eventName: "RemoveTagsFromCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", tags: [{ value: "Bob", key: "Admin" }] }, responseElements: null, requestID: "40ded461-fc01-11e5-a747-85804766d6c9", eventID: "0cfa142e-ef74-4b21-9515-47197780c424", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Solicitar um certificado (RequestCertificate)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API RequestCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE",

Versão 1.034

AWS Certificate Manager Guia do usuárioUsar CloudTrail

"userName": "Alice" }, "eventTime": "2016-03-18T00:00:49Z", "eventSource": "acm.amazonaws.com", "eventName": "RequestCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "subjectAlternativeNames": ["example.net"], "domainName": "example.com", "domainValidationOptions": [{ "domainName": "example.com", "validationDomain": "example.com" }, { "domainName": "example.net", "validationDomain": "example.net" }], "idempotencyToken": "8186023d89681c3ad5" }, "responseElements": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "requestID": "77dacef3-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "a4954cdb-8f38-44c7-8927-a38ad4be3ac8", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Reenviar e-mail de validação (ResendValidationEmail)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a APIResendValidationEmail.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-17T23:58:25Z", "eventSource": "acm.amazonaws.com", "eventName": "ResendValidationEmail", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "domain": "example.com", "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", "validationDomain": "example.com" }, "responseElements": null, "requestID": "23760b88-ec9c-11e5-b6f4-cb861a6f0a28", "eventID": "41c11b06-ca91-4c1c-8c61-af349ea8bab8",

Versão 1.035

AWS Certificate Manager Guia do usuárioUsar CloudTrail

"eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Recuperar um certificado (GetCertificate)

O exemplo do CloudTrail a seguir mostra os resultados de uma chamada para a API GetCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:41Z", "eventSource": "acm.amazonaws.com", "eventName": "GetCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": { "certificateChain": "-----BEGIN CERTIFICATE----- Base64-encoded certificate chain -----END CERTIFICATE-----", "certificate": "-----BEGIN CERTIFICATE----- Base64-encoded certificate -----END CERTIFICATE-----" }, "requestID": "744dd891-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7aa4f909-00dd-478a-9a00-b2709bcad2bb", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Registro em log para chamadas de API relacionadas ao ACMVocê pode usar o CloudTrail para auditar as chamadas de API feitas por serviços que são integradoscom o ACM. Para obter mais informações sobre o uso do CloudTrail, consulte o Guia do usuário do AWSCloudTrail. Os exemplos a seguir mostram os tipos de logs que podem ser gerados de acordo com osrecursos da AWS nos quais você provisiona o certificado do ACM.

Tópicos• Como criar um balanceador de carga (p. 37)• Registrar uma instância do Amazon EC2 com um load balancer (p. 37)• Criptografar uma chave privada (p. 38)• Descriptografar uma chave privada (p. 39)

Versão 1.036

AWS Certificate Manager Guia do usuárioUsar CloudTrail

Como criar um balanceador de carga

O exemplo a seguir mostra uma chamada para a função CreateLoadBalancer por uma usuária doIAM chamada Alice. O nome do load balancer é TestLinuxDefault, e o listener é criado usando umcertificado do ACM.

{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-01-01T21:10:36Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "CreateLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "aws-cli/1.9.15", "requestParameters": { "availabilityZones": ["us-east-1b"], "loadBalancerName": "LinuxTest", "listeners": [{ "sSLCertificateId": "arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012", "protocol": "HTTPS", "loadBalancerPort": 443, "instanceProtocol": "HTTP", "instancePort": 80 }] }, "responseElements": { "dNSName": "LinuxTest-1234567890.us-east-1.elb.amazonaws.com" }, "requestID": "19669c3b-b0cc-11e5-85b2-57397210a2e5", "eventID": "5d6c00c9-a9b8-46ef-9f3b-4589f5be63f7", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

Registrar uma instância do Amazon EC2 com um load balancer

Quando você provisiona o seu site ou aplicativo em uma instância do Amazon Elastic Compute Cloud(Amazon EC2), o load balancer deve estar ciente dessa instância. Isso pode ser realizado por meio doconsole do Elastic Load Balancing ou pelo AWS Command Line Interface. O exemplo a seguir mostra umachamada para RegisterInstancesWithLoadBalancer para um load balancer chamado LinuxTest naconta 123456789012 da AWS.

{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/ALice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE",

Versão 1.037

AWS Certificate Manager Guia do usuárioUsar CloudTrail

"userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T19:35:52Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2016-01-01T21:11:45Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "RegisterInstancesWithLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "signin.amazonaws.com", "requestParameters": { "loadBalancerName": "LinuxTest", "instances": [{ "instanceId": "i-c67f4e78" }] }, "responseElements": { "instances": [{ "instanceId": "i-c67f4e78" }] }, "requestID": "438b07dc-b0cc-11e5-8afb-cda7ba020551", "eventID": "9f284ca6-cbe5-42a1-8251-4f0e6b5739d6", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

Criptografar uma chave privada

O exemplo a seguir mostra uma chamada Encrypt que criptografa a chave privada associada a umcertificado do ACM. A criptografia é realizada na AWS.

{ "Records": [ { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/acm", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "acm" }, "eventTime": "2016-01-05T18:36:29Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "aws-internal", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:123456789012:alias/aws/acm", "encryptionContext": { "aws:acm:arn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } },

Versão 1.038

AWS Certificate Manager Guia do usuárioUsar CloudTrail

"responseElements": null, "requestID": "3c417351-b3db-11e5-9a24-7d9457362fcc", "eventID": "1794fe70-796a-45f5-811b-6584948f24ac", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-east-1:123456789012:key/87654321-4321-4321-4321-210987654321", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" }] }

Descriptografar uma chave privada

O exemplo a seguir mostra uma chamada Decrypt que descriptografa a chave privada associada a umcertificado do ACM. A descriptografia é realizada no AWS e a chave descriptografada nunca sai da AWS.

{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:1aba0dc8b3a728d6998c234a99178eff", "arn": "arn:aws:sts::111122223333:assumed-role/DecryptACMCertificate/1aba0dc8b3a728d6998c234a99178eff", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T21:13:28Z" }, "sessionIssuer": { "type": "Role", "principalId": "APKAEIBAERJR2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/DecryptACMCertificate", "accountId": "111122223333", "userName": "DecryptACMCertificate" } } }, "eventTime": "2016-01-01T21:13:28Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:elasticloadbalancing:arn": "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/LinuxTest", "aws:acm:arn": "arn:aws:acm:us-east-1:123456789012:certificate/87654321-4321-4321-4321-210987654321" } }, "responseElements": null, "requestID": "809a70ff-b0cc-11e5-8f42-c7fdf1cb6e6a", "eventID": "7f89f7a7-baff-4802-8a88-851488607fb9", "readOnly": true, "resources": [{

Versão 1.039

AWS Certificate Manager Guia do usuárioResiliência

"ARN": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" }

Resiliência no AWS Certificate ManagerA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. Asregiões da AWS fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que sãoconectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com aszonas de disponibilidade, você pode projetar e operar aplicativos e bancos de dados que automaticamenteexecutam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamentedisponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

Segurança da infraestrutura no AWS CertificateManager

Como serviço gerenciado, o AWS Certificate Manager é protegido pelos procedimentos de segurança darede global da AWS que estão descritos no whitepaper Amazon Web Services: visão geral dos processosde segurança.

Você usa chamadas de API publicadas pela AWS para acessar o ACM por meio da rede. Os clientesdevem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ouposterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamentoperfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE).A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Versão 1.040

AWS Certificate Manager Guia do usuárioConfigurar a AWS e o IAM

ConfiguraçãoCom o AWS Certificate Manager (ACM), você pode provisionar e gerenciar certificados SSL/TLS para seussites e aplicativos baseados na AWS. Você usa o ACM para criar ou importar e, em seguida, gerenciar umcertificado. Você deve usar outros serviços da AWS para implantar o certificado no seu site ou aplicativo.Para obter mais informações sobre os serviços integrados com o ACM, consulte Serviços integrados comAWS Certificate Manager (p. 9). Os tópicos a seguir discutem as etapas que você precisa executar antesde usar o ACM.

Note

Além de usar os certificados fornecidos pelo ACM você também pode importar certificados noACM. Para obter mais informações, consulte Importar certificados (p. 72).

Tópicos• Configurar a AWS e o IAM (p. 41)• Registrar um nome de domínio (p. 42)• Configurar o seu site ou aplicativo (p. 42)• (Opcional) Configurar e-mail para o domínio (p. 43)• (Opcional) Configurar um registro de CAA (p. 44)

Configurar a AWS e o IAMAntes de poder usar o ACM, você deve cadastrar-se para uma conta da Amazon Web Services. Comomelhores práticas, você pode criar um usuário do IAM para limitar as ações que os usuários podemexecutar.

Cadastre-se na AWSSe ainda não tiver uma conta de cliente da Amazon Web Services (AWS), você deve cadastrar-se parapoder usar o ACM. Sua conta é automaticamente habilitada para todos os serviços disponíveis, mas vocêsó é cobrado pelos serviços que usar. Além disso, se for um novo cliente da AWS, você pode começar ausá-la gratuitamente. Para obter mais informações, consulte Nível gratuito da AWS.

Para se cadastrar em uma conta da AWS

1. Vá para https://aws.amazon.com/ e escolha Cadastrar-se.2. Siga as instruções da tela.

Note

Parte do procedimento de cadastro inclui o recebimento de uma chamada automática de telefonee a digitação da senha fornecida no teclado do telefone. Você também deve fornecer um númerode cartão de crédito, mesmo que esteja se cadastrando para o nível gratuito.

Criar um usuário do IAMTodas as contas da AWS têm credenciais usuário raiz (as credenciais do proprietário da conta). Essascredenciais permitem acesso total a todos os recursos na conta. Como você não pode restringir

Versão 1.041

AWS Certificate Manager Guia do usuárioRegistrar um nome de domínio

permissões para as credenciais usuário raiz, recomendamos que exclua suas chaves de acesso usuárioraiz. Então, crie credenciais de usuário do AWS Identity and Access Management (IAM) para a interaçãodiária com a AWS. Para obter mais informações, consulte Bloquear as chaves de acesso da conta (raiz) daAWS no Guia do usuário do IAM.

Note

Talvez você precise de acesso Usuário raiz da conta da AWS para tarefas específicas, comoalterar um plano de suporte da AWS ou encerrar sua conta. Nesses casos, faça login no Consolede gerenciamento da AWS com seu e-mail e senha. Consulte E-mail e senha (usuário raiz).

Para obter uma lista de tarefas que exigem acesso de usuário raiz, consulte AWS Tarefas que exigemAWSUsuário da conta raiz.

Com o IAM, você pode controlar com segurança o acesso aos serviços e recursos da AWS para usuáriosem sua conta da AWS. Por exemplo, se precisar de permissões no nível de administrador, você pode criarum usuário do IAM, conceder a esse usuário acesso total e, em seguida, usar essas credenciais parainteragir com a AWS. Se precisar modificar ou revogar suas permissões, você pode excluir ou modificar aspolíticas que são associados a esse usuário do IAM.

Se tiver vários usuários que exigem acesso à sua conta da AWS, você pode criar credenciais exclusivaspara cada usuário e definir quem tem acesso a quais recursos. Você não precisa compartilhar credenciais.Por exemplo, você pode criar usuários do IAM com acesso somente leitura aos recursos da sua conta daAWS e distribuir essas credenciais para seus usuários.

O ACM também fornece duas políticas gerenciadas da AWS que podem ser usadas:

• AWSCertificateManagerFullAccess• AWSCertificateManagerReadOnly

Note

Qualquer atividade ou custos associados ao usuário do IAM são cobrados do proprietário daconta da AWS.

Registrar um nome de domínioUm nome de domínio totalmente qualificado (FQDN) é o nome exclusivo de uma organização ou indivíduona Internet seguido por uma extensão de domínio de nível superior, como .com ou .org. Se não tiverum nome de domínio registrado, você pode registrar um por meio do Amazon Route 53 ou de dezenasde outros registradores comerciais. Normalmente você acessa o site do registrador e solicita um nomede domínio. O registrador consulta o WHOIS para determinar se o FQDN solicitado está disponível. Seestiver, o registrador geralmente lista os nomes relacionados que diferem por extensão de domínio e lhedá uma oportunidade de adquirir qualquer um dos nomes disponíveis. O registro geralmente dura por umperíodo determinado, como um ou dois anos, e deve ser renovado antes do término desse período.

Para obter mais informações sobre como registrar nomes de domínio com o Amazon Route 53, consulteRegistrar nomes de domínio usando o Amazon Route 53 no Guia do desenvolvedor do Amazon Route 53.

Configurar o seu site ou aplicativoVocê pode instalar o seu site em uma instância Amazon EC2 do Linux ou do Windows. Para obter maisinformações sobre as instâncias Amazon EC2 do Linux, consulte o Guia do usuário do Amazon Elastic

Versão 1.042

AWS Certificate Manager Guia do usuárioInício rápido do Linux

Compute Cloud para Linux. Para obter mais informações sobre instâncias Amazon EC2 do Windows,consulte o Guia do usuário do Amazon Elastic Compute Cloud para Microsoft Windows.

Mesmo que instale seu site em uma instância Amazon EC2 você não pode implantar diretamente umcertificado do ACM nessa instância. Em vez disso, você deve implantar seu certificado usando um dosserviços integrados ao ACM. Para obter mais informações, consulte Serviços integrados com AWSCertificate Manager (p. 9).

Para colocar seu site no ar rapidamente no Windows ou Linux, consulte os tópicos a seguir.

Tópicos• Início rápido do Linux (p. 43)• Início rápido do Windows (p. 43)

Início rápido do LinuxPara criar o seu site ou aplicativo em uma instância Linux, você pode escolher uma imagem de máquinada Amazon (AMI) Linux e instalar um servidor web Apache nela. Para obter mais informações, consulte Tutorial: Como instalar um LAMP Web Server no Amazon Linux no Guia do usuário do Amazon EC2 parainstâncias do Linux.

Início rápido do WindowsPara obter um servidor Microsoft Windows no qual você possa instalar o seu site ou aplicativo, escolhauma AMI do Windows Server que venha com um servidor da web Microsoft Internet Information Services(IIS). Em seguida, use o site padrão ou criar um novo. Você também pode instalar um servidor WIMPem sua instância do Amazon EC2. Para obter mais informações, consulte Tutorial: Como instalar umservidor de WIMP em uma instância do Amazon EC2 que executa o Windows Server no Guia do usuáriodo Amazon EC2 para instâncias do Windows.

(Opcional) Configurar e-mail para o domínioNote

As etapas a seguir são necessárias apenas se você usar validação de e-mail para confirmar quepossui ou controla o FQDN (nome de domínio totalmente qualificado) especificado na solicitaçãodo certificado. O ACM exige que você valide a propriedade ou o controle antes de emitir umcertificado. Você pode usar a validação de e-mail ou a validação de DNS. Para obter maisinformações sobre a validação de e-mail, consulte Usar o e-mail para validar a propriedade dodomínio (p. 57).Se você puder editar sua configuração de DNS, recomendamos usar a validação de domínio deDNS em vez da validação de e-mail. A validação de DNS elimina a necessidade de configurar ume-mail para o nome do domínio. Para obter mais informações sobre a validação de DNS, consulteUsar DNS para validar propriedade de domínio (p. 53).

Use o site de seu registrador para associar seus endereços de contato a seu nome de domínio. Oregistrador adiciona os endereços de e-mail dos contatos no banco de dados WHOIS e adiciona um oumais servidores de e-mail aos registros do servidor de mensagens (MX) de um servidor DNS. Se vocêoptar por usar validação por email, o ACM enviará um email para os endereços de contato e para cincoendereços administrativos comuns formados com seu registro MX. O ACM envia até oito mensagens deemail de validação toda vez que você cria um novo certificado, renova um certificado ou solicita um novoemail de validação. O e-mail de validação contém instruções para confirmar que o proprietário do domínioou um representante designado aprove o certificado do ACM. Para obter mais informações, consulte

Versão 1.043

AWS Certificate Manager Guia do usuárioBanco de dados WHOIS

Usar o e-mail para validar a propriedade do domínio (p. 57). Se você tiver problemas com o e-mail devalidação, consulte Solucionar problemas de validação de e-mail (p. 107).

Banco de dados WHOISO banco de dados WHOIS contém informações de contato para o seu domínio. Para validar suaidentidade, o ACM envia um e-mail para os seguintes três endereços no WHOIS. Você deve ter certeza deque suas informações de contato são públicas ou de que os e-mails enviados para um endereço oculto éencaminhado para o seu endereço de e-mail real.

• Domínio registrado• Contato técnico• Contato administrativo

Registro MXQuando você registrar seu domínio, o registrador enviará o registro MX (mail exchanger) a um servidorDomain Name System (DNS). Um registro MX indica quais servidores aceitam e-mail para o seu domínio.O registro contém um nome de domínio totalmente qualificado (FQDN). Você pode solicitar um certificadopara domínios apex ou subdomínios.

Por exemplo, se você usar o console para solicitar um certificado para abc.xyz.exemplo.com, o ACMprimeiro tenta encontrar o registro MX para esse subdomínio. Se o registro não puder ser encontrado, oACM executa uma consulta de MX para xyz.exemplo.com. Se o registro não puder ser encontrado, o ACMexecuta uma consulta de MX para exemplo.com. Se esse registro não puder ser encontrado ou não houverregistro MX, o ACM escolhe o domínio original para o qual o certificado foi solicitado (abc.xyz.exemplo.comneste exemplo). O ACM, em seguida, envia e-mail para os cinco endereços de administração do sistemacomuns a seguir para o domínio ou subdomínio.

• administrator@your_domain_name

• hostmaster@your_domain_name

• postmaster@your_domain_name

• webmaster@your_domain_name

• admin@your_domain_name

Se você estiver usando a operação da API RequestCertificate ou o comando request-certificate da AWSCLI, a AWS não executará uma consulta de MX. Em vez disso, RequestCertificate permitirá que vocêespecifique o nome do domínio e o nome de um domínio de validação. Se você especificar o parâmetroopcional ValidationDomain, a AWS enviará as cinco mensagens de e-mail anteriores a ele, e não aoseu domínio.

O ACM sempre envia e-mails de validação aos cinco endereços comuns listados anteriormente, quer vocêesteja usando o console, a API ou a AWS CLI. No entanto, a AWS executa uma consulta de MX somentequando você usa o console para solicitar um certificado.

Se você não receber o e-mail de validação, consulte O e-mail de validação não foi recebido (p. 107) paraobter informações sobre as possíveis causas e soluções.

(Opcional) Configurar um registro de CAAOpcionalmente, você pode configurar um registro DNS de autorização da autoridade de certificação (CAA)para especificar que o AWS Certificate Manager (ACM) tem permissão para emitir um certificado para seu

Versão 1.044

AWS Certificate Manager Guia do usuário(Opcional) Configurar CAA

domínio ou subdomínio. Depois de validar seu domínio, o ACM verificará a presença de registros de CAApara garantir que ele possa emitir um certificado para você. Você pode optar por não configurar um registrode CAA para seu domínio ou deixar o registro em branco se você não quiser habilitar a verificação de CAA.Um registro de CAA contém os seguintes campos de dados:

flags

Especifica se o valor do campo tag é suportado pelo ACM. Defina este valor como 0.conteúdo

O campo tag pode ter um dos seguintes valores. Observe que o campo iodef é ignorado no momento.issue

Indica que a CA do ACM que você especificar no campo value está autorizada a emitir umcertificado para seu domínio ou subdomínio.

issuewild

Indica que a CA do ACM que você especificou no campo value está autorizada a emitir umcertificado curinga para seu domínio ou subdomínio. Um certificado curinga se aplica ao domínioou subdomínio e a todos os seus subdomínios.

value

O valor deste campo depende do valor do campo tag. Você deve colocar esse valor entre aspas ("").Quando a tag for issue

O campo value contém o nome de domínio da CA. Esse campo pode conter o nome de umaCA que não seja uma CA da Amazon. No entanto, se você não tiver um registro de CAA queespecifique uma das quatro CAs da Amazon a seguir, o ACM não poderá emitir um certificadopara seu domínio ou subdomínio:• amazon.com• amazontrust.com• awstrust.com• amazonaws.com

O campo value também pode conter um ponto e vírgula (;) para indicar que nenhuma CA deve terpermissão para emitir um certificado para seu domínio ou subdomínio. Use este campo se decidirem algum momento que você não deseja mais um certificado emitido para um determinadodomínio.

Quando a tag for issuewild

O campo value será o mesmo para quando a tag for issue, exceto pelo fato de que o valor seaplica a certificados curinga.

Quando há um registro de CAA de issuewild presente que não inclui um valor de CA do ACM,nenhum curinga pode ser emitido pelo ACM. Se não houver nenhum problema presente, mashouver um registro de CAA issuewild presente, mas houver um registro de CAA issue para oACM, os curingas poderão ser emitidos pelo ACM.

Example Exemplo de registros de CAA

Nos exemplos a seguir, seu nome de domínio é fornecido primeiro e seguido pelo tipo de registro (CAA).O campo flags é sempre 0. O campo tags pode ser issue ou issuewild. Se o campo for issue e vocêdigitar o nome de domínio de um servidor CA no campo value, o registro de CAA indicará que o servidorespecificado tem permissão para enviar o certificado solicitado. Se você digitar um ponto e vírgula ";" nocampo value, o registro de CAA indicará que nenhuma CA tem permissão para emitir um certificado. Aconfiguração dos registros de CAA varia de acordo com o provedor DNS.

Versão 1.045

AWS Certificate Manager Guia do usuário(Opcional) Configurar CAA

Domain Record type Flags Tag Value

example.com. CAA 0 issue "SomeCA.com"example.com. CAA 0 issue "amazon.com"example.com. CAA 0 issue "amazontrust.com"example.com. CAA 0 issue "awstrust.com"example.com. CAA 0 issue "amazonaws.com"example.com CAA 0 issue ";"

Para obter mais informações sobre como adicionar ou modificar registros DNS, verifique com seu provedorDNS. O Route 53 oferece suporte a registros CAA. Se o Route 53 for seu provedor DNS, consulte Formatode CAA para obter mais informações sobre como criar um registro.

Versão 1.046

AWS Certificate Manager Guia do usuárioSolicitar um certificado público

Conceitos básicosFaça login no AWS Console de gerenciamento e abra o console da ACM em https://console.aws.amazon.com/acm/home. Se a página introdutória for exibida, escolha Conceitos básicos.Caso contrário, escolha Certificate Manager (Gerenciador de certificados) ou Private CAs (CAs privadas)no painel de navegação à esquerda.

O ACM oferece suporte a certificados SSL/TLS, que podem ser usados para permitir a comunicaçãosegura na Internet ou por meio de uma rede interna. É possível solicitar um certificado publicamenteconfiável emitido pelo ACM ou importar um certificado. Os certificados importados podem ser emitidos porterceiros publicamente confiáveis ou podem ser autoassinados. Também é possível usar o console doACM para solicitar que um certificado privado seja emitido por uma autoridade de certificação (CA) privadana sua organização. Os certificados privados não são confiáveis por padrão. Os administradores deveminstalá-los nos armazenamentos de confiança do cliente.

Esta documentação aborda principalmente os certificados públicos do ACM e de terceiros. Ela tambémdiscute como emitir um certificado privado usando uma CA privada existente. Para saber mais sobre comocriar e usar uma CA privada, consulte AWS Certificate Manager Private Certificate Authority.

Tópicos• Solicitar um certificado público (p. 47)• Solicitar um certificado privado (p. 49)• Exportar um certificado privado (p. 51)• Usar DNS para validar propriedade de domínio (p. 53)• Usar o e-mail para validar a propriedade do domínio (p. 57)• Lista de certificados gerenciados pelo ACM– (p. 60)• Descrever certificados ACM (p. 62)• Exclusão de certificados gerenciados pelo ACM– (p. 64)• Instalar certificados do ACM (p. 65)• Reenvio de e-mail de validação (opcional) (p. 65)

Solicitar um certificado públicoAs seções a seguir discutem como usar o console do ACM ou a AWS CLI para solicitar um certificadopúblico do ACM.

Se você tiver problemas ao solicitar um certificado, consulte Solução de problemas de solicitações decertificado (p. 102).

Para solicitar um certificado privado usando a autoridade de certificação (CA) privada, consulte Solicitar umcertificado privado (p. 49).

Tópicos• Solicitar um certificado público usando o console (p. 48)• Solicitar um certificado público usando a CLI (p. 49)

Versão 1.047

AWS Certificate Manager Guia do usuárioSolicitar um certificado público usando o console

Solicitar um certificado público usando o consolePara solicitar um certificado público do ACM (console)

1. Faça login no AWS Console de gerenciamento e abra o console da ACM em https://console.aws.amazon.com/acm/home.

Selecione Request a certificate.2. Na página Request a certificate (Solicitar um certificado), escolha Request a public certificate (Solicitar

um certificado público) e Request a certificate (Solicitar um certificado) para continuar.3. Na página Add domain names (Adicionar nomes de domínio), digite seu nome de domínio. É possível

usar um nome de domínio totalmente qualificado (FQDN), como www.example.com ou um nome dedomínio vaziou ou apex, como example.com. Você também pode usar um asterisco (*) como umcaractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio.Por exemplo, *.example.com protege corp.example.com e images.example.com. O nomecuringa será exibido no campo Subject (Assunto) e na extensão Subject Alternative Name (Nome deassunto alternativo) do certificado do ACM.

Note

Quando você solicita um certificado curinga, o asterisco (*) deve estar na posição mais àesquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,o *.example.com pode proteger login.example.com e test.example.com masnão consegue proteger test.login.example.com. Note também que *.example.comprotege apenas os subdomínios de example.com, ele não protege o domínio vazio ou apex(example.com). Para proteger ambos, consulte a próxima etapa.

4. Para adicionar outro nome, escolha Add another name to this certificate (Adicionar outro nome a estecertificado) e digite o nome na caixa de texto. Isso é útil para proteger tanto o domínio vazio ou apex(como example.com) e seus subdomínios (*.example.com).

Quando terminar de adicionar nomes, escolha Next (Próximo).5. Na página Select validation method (Selecionar método de validação), escolha DNS Validation

(Validação de DNS) ou Email Validation (Validação por e-mail), dependendo de suas necessidades.

Note

Se você puder editar sua configuração de DNS, recomendamos usar a validação dedomínio de DNS em vez da validação de e-mail. A validação de DNS tem vários benefíciosem relação à validação de e-mail. Consulte Usar DNS para validar propriedade dedomínio (p. 53).

Para que o ACM emita um certificado, ele valida se você possui ou controla os nomes de domínio emsua solicitação de certificado. Você pode usar a validação de e-mail ou a validação de DNS. Se vocêescolher a validação de e-mail, o ACM enviará um e-mail de validação a três endereços de contatoregistrados no banco de dados WHOIS e a cinco endereços comuns de administração do sistemapara cada nome de domínio. Você ou um representante autorizado deve responder a uma dessasmensagens de e-mail. Para obter mais informações, consulte Usar o e-mail para validar a propriedadedo domínio (p. 57). Se você usar a validação de DNS, simplesmente grave um registro CNAMEfornecido pelo ACM em sua configuração de DNS. Para obter mais informações sobre a validação deDNS, consulte Usar DNS para validar propriedade de domínio (p. 53).

Depois de escolher um método de validação, selecione Next (Próximo).6. Na página Add tags (Adicionar tags), é possível marcar seu certificado. As tags são pares de chave/

valor que servem como metadados para identificar e organizar recursos da AWS. Para obter uma listade parâmetros de tag do ACM e para obter instruções sobre como adicionar tags a certificados após acriação, consulte Marcação de certificados AWS Certificate Manager (p. 78).

Versão 1.048

AWS Certificate Manager Guia do usuárioSolicitar um certificado público usando a CLI

Ao terminar de adicionar tags, escolha Review (Revisar).7. Se a página Review (Revisar) contiver informações corretas sobre sua solicitação, escolha Confirm

and request (Confirmar e solicitar). Uma página de confirmação mostra que sua solicitação está sendoprocessada e que os domínios de certificados estão sendo validados. Os certificados que aguardamvalidação estão no estado Pending validation (Validação pendente).

Important

Seu certificado será automaticamente registrado em pelo menos dois bancos de dados detransparência de certificados públicos, exceto se você cancelar essa opção. No momento,não é possível usar o console para cancelar. É necessário usar a AWS CLI ou API.Para obter mais informações, consulte Como cancelar o registro de transparência docertificado (p. 15). Para obter informações gerais sobre logs de transparência, consulteRegistro de transparência de certificados (p. 4).

Escolha Continue (Continuar) para retornar ao console do ACM.

Solicitar um certificado público usando a CLIUse o comando request-certificate para solicitar um novo certificado público do ACM na linha de comando.

aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--idempotency-token 1234 \--options CertificateTransparencyLoggingPreference=DISABLED

Esse comando gera o nome de recurso da Amazon (ARN) do seu novo certificado público.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Solicitar um certificado privadoAs seções a seguir abordam como usar o console do ACM para solicitar um certificado privado de umaautoridade de certificação privada (CA) criada anteriormente com a AWS Certificate Manager PrivateCertificate Authority. Para obter mais informações sobre como criar uma CA privada, consulte Create aPrivate Certificate Authority.

Os certificados privados emitidos pelo ACM se parecem com os certificados públicos emitidos por ACM.Os certificados têm as seguintes restrições:

• É necessário usar nomes de requerente de DNS. Para obter mais informações, consulte Nomes dedomínio (p. 5)

• É possível usar apenas um algoritmo de chave privada RSA de 2.048 bits.• O único algoritmo de assinatura compatível é SHA256WithRSAEncryption.• Cada certificado é válido por 13 meses.• A CA privada deve estar ativa, e o tipo de chave privada dela deve ser RSA 2048 ou RSA 4096.• O ACM renova automaticamente o certificado, se possível, depois de 11 meses.

Versão 1.049

AWS Certificate Manager Guia do usuárioSolicitar um certificado privado usando o console do ACM

Os certificados privados emitidos pelo ACM PCA não têm restrições anteriores. É possível usar a CAprivada para criar certificados com qualquer nome de requerente e usar qualquer algoritmo de chaveprivada compatível, algoritmo de assinatura e período de validade. Isso será útil se você precisar identificarum requerente por um nome específico ou se não puder mudar facilmente os certificados. Para obter maisinformações, consulte Issue a Private Certificate.

Note

A data de término do certificado CA para uma CA privada deve exceder a data de término docertificado solicitado, caso contrário, a solicitação de certificado falhará.

Tópicos• Solicitar um certificado privado usando o console do ACM (p. 50)• Solicitar um certificado privado usando a CLI (p. 51)

Solicitar um certificado privado usando o console doACM1. Faça login no AWS Console de gerenciamento e abra o console da ACM em https://

console.aws.amazon.com/acm/home.

Selecione Request a certificate.2. Na página Request a certificate (Solicitar um certificado), escolha Request a private certificate

(Solicitar um certificado privado) e Request a certificate (Solicitar um certificado) para continuar.3. Na página Select a certificate authority (CA) (Selecionar uma autoridade de certificação (CA)), clique

no campo Select a CA (Selecionar uma autoridade de certificação) para exibir a lista de autoridadesde certificação privadas disponíveis. Escolha uma CA na lista. Informações sobre a CA são exibidaspara ajudar você a verificar se escolheu a CA correta.

Note

O console do ACM exibe Ineligible (Não qualificada) para CAs privados com chaves ECDSA

Escolha Next (Próximo).4. Na página Add domain names (Adicionar nomes de domínio), digite seu nome de domínio. É possível

usar um nome de domínio totalmente qualificado (FQDN), como www.example.com ou um nome dedomínio vaziou ou apex, como example.com. Você também pode usar um asterisco (*) como umcaractere curinga na posição mais à esquerda para proteger vários nomes de site no mesmo domínio.Por exemplo, *.example.com protege corp.example.com e images.example.com. O nomecuringa será exibido no campo Subject (Assunto) e na extensão Subject Alternative Name (Nome deassunto alternativo) do certificado do ACM.

Note

Quando você solicita um certificado curinga, o asterisco (*) deve estar na posição mais àesquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,o *.example.com pode proteger login.example.com e test.example.com masnão consegue proteger test.login.example.com. Note também que *.example.comprotege apenas os subdomínios de example.com, ele não protege o domínio vazio ou apex(example.com). Para proteger ambos, consulte a próxima etapa.

Note

Não é necessário validar o domínio de um certificado privado.Versão 1.0

50

AWS Certificate Manager Guia do usuárioSolicitar um certificado privado usando a CLI

5. Para adicionar outro nome, escolha Add another name to this certificate (Adicionar outro nome a estecertificado) e digite o nome na caixa de texto. Isso é útil para proteger tanto o domínio vazio ou apex(como example.com) e seus subdomínios (*.example.com).

Quando terminar de adicionar nomes, escolha Next (Próximo).6. Na página Add tags (Adicionar tags), é possível marcar seu certificado. As tags são pares de chave/

valor que servem como metadados para identificar e organizar recursos da AWS. Para obter uma listade parâmetros de tag do ACM e para obter instruções sobre como adicionar tags a certificados após acriação, consulte Marcação de certificados AWS Certificate Manager (p. 78).

Ao terminar de adicionar tags, escolha Review and request (Revisar e solicitar).7. Se a página Review and request (Revisar e solicitar) contiver informações corretas sobre sua

solicitação, escolha Confirm and request (Confirmar e solicitar). O ACM retornará você para a páginaCertificates (Certificados) onde será possível revisar as informações sobre todos os certificados doACM, tanto privados quanto públicos.

Solicitar um certificado privado usando a CLIUse o comando request-certificate para solicitar um certificado privado no ACM.

aws acm request-certificate \--domain-name www.example.com \--idempotency-token 12563 \--options CertificateTransparencyLoggingPreference=DISABLED \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/12345678-1`234-1234-1234-123456789012

Esse comando gera o nome de recurso da Amazon (ARN) do seu novo certificado privado.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Exportar um certificado privadoÉ possível exportar um certificado emitido pelo ACM Private CA para uso em qualquer lugar do seuambiente PKI privado. O arquivo exportado contém o certificado, a cadeia de certificados e a chave privadacriptografada. Esse arquivo deve ser armazenado com segurança. Para obter mais informações sobreACM Private CA, consulte Guia do usuário do AWS Certificate Manager Private Certificate Authority.

Tópicos• Exportar um certificado privado usando o console (p. 51)• Exportar um certificado privado usando a CLI (p. 52)

Exportar um certificado privado usando o console1. Faça login no AWS Console de gerenciamento e abra o console da ACM em https://

console.aws.amazon.com/acm/home.2. Escolha Certificate Manager3. Selecione o certificado a ser exportado.

Versão 1.051

AWS Certificate Manager Guia do usuárioExportar um certificado privado usando a CLI

4. No menu Actions (Ações), escolha Export (private certificates only) (Exportar [somente certificadosprivados]).

5. Insira e confirme uma frase secreta para a chave privada.6. Escolha Generate PEM Encoding (Gerar codificação PEM).7. É possível copiar o certificado, a cadeia de certificados e a chave criptografada na memória ou

escolher Export to a file (Exportar para um arquivo) para cada um deles.8. Escolha Concluído.

Exportar um certificado privado usando a CLIUse o comando export-certificate para exportar um certificado e uma chave privados. É necessário atribuira frase secreta quando você executa o comando. Para obter mais proteção, armazene sua frase secretade forma segura em um arquivo antes de usar o comando. Isso evita que a frase secreta seja armazenadano histórico de comandos e impede que outras pessoas a vejam enquanto você a digita.

O exemplo a seguir redireciona a saída do comando para jq a fim de aplicar a formatação PEM.

aws acm export-certificate \--certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \--passphrase file://path-to-passphrase-file \| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'

Isso gera um certificado no formato PEM e codificado em Base64, que também contém a cadeia decertificados e a chave privada criptografada, como no exemplo abreviado a seguir.

-----BEGIN CERTIFICATE-----MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAwEzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcxNTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA...8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthHFFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=-----END CERTIFICATE----------BEGIN CERTIFICATE-----MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAwEzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP...j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB-----END CERTIFICATE----------BEGIN ENCRYPTED PRIVATE KEY-----MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNANJM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt...ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFlwEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVyFs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==-----END ENCRYPTED PRIVATE KEY-----

Para gerar tudo em um arquivo, acrescente o redirecionador > ao exemplo anterior, resultando noseguinte.

Versão 1.052

AWS Certificate Manager Guia do usuárioValidar com DNS

aws acm export-certificate \--certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \--passphrase file://path-to-passphrase-file \| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \> /tmp/export.txt

Usar DNS para validar propriedade de domínioPara que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, oAWS Certificate Manager (ACM) deve verificar se você possui ou controla todos os nomes de domínioespecificados na solicitação. Você pode escolher a validação de e-mail ou a validação de DNS ao solicitarum certificado. Este tópico discute a validação de DNS. Para obter informações sobre a validação de e-mail, consulte Usar o e-mail para validar a propriedade do domínio (p. 57).

Se você tiver problemas ao usar a validação de DNS, consulte Como solucionar os problemas devalidação do DNS (p. 104).

Note

A validação se aplica apenas a certificados fornecidos pelo AWS Certificate Manager (ACM). OACM não valida a propriedade do domínio para certificados importados (p. 72).

O Domain Name System (DNS) é um serviço de diretório para recursos conectados a uma rede. NaInternet, servidores DNS são usados principalmente para conversão de nomes de domínio para endereçosIP numéricos que identificam e localizam recursos, como computadores e outros dispositivos. Os bancosde dados em servidores DNS contêm registros de domínios que são usados para essa conversão e parahabilitar outras funcionalidades. Por exemplo, os registros A são um tipo de registro DNS usados paramapear nomes de domínios para endereços IPV4. Os registros MX são usados para rotear e-mail. Osregistros NS listam todos os servidores de nomes do domínio.

O ACM usa registros de nome canônico (CNAME) para validar que você possui ou controla um domínio.Quando você escolhe a validação de DNS, o ACM fornece um ou mais registros CNAME para inserçãoem seu banco de dados DNS. Por exemplo, se você solicitar um certificado para o domínio example.comcom www.example.com como um nome adicional, o ACM criará dois registros CNAME para você. Cadaregistro criado especificamente para seu domínio e sua conta contém um nome e um valor. O valor éum alias que aponta para um domínio que é de propriedade do ACM e que o ACM usa para renovar seucertificado automaticamente. Você adiciona os registros CNAME ao seu banco de dados DNS somenteuma vez. O ACM renova seu certificado automaticamente pelo tempo que o certificado estiver em uso eseu registro CNAME permanecer em vigor. Além disso, se você usar o Amazon Route 53 para criar seudomínio, o ACM poderá gravar os registros CNAME para você.

Se o fornecedor de DNS não for compatível com os valores CNAME iniciados com um sublinhado,consulte Solução de problemas de validação de DNS (p. 104).

A tabela a seguir mostra exemplos de registros CNAME para cinco nomes de domínio.Os valores de _x são longas sequências aleatórias geradas pelo ACM. Por exemplo,_3639ac514e785e898d2646601fa951d5.example.com representa um nome gerado. Observe que osdois primeiros valores de _x na tabela são iguais. Ou seja, a string aleatória criada pelo ACM para o nomecuringa *.example.com é igual à criada para o nome de domínio base example.com. Observe tambémque o ACM cria diferentes registros CNAME para example.com e www.example.com.

Nome de domínio Zona DNS Nome Type Value

*.example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.

Versão 1.053

AWS Certificate Manager Guia do usuárioValidar com DNS

Nome de domínio Zona DNS Nome Type Value

example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.

www.example.com example.com _x3.www.example.com.CNAME _x4.acm-validations.aws.

host.example.com example.com _x5.host.example.com.CNAME _x6.acm-validations.aws.

subdomínio.exemplo.comsubdomínio.exemplo.com_x7.subdomain.example.com.CNAME _x8.acm-validations.aws.

host.subdomain.example.comsubdomínio.exemplo.com_x9.host.subdomain.example.com.CNAME _x10.acm-validations.aws.

A validação de DNS tem uma série de vantagens em relação à validação de e-mail:

• O DNS exige que você crie apenas um registro CNAME por nome de domínio ao solicitar um certificadodo ACM. A validação de e-mail envia até oito mensagens de e-mail por nome de domínio.

• Você pode solicitar certificados adicionais do ACM para seu FQDN desde que o registro DNSpermaneça em vigor. Ou seja, você pode criar vários certificados com o mesmo nome de domínio. Vocênão precisa obter um novo registro CNAME. Há várias razões para fazer isso. Você pode, por exemplo,desejar novos certificados abrangendo subdomínios diferentes. Você pode criar o mesmo certificado emvárias regiões (o token de validação funciona para qualquer região). Você poder querer substituir umcertificado que foi excluído.

• O ACM renova seus certificados do ACM que você validou com o DNS. O ACM renova cada certificadoantes que ele expire, desde que o certificado esteja em uso e o registro DNS esteja em vigor.

• O ACM poderá adicionar o registro CNAME para você se você usar o Route 53 para gerenciar registrosDNS públicos. Se você não usa Route 53 como seu fornecedor do DNS, entre em contato com seufornecedor do DNS para saber como adicionar registros.

• Você pode automatizar mais facilmente o processo de validação de DNS do que o processo devalidação de e-mail.

• Certificados validados por e-mail só são renováveis até 825 dias após a data de validação original. Após825 dias, o proprietário do domínio ou um representante autorizado deve solicitar um novo certificado,enquanto certificados validados por DNS são renováveis indefinidamente.

No entanto, poderá ser necessário usar a validação de e-mail se você não tiver permissão para modificaros registros DNS de seu domínio.

Para usar a validação de DNS:

1. Faça login no AWS Console de gerenciamento e abra o console da ACM em https://console.aws.amazon.com/acm/home. Se a página introdutória for exibida, escolha Conceitos básicos.Caso contrário, escolha Solicitar um certificado.

2. Na página Solicitar um certificado, digite o seu nome de domínio. Para obter mais informações sobrecomo digitar nomes de domínio, consulte Solicitar um certificado público (p. 47).

3. Para adicionar mais nomes de domínio ao certificado do ACM, digite outros nomes à medida queforem abertas caixas de texto abaixo do nome que você acabou de digitar.

4. Escolha Next (Próximo).5. Escolha DNS validation.6. Escolha Review and request. Verifique se o nome do domínio e o método de validação estão corretos.7. Escolha Confirm and request.

Versão 1.054

AWS Certificate Manager Guia do usuárioValidar com DNS

8. Na página Validation (Validação), recupere o nome do registro CNAME que deve ser adicionado aobanco de dados DNS. Você pode fazer isso de duas maneiras:

• Na seção Domain (Domínio), expanda suas informações de domínio e registre o Name (Nome) doregistro CNAME.

Important

As informações CNAME necessárias não incluem o nome do seu domínio. Se você incluirseu nome de domínio no registro CNAME do banco de dados DNS, ocorrerá uma falha navalidação. Por exemplo, o Name (Nome) exibido pode ser semelhante ao seguinte:

_a79865eb4cd1a6ab990a45779b4e0b96.yourdomain.com

No entanto, as informações CNAME necessárias incluem apenas o seguinte:

_a79865eb4cd1a6ab990a45779b4e0b96

• Como alternativa, escolha Export DNS configuration to a file (Exportar configuração DNS paraum arquivo) na parte inferior da página Validation (Validação). As informações no arquivo aindaprecisam ser adicionadas manualmente ao banco de dados DNS.

9. O botãoCreate record in Route 53 será exibido se as seguintes condições forem verdadeiras:

• Você usa o Route 53 como seu provedor de DNS.• Você tem permissão para gravar na zona hospedada pelo Route 53.• Seu FQDN ainda não foi validado.

Se o botão Criar registro no Route 53 estiver ausente ou desabilitado, consulte O console do ACM nãoexibe o botão "Create record in Route 53" (Criar registro no Route 53) (p. 106).

Não é possível solicitar de forma programática que o ACM crie automaticamente seu registro noRoute 53. No entanto, você pode fazer uma chamada à AWS CLI ou à API para o Route 53 criar oregistro. Para obter mais informações sobre conjuntos de registros do Route 53, consulte Trabalharcom conjuntos de registros de recursos.

10. Adicione o registro do console ou do arquivo exportado para seu banco de dados. Para obter maisinformações sobre como adicionar registros de DNS, consulte Adicionar um CNAME a seu bancode dados (p. 56). Você pode escolher Continue para ignorar esta etapa. Você pode retornar a elaposteriormente abrindo a solicitação de certificado no console.

Note

Se o FQDN foi validado quando você solicitou um certificado anterior e estiver solicitandooutro certificado para o mesmo FQDN, você não precisará adicionar outro registro DNS.

Note

A adição de um registro CNAME que já contenha um nome de domínio (como.example.com) pode resultar na duplicação do nome de domínio (como.example.com.example.com). Para evitar a duplicação, você pode copiarmanualmente somente a parte do CNAME de que você precisa. Isso seria no formato_3639ac514e785e898d2646601fa951d5.

11. Depois de atualizar a configuração do DNS, escolha Continuar. O ACM exibe uma visualização detabela que inclui todos os seus certificados. O certificado solicitado e seu status é exibido. Depois queseu provedor de DNS propagar a atualização do registro, pode levar várias horas para que o ACMvalide o nome do domínio e emita o certificado. Durante esse período, o ACM mostra o status davalidação como Pending validation. Depois de validar o nome do domínio, o ACM altera o status daVersão 1.0

55

AWS Certificate Manager Guia do usuárioAdicionar um CNAME a seu banco de dados

validação para Success. Depois que a AWS emitir o certificado, o ACM altera o status do certificadopara Issued.

Note

Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momentoem que gera um valor de CNAME para você, o ACM alterará o status do certificado paraValidation timed out. O motivo mais provável para este resultado é você não ter atualizadosua configuração de DNS com o valor gerado pelo ACM. Para corrigir esse problema, vocêdeve solicitar um novo certificado.

Adicionar um CNAME a seu banco de dadosPara usar a validação de DNS, você deve ser capaz de adicionar um registro CNAME à configuração deDNS de seu domínio. Se o Route 53 não for seu provedor de DNS, entre em contato com o provedor parasaber como adicionar registros. Se o Route 53 for o seu provedor, o ACM poderá criar o registro CNAMEpara você conforme discutido anteriormente na etapa 9. Para adicionar o registro você mesmo, consulteEditar conjuntos de registros de recursos no Guia do desenvolvedor do Route 53.

Se o fornecedor de DNS não for compatível com os valores CNAME iniciados com um sublinhado,consulte Solução de problemas de validação de DNS (p. 104).

Note

Se não tiver permissão para editar a configuração de DNS, você deverá usar a validação de e-mail.

Excluir um CNAME de seu banco de dadosO ACM renova seu certificado automaticamente pelo tempo que o certificado estiver em uso, e o registroCNAME criado pelo ACM permanecer em vigor em seu banco de dados do DNS. Você pode interromper arenovação automática removendo o certificado do serviço da AWS ao qual ele está associado ou excluindoo registro CNAME. Se o Route 53 não for seu provedor de DNS, entre em contato com o provedor paraexcluir o registro. Se o Route 53 for seu provedor, consulte Excluir conjuntos de registros de recursosno Guia do desenvolvedor do Route 53. Para obter mais informações sobre a renovação de certificadosgerenciados, consulte Renovação gerenciada para certificados do ACM emitidos pela Amazon (p. 66).

Versão 1.056

AWS Certificate Manager Guia do usuárioValidar com e-mail

Usar o e-mail para validar a propriedade do domínioPara que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWSCertificate Manager (ACM) deve verificar se você possui ou controla todos os domínios especificadosna solicitação. Você pode executar uma verificação usando o e-mail ou o DNS. Este tópico discute avalidação de e-mail. Para obter informações sobre a validação de DNS, consulte Usar DNS para validarpropriedade de domínio (p. 53).

Se você tiver problemas ao usar a validação de e-mail, consulte Solucionar problemas de validação de e-mail (p. 107).

Note

A validação se aplica apenas a certificados fornecidos pelo AWS Certificate Manager (ACM). OACM não valida a propriedade do domínio para certificados importados (p. 72).

O AWS Certificate Manager (ACM) envia um e-mail aos três endereços de contato listados no WHOIS e acinco endereços do sistema para cada domínio especificado. Ou seja, até oito mensagens de e-mail serãoenviadas para cada nome de domínio e nome de assunto alternativo que você incluir em sua solicitação.Por exemplo, se especificar apenas 1 nome de domínio, você receberá até 8 mensagens de e-mail. Paravalidar, você deve agir em uma dessas oito mensagens em até 72 horas. Se especificar 3 nomes dedomínio, você receberá até 24 mensagens. Para validar, você deve agir em pelo menos três desses e-mails, um para cada nome especificado, em 72 horas.

O e-mail é enviado para os seguintes três endereços de contato registrados no WHOIS:

• Domínio registrado• Contato técnico• Contato administrativo

Note

Alguns registradores permitem que você oculte as informações de contato na sua listagemWHOIS, e outros permitem que você substitua seu endereço de e-mail real por um endereçode privacidade (ou proxy). Para evitar problemas com o recebimento do e-mail de validação dodomínio enviado pelo ACM, assegure-se de que suas informações de contato estejam visíveisno WHOIS. Se a sua listagem WHOIS mostrar um endereço de e-mail de privacidade, garantaque os e-mails enviados para esse endereço sejam encaminhados para o seu endereço de e-mailreal. Ou simplesmente liste o seu endereço de e-mail real.

Se você usar o console para solicitar um certificado, o ACM executará uma consulta de MX paradeterminar quais servidores aceitam e-mail para seu domínio e enviará e-mails para os cinco endereços desistema comuns para o primeiro domínio encontrado. Se você usar a API RequestCertificate ou o comandorequest-certificate da AWS CLI, o ACM não executará uma consulta de MX. Em vez disso, ele enviaráe-mails para o nome de domínio especificado no parâmetro DomainName ou no parâmetro opcionalValidationDomain. Para obter mais informações, consulte Registro MX (p. 44).

• administrator@your_domain_name

• hostmaster@your_domain_name

• postmaster@your_domain_name

• webmaster@your_domain_name

• admin@your_domain_name

Para obter mais informações sobre como o ACMdetermina os endereços de e-mail para seus domínios,consulte (Opcional) Configurar e-mail para o domínio (p. 43).

Versão 1.057

AWS Certificate Manager Guia do usuárioValidar com e-mail

O console mostra para onde as mensagens de e-mail de validação foram enviadas para o primeiro nomede domínio especificado na sua solicitação. O e-mail é enviado de no-reply@certificates.amazon.com.

Note

Há uma exceção para o processo descrito acima. Se você solicitar um certificado do ACM paraum nome de domínio que comece com www ou um asterisco curinga (*), o ACM removerá o wwwou o asterisco inicial e enviará e-mails para os endereços administrativos. Esses endereços sãoformadas, antepondo admin@, administrador@, hostmaster@, postmaster@ e webmaster@ao restante do nome de domínio. Por exemplo, se você solicitar um certificado do ACM parawww.example.com, o e-mail será enviado para admin@example.com em vez de ser enviadopara admin@www.example.com. Da mesma forma, se você solicitar um certificado do ACM para*.test.example.com, o e-mail será enviado para admin@test.example.com. Os demais endereçosadministrativos comuns são formados de maneira similar.

Note

Certifique-se de que o e-mail seja enviado para os endereços administrativos de um domínioapex, como example.com, em vez de para os endereços administrativos de um subdomínio,como test.example.com. Para fazer isso, especifique a opção ValidationDomain naAPI RequestCertificate ou use o comando request-certificate da AWS CLI. Esse recurso não écompatível atualmente ao usar o console para solicitar um certificado.

O exemplo a seguir mostra o e-mail de validação que é enviado para cada nome de domínio que vocêespecificar em sua solicitação de certificado.

Versão 1.058

AWS Certificate Manager Guia do usuárioValidar com e-mail

Escolha o link que o envia para o site de aprovações de certificados da Amazon e, em seguida, escolhaAprovo.

Após escolher Aprovo, um site abre para indicar que a solicitação foi bem-sucedida.

Versão 1.059

AWS Certificate Manager Guia do usuárioLista de certificados

Você pode navegar de volta ao console do ACM clicando em um link na página de sucesso. Pode levarvárias horas até que o ACM valide o nome do domínio e emita o certificado. Durante esse período, o ACMmostra o status da validação como Pending validation. Depois de validar o nome do domínio, o ACM alterao status da validação para Success. Depois que a AWS emitir o certificado, o ACM altera o status docertificado para Issued.

Lista de certificados gerenciados pelo ACM–Você pode usar o console ACM ou o AWS CLI para listar os certificados gerenciados pelo ACM

Tópicos• Lista de certificados (console) (p. 60)• Lista de certificados (CLI) (p. 61)

Lista de certificados (console)Exibição de informações de certificadosCada certificado ocupa uma linha no console. Por padrão, as seguintes colunas são exibidas para cadacertificado:

• Nome do domínio – O nome de domínio totalmente qualificado para o certificado.• Nomes adicionais – Nomes adicionais que oferecem suporte a esse certificado.

Versão 1.060

AWS Certificate Manager Guia do usuárioLista de certificados (CLI)

• Status – Status do certificado. Pode ter qualquer um dos valores a seguir:• Validação pendente• Emitido• Inativa• Expirada• Revogado• Reprovada• Tempo expirado

• Em uso? – se o certificado do ACM está ativamente associado a um serviço da AWS, como o ElasticLoad Balancing ou o CloudFront. O valor pode ser Não ou Sim.

Personalizar a exibição do console

Você pode selecionar as colunas que deseja exibir selecionando o ícone de engrenagem ( ) nocanto superior direito do console. Você pode selecionar uma das seguintes colunas.

Lista de certificados (CLI)Você pode usar o comando list-certificates para listar os certificados gerenciados pelo ACM.

aws acm list-certificates --max-items 10

O comando list-certificates produz as seguintes informações:

{ "CertificateSummaryList": [

Versão 1.061

AWS Certificate Manager Guia do usuárioDescrever certificados

{ "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "example.com" }, { "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "mydomain.com" } ]}

Por padrão, apenas certificados suportados pelo Serviços integrados com AWS Certificate Manager (p. 9)são listados. Ou seja, apenas certificados com keyTypes RSA_1024 ou RSA_2048 e pelo menos umdomínio especificado são retornados. Para ver outros certificados controlados por você, como certificadossem domínio ou certificados com algoritmo ou tamanho em bits diferente, forneça o parâmetro --includes conforme mostrado no exemplo a seguir. O parâmetro permite especificar um membro daestrutura de Filtros.

aws acm list-certificates --max-items 10 --includes keyTypes=RSA_4096

Descrever certificados ACMVocê pode usar o console ACM ou o AWS CLI para listar metadados sobre seus certificados.

Tópicos• Descrição de certificados (console) (p. 62)• Descrição de certificados (CLI) (p. 63)

Descrição de certificados (console)Para mostrar os metadados do certificado, selecione a seta imediatamente à esquerda do nome dodomínio. O console exibe informações semelhantes às seguintes.

Versão 1.062

AWS Certificate Manager Guia do usuárioDescrição de certificados (CLI)

Descrição de certificados (CLI)Você pode usar a AWS CLI para obter informações sobre um certificado emitido, excluir um certificado oureenviar a validação por e-mail.

Recuperar campos do certificado do ACMVocê pode usar o comando describe-certificate para listar os metadados de um certificado.

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

O comando describe-certificate produz as seguintes informações:

{ "Certificate": { "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012", "Status": "EXPIRED", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED" }, "SubjectAlternativeNames": [ "example.com", "www.example.com" ], "DomainName": "gregpe.com", "NotBefore": 1450137600.0, "RenewalEligibility": "INELIGIBLE", "NotAfter": 1484481600.0, "KeyAlgorithm": "RSA-2048", "InUseBy": [ "arn:aws:cloudfront::account:distribution/E12KXPQHVLSYVC" ], "SignatureAlgorithm": "SHA256WITHRSA", "CreatedAt": 1450212224.0, "IssuedAt": 1450212292.0, "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE" }, { "Name": "KEY_ENCIPHERMENT" } ], "Serial": "07:71:71:f4:6b:e7:bf:63:87:e6:ad:3c:b2:0f:d0:5b", "Issuer": "Amazon", "Type": "AMAZON_ISSUED", "ExtendedKeyUsages": [ { "OID": "1.3.6.1.5.5.7.3.1", "Name": "TLS_WEB_SERVER_AUTHENTICATION" }, { "OID": "1.3.6.1.5.5.7.3.2", "Name": "TLS_WEB_CLIENT_AUTHENTICATION" } ], "DomainValidationOptions": [ { "ValidationEmails": [

Versão 1.063

AWS Certificate Manager Guia do usuárioExclusão de certificados

"hostmaster@example.com", "admin@example.com", "postmaster@example.com", "webmaster@example.com", "administrator@example.com" ], "ValidationDomain": "example.com", "DomainName": "example.com" }, { "ValidationEmails": [ "hostmaster@example.com", "admin@example.com", "postmaster@example.com", "webmaster@example.com", "administrator@example.com" ], "ValidationDomain": "www.example.com", "DomainName": "www.example.com" } ], "Subject": "CN=example.com" }}

Exclusão de certificados gerenciados pelo ACM–Você pode usar o console ACM ou o AWS CLI para excluir um certificado.

Important

A exclusão de um certificado emitido por uma autoridade de certificação (CA) privada nãoafeta a CA. Você continuará a ser cobrado pela CA até que ela seja excluída. Para obter maisinformações, consulte Excluir a CA privada no Guia do usuário do AWS Certificate ManagerPrivate Certificate Authority.

Exclusão de certificados (console)Na lista de certificados, marque a caixa de seleção do certificado do ACM que você deseja excluir. EmActions, selecione Delete.

Note

Você não pode excluir um certificado do ACM que esteja sendo usado por outro serviço da AWS.Para excluir um certificado que esteja em uso, você deve primeiro remover a associação docertificado.

Exclusão de certificados (CLI)Você pode usar o comando delete-certificate para listar os metadados de um certificado.

aws acm delete-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

Versão 1.064

AWS Certificate Manager Guia do usuárioInstalar certificados do ACM

Instalar certificados do ACMVocê não pode usar o ACM para instalar diretamente seu certificado do ACM no seu site ou aplicativobaseado na AWS. Você deve usar um dos serviços integrados com o ACM. Para obter mais informações,consulte Serviços integrados com AWS Certificate Manager (p. 9).

Reenvio de e-mail de validação (opcional)Você pode usar e-mail para validar que possui ou controla um domínio. Cada e-mail contém um token devalidação que você pode usar para aprovar uma solicitação de certificado. No entanto, como o e-mail devalidação necessário para o processo de aprovação pode ser bloqueado por filtros de spam ou perdido emtrânsito, o token de validação automaticamente expira após 72 horas. Se não receber o e-mail original ouse o token estiver expirado, você poderá solicitar que o e-mail seja reenviado.

Em caso de problemas persistentes com a validação de email, consulte a seção Solucionar problemas devalidação de e-mail (p. 107) em Solução de problemas (p. 102).

Note

As informações a seguir aplicam-se apenas a certificados fornecidos pelo ACM e apenas acertificados que usam validação de e-mail. O e-mail de validação não é necessária para oscertificados que você importar para o ACM (p. 72). Para obter informações sobre a validaçãode domínio de DNS, consulte Usar DNS para validar propriedade de domínio (p. 53).

Tópicos• Reenvio de e-mail (console) (p. 65)• Reenvio de e-mail (CLI) (p. 65)

Reenvio de e-mail (console)Faça login no AWS Console de gerenciamento e abra o console da ACM em https://console.aws.amazon.com/acm/home. Para um certificado listado que mostra um status Pending validation(Validação pendente), marque a caixa de seleção correspondente, selecione Actions (Ações) e escolhaResend validation email (Reenviar e-mail de validação). Se o período de 72 horas passou e o status docertificado foi alterado para Tempo expirado, você não pode reenviar a validação por e-mail.

Reenvio de e-mail (CLI)Você pode usar o comando resend-validation-email para reenviar o e-mail.

aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com

Note

O comando resend-validation-email se aplica apenas a certificados do ACM para os quais vocêestá usando a validação por e-mail. A validação não é necessária para certificados que vocêimportou no ACM ou para certificados privados que você gerencia usando o ACM.

Versão 1.065

AWS Certificate Manager Guia do usuárioValidação de domínio

Renovação gerenciada paracertificados do ACM emitidos pelaAmazon

O ACM fornece renovação gerenciada para seus certificados SSL/TLS emitidos pela Amazon. Isso incluicertificados públicos e privados emitidos ao usar o ACM. Se possível, o ACM renova seus certificadosautomaticamente, sem que você tenha que executar nenhuma ação. O certificado é qualificado pararenovação se estiver associado a outro serviço da AWS, como o Elastic Load Balancing ou o CloudFront,ou se ele já foi exportado desde que foi emitido ou renovado pela última vez.

A renovação automática não está disponível para os certificados da CA privada do ACM para os quaiso ACM não cria a chave privada e a solicitação de assinatura de certificado (CSR), como certificadosemitidos diretamente da CA privada do ACM sem gerenciamento de certificado do ACM. Além disso, arenovação automática não está disponível para os certificados importados (p. 72). Para obter maisinformações, consulte Como a validação manual de domínio funciona.

Quando o ACM renova um certificado, o nome de recurso da Amazon (ARN) do certificado continuaigual. Além disso, os certificados do ACM são recursos regionais (p. 9). Se você tiver certificados para omesmo nome de domínio em várias regiões da AWS o ACM renova cada um desses certificados de formaindependente.

Important

Seu certificado do ACM deve ser ativamente associado a um serviço da AWS com suporte paraque possa ser renovado automaticamente. Para obter informações sobre os recursos com suportedo ACM consulte Serviços integrados com AWS Certificate Manager (p. 9).

Para obter mais informações sobre a renovação gerenciada de certificados, consulte os tópicos a seguir.Se você tiver problemas com a renovação, consulte Solução de problemas de renovação de certificadogerenciado (p. 109).

Tópicos• Como funciona a validação de domínio (p. 66)• Verificar o status de renovação do certificado (p. 68)• Solicitar um e-mail de validação de domínio para renovação de certificado (p. 71)

Como funciona a validação de domínioAntes de renovar um certificado, o ACM tentar validar automaticamente cada nome de domínio nocertificado. Se o ACM não puder validar automaticamente um nome de domínio, ele notificará oproprietário do domínio de que será necessário fazer a validação manualmente e concluir a renovaçãodo certificado. Se o certificado estiver em uso (associado a um serviço da AWS que está integradocom o ACM) e se todos os nomes de domínio no certificado puderem ser validados, o ACM renovará ocertificado.

Versão 1.066

AWS Certificate Manager Guia do usuárioNoções básicas de validação automática de domínio

Noções básicas de validação automática de domínioPara validar um domínio, o ACM envia solicitações HTTPS automatizadas periódicas a ele. Para domíniosque começam com www., o ACM também envia solicitações HTTPS para o domínio pai. Por exemplo, seo seu domínio for www.example.com, o ACM enviará solicitações periódicas para www.example.com eexample.com. Para domínios que não começam com www., o ACM também envia solicitações HTTPSpara www.domain. O ACM trata nomes de domínio curinga (por exemplo, *.example.com) da mesmaforma que o domínio pai. Para obter exemplos, consulte a tabela a seguir.

Note

Se qualquer tentativa de conexão HTTPS for bem-sucedida, o ACM tenta renovar o certificadoautomaticamente. A renovação automática não resultará em uma notificação por e-mail, mesmoque o certificado tenha sido validado originalmente por e-mail.

Exemplo de nomes de domínio que o ACM usa para validação automática

Nome do domínio no certificado Nomes de domínio que o ACM usa para validaçãoautomática

example.com example.com

www.example.com

www.example.com www.example.com

example.com

*.example.com example.com

www.example.com

subdomínio.exemplo.com subdomínio.exemplo.com

www.subdomínio.exemplo.com

www.subdomínio.exemplo.com www.subdomínio.exemplo.com

subdomínio.exemplo.com

*.subdomínio.exemplo.com subdomínio.exemplo.com

www.subdomínio.exemplo.com

Se o ACM estabelecer uma conexão HTTPS, o ACM examina o certificado que é retornado para garantirque corresponda ao certificado que o ACM está renovando. Se houver correspondência, o ACM considerao nome de domínio validado.

Quando há falha na renovação automática decertificadoSe o ACM não puder validar automaticamente um ou mais nomes de domínio em um certificado, o ACMnotificará o proprietário do domínio de que será necessário executar ações para validar manualmente odomínio. Um domínio pode exigir validação manual pelas seguintes razões:

• O ACM não pode estabelecer uma conexão HTTPS com o domínio.

Versão 1.067

AWS Certificate Manager Guia do usuárioVerificar o status da renovação

• O certificado retornado na resposta às solicitações HTTPS não corresponde a um que o ACM estárenovando.

Quando faltar 45 dias para a data de expiração de um certificado e um ou mais nomes de domínio nocertificado requerem validação manual, o ACM notificará o proprietário do domínio das formas a seguir.

Para certificados validados por e-mail:

Se o certificado foi validado por e-mail da última vez, o ACM enviará um e-mail ao proprietário dodomínio para cada nome de domínio que exigir uma validação manual. Para garantir que esse e-mail possa ser recebido, o proprietário do domínio deve configurar corretamente o e-mail de cadadomínio. Para obter mais informações, consulte (Opcional) Configurar e-mail para o domínio (p. 43).O e-mail contém um link que executa a validação. Este link expira após 72 horas. Se necessário, vocêpode usar o console do AWS Certificate Manager ou a API do AWS CLI para solicitar que o ACMreenvie o e-mail de validação de domínio. Para obter mais informações, consulte Solicitar um e-mailde validação de domínio para renovação de certificado (p. 71).

Important

Certificados validados por e-mail são renovados automaticamente até 825 dias após a datada última validação manual. Após 825 dias, o proprietário do domínio ou um representanteautorizado deve revalidar manualmente a propriedade do domínio para continuar com arenovação. Para evitar esse problema, recomendamos a criação de um novo certificado eusar a validação de DNS se você puder fazer isso, já que certificados validados por DNS sãorevalidados indefinidamente, desde que sejam configurados corretamente.

Por notificação no seu AWS Personal Health Dashboard

O ACM envia notificações para seu AWS Personal Health Dashboard para informar que um ou maisnomes de domínio no certificado precisam de validação antes que o certificado seja renovado. O ACMenvia essas notificações quando o certificado está a 45 dias, 30 dias, 15 dias, 7 dias, 3 dias e 1 dia daexpiração. Essas notificações são apenas informativas.

Verificar o status de renovação do certificadoVocê pode usar o console do AWS Certificate Manager, a API do ACM, a AWS CLI ou o Personal HealthDashboard para verificar o status de renovação de um certificado do ACM. Se você usar o console, a AWSCLI ou a API do ACM, a renovação do certificado poderá ter um dos quatro possíveis valores de statuslistados abaixo. Valores semelhantes serão exibidos se você usar o Personal Health Dashboard.

Renovação automática pendente

O ACM está tentando validar automaticamente os nomes de domínio no certificado. Para obter maisinformações, consulte Como funciona a validação de domínio (p. 66). Nenhuma outra ação énecessária.

Validação pendente

O ACM não pode validar automaticamente um ou mais nomes de domínio no certificado. Vocêdeve tomar ação para validar esses nomes de domínio ou o certificado não será renovado. Se,originalmente, você usou a validação de e-mail para o certificado, procure um e-mail do ACM e, emseguida, siga o link nesse e-mail para executar a validação. Se você tiver usado a validação de DNS,verifique se o registro DNS existe e se o certificado permanece em uso.

Bem-sucedida

Todos os nomes de domínio no certificado foram validados, e o ACM renovou o certificado. Nenhumaoutra ação é necessária.

Versão 1.068

AWS Certificate Manager Guia do usuárioVerificar o status (console)

Reprovada

Um ou mais nomes de domínio não foram validados antes que o certificado expirasse, e o ACM nãorenovou o certificado. Você pode solicitar um novo certificado (p. 47).

O certificado é qualificado para renovação se estiver associado a outro serviço da AWS, como o ElasticLoad Balancing ou o CloudFront, ou se ele já foi exportado desde que foi emitido ou renovado pela últimavez.

Note

Pode levar várias horas para que as alterações no status do certificado se tornem disponíveis.

Tópicos• Verificar o status (console) (p. 69)• Verificar o status (API) (p. 69)• Verificar o status (CLI) (p. 69)• Verificar o status (PHD) (p. 69)

Verificar o status (console)O procedimento a seguir discute como usar o console do ACM para verificar o status de renovação de umcertificado do ACM.

1. Abra o console do AWS Certificate Manager em https://console.aws.amazon.com/acm/home.2. Expanda um certificado para visualizar seus detalhes.3. Localize o Renewal Status na seção Details. Se você não vir o status, o ACM não terá iniciado o

processo de renovação gerenciada para esse certificado.

Verificar o status (API)Para um exemplo de Java que mostra como usar a ação DescribeCertificate para verificar o status,consulte Descrever um certificado (p. 84).

Verificar o status (CLI)O exemplo a seguir mostra como verificar o status da renovação de seu certificado do ACM com a AWSCommand Line Interface (AWS CLI).

$ aws acm describe-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e

Na resposta, observe o valor no campo RenewalStatus. Se você não vir o campo RenewalStatus, oACM não terá iniciado o processo de renovação gerenciada para o certificado.

Verificar o status (PHD)O ACM tenta renovar automaticamente seu certificado do ACM sessenta dias antes da expiração.Consulte Como funciona a validação de domínio (p. 66). Se o ACM não puder renovar automaticamenteo certificado, ele enviará notificações de evento de renovação do certificado a seu Personal HealthDashboard em intervalos de 45 dias, 30 dias, 15 dias, 7 dias, 3 dias e 1 dia da expiração para informá-lode que você precisa tomar uma ação. O exemplo de Personal Health Dashboard é parte do serviço AWS

Versão 1.069

AWS Certificate Manager Guia do usuárioVerificar o status (PHD)

Health. Ele não requer nenhuma configuração e pode ser visualizado por qualquer usuário autenticado emsua conta. Para obter mais informações, consulte Guia do usuário do AWS Health.

Para usar o Personal Health Dashboard:

1. Faça login no Personal Health Dashboard em https://phd.aws.amazon.com/phd/home#/.2. Escolha Event log.3. Em Filtrar por tags ou atributos, escolha Service.4. Escolha Certificate Manager.5. Escolha Aplicar.6. Em Event category, escolha Scheduled Change.7. Escolha Aplicar.

Se o ACM tiver renovado um certificado do ACM recentemente, você verá informações semelhantes àsseguintes.

Versão 1.070

AWS Certificate Manager Guia do usuárioSolicitar e-mail (opcional)

Solicitar um e-mail de validação de domínio pararenovação de certificado

Após configurar os endereços de e-mail de contato para seu domínio (consulte (Opcional) Configurar e-mail para o domínio (p. 43)), você pode usar o console do AWS Certificate Manager ou a API do ACM parasolicitar que o ACM envie um e-mail de validação de domínio para renovação do certificado. Você devefazer isso nas seguintes circunstâncias:

• Você usou a validação de e-mail ao solicitar seu certificado do ACM inicialmente.• O status da renovação do certificado é Pending validation. Para obter informações sobre como

determinar o status de renovação do certificado, consulte Verificar o status de renovação docertificado (p. 68).

• Você não recebeu ou não pode encontrar o e-mail de validação de domínio original que o ACM envioupara a renovação do certificado.

Para solicitar que o ACM reenvie o e-mail de validação de domínio (console)

1. Abra o console do AWS Certificate Manager em https://console.aws.amazon.com/acm/home.2. Selecione a caixa de seleção próxima ao certificado que requer validação de domínio manual. Em

seguida, escolha Ações, Reenviar e-mail de validação.

Para solicitar que o ACM reenvie o e-mail de validação de domínio (API ACM)

Use a operação ResendValidationEmail na API do ACM. Ao fazer isso, passe o nome de região daAmazon (ARN) do certificado, o domínio que requer validação manual e o domínio no qual você desejareceber os e-mails de validação do domínio. O exemplo a seguir mostra como fazer isso com a AWS CLI.Este exemplo contém quebras de linha para facilitar a leitura.

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:us-east-2:111122223333:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e --domain subdomain.example.com --validation-domain example.com

Versão 1.071

AWS Certificate Manager Guia do usuárioPré-requisitos

Importar certificados para o AWSCertificate Manager

Além de solicitar certificados SSL/TLS fornecidos pelo AWS Certificate Manager (ACM), você podeimportar os certificados que obteve fora da AWS. Você pode fazer isso porque já obteve um certificado deum emissor de terceiros, ou porque os certificados fornecidos pelo ACM não atendem aos seus requisitos.

Após importar um certificado SSL/TLS obtido fora da AWS e associá-lo aos serviços integrados com aACM, você pode reimportar o certificado, sem deixar de preservar suas associações. Vários certificadoscom o mesmo nome de domínio podem ser importados, mas eles devem ser importadas um de cada vez.

Depois de importar um certificado, você pode usá-lo com os serviços da AWS que são integrados como ACM (p. 9). Os certificados que você importar funcionam da mesma forma que os fornecidos peloACM com uma exceção importante: o ACM não fornece renovação gerenciada (p. 66) para certificadosimportados.

Important

Você é responsável por monitorar a data de expiração dos seus certificados importados e pelarenovação antes que expirem. Se você importar um novo certificado com o mesmo ARN docertificado que está expirando, o novo certificado substituirá o antigo. Além disso, o ACM associao novo certificado com os mesmos serviços e recursos do certificado antigo.Important

Recomendamos que você não fixe um certificado do ACM. Para obter mais informações, consulteFixação do certificado (p. 14) e Solução de problemas de fixação do certificado (p. 115).

Para renovar um certificado importado, você pode obter um novo certificado do seu emissor do certificadoe, em seguida, importá-lo para o ACM ou você pode solicitar um novo certificado (p. 47) do ACM.

Todos os certificados no ACM são recursos regionais, incluindo os certificados que você importar. Parausar o mesmo certificado com os load balancers do Elastic Load Balancing; em diferentes regiões da AWS,você deve importar o certificado para cada região em que deseja usá-lo. Para usar um certificado com oAmazon CloudFront, você deve importá-lo na região Leste dos EUA (Norte da Virgínia). Para obter maisinformações, consulte Regiões compatíveis (p. 9).

Para obter mais informações sobre como importar certificados para o ACM, consulte os tópicos a seguir.Se você tiver problemas ao importar um certificado, consulte Solução de problemas de importação decertificado (p. 114).

Tópicos• Pré-requisitos para importação de certificados (p. 72)• Formato de chaves e certificados para importação (p. 73)• Importar um certificado (p. 75)• Reimportar um certificado (p. 76)

Pré-requisitos para importação de certificadosPara importar um certificado SSL/TLS –autoassinado para o ACM, você deve fornecer o certificado e suachave privada. Para importar um certificado assinado, você também deve incluir a cadeia de certificados. Ocertificado deve atender aos seguintes critérios:

Versão 1.072

AWS Certificate Manager Guia do usuárioFormato do certificado

• O certificado deve especificar um algoritmo de criptografia e um tamanho de chave. Os seguintesalgoritmos são compatíveis com o ACM:• RSA de 1024 bits (RSA_1024)• RSA de 2048 bits (RSA_2048)• RSA de 4096 bits (RSA_4096)• Elliptic Prime Curve de 256 bits (EC_prime256v1)• Elliptic Prime Curve de 384 bits (EC_secp384r1)• Elliptic Prime Curve de 521 bits (EC_secp521r1)

Important

Observe que os serviços integrados permitem apenas que sejam associados aos recursosos algoritmos e os tamanhos de chaves compatíveis. Por exemplo, a chave pública deve ter1024 ou 2048 bits para integração com CloudFront. Para obter mais informações, consulte adocumentação da para cada serviço.

• Para Elastic Load Balancing, consulte Listeners HTTPS de seu Application Load Balancer eUsando um certificado SSL/TLS com um Load Balancer.

• Para CloudFront, consulte Protocolos de SSL/TLS compatíveis e cifras e Requisitos detamanho de chave pública.

• O certificado deve ser um certificado X.509 SSL/TLS versão 3. Ele deve conter uma chave pública, onome de domínio totalmente qualificado (FQDN) ou o endereço IP para o seu site e informações sobreo emissor. O certificado pode ser autoassinado por sua chave privada ou pela chave privada de uma CAemissora. Se o certificado for assinado por uma CA, você deverá incluir a cadeia de certificados quandofor importá-lo.

• O certificado deve ser válido no momento da importação. Você não pode importar um certificado antesde seu período de validade começar nem depois de ele expirar. O campo NotBefore do certificadocontém a data de início da validade e o campo NotAfter contém a data de término.

• A chave privada deve ser não criptografada. Você não pode importar uma chave privada que sejaprotegida por uma senha ou código de acesso.

• O certificado, a chave privada e a cadeia de certificados devem ser codificados em PEM–. Para obtermais informações e exemplos, consulte Formato de chaves e certificados para importação (p. 73).

• O algoritmo de criptografia de um certificado importado deve corresponder ao algoritmo da CA deassinatura. Por exemplo, se o tipo de chave da CA de assinatura for RSA, o tipo de chave do certificadotambém deverá ser RSA.

Formato de chaves e certificados para importaçãoO certificado, a cadeia de certificados e a chave privada (se houver) são importados separadamentee devem ser codificados por PEM. PEM significa Privacy Enhanced Mail (E-mails reforçados paraprivacidade). O formato PEM é frequentemente usado para representar certificados, solicitações decertificado, cadeias de certificados e chaves. A extensão típica para um arquivo formatado PEM–é .pem,mas ela não é obrigatória.

Os exemplos a seguir ilustram o formato dos arquivos a serem importados. Se os componentes vierem emum único arquivo, use um editor de texto (cuidadosamente) para separá-los em três arquivos. Observe quese você editar qualquer um dos caracteres de forma incorreta em um arquivo PEM, ou se adicionar um oumais espaços no final de qualquer linha, o certificado, a cadeia de certificados ou a chave privada serãoinvalidados.

Versão 1.073

AWS Certificate Manager Guia do usuárioFormato do certificado

Example 1. O certificado codificado em PEM

-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----

Example 2. A cadeia de certificados codificada em PEM

Uma cadeia de certificados contém um ou mais certificados. Você pode usar um editor de texto, ocomando copy no Windows ou o comando cat do Linux para concatenar os arquivos de certificado emuma cadeia. Os certificados devem ser concatenados em ordem para que cada um certifique diretamenteo certificado anterior. Se estiver importando um certificado privado, copie o certificado raiz por último. Oexemplo a seguir contém três certificados, mas sua cadeia de certificados pode conter mais ou menos.

Important

Não copie o seu certificado para a cadeia de certificados.

-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----

Example 3. Chaves privadas codificadas em PEM (somente certificado privado)

Os certificados X.509 versão 3 utilizam algoritmos de chave pública. Quando você cria um certificado ousolicitação de certificado X.509, especifica o algoritmo e o tamanho em bits da chave, os quais devemser usados para criar o par de chaves privada–pública. A chave pública é colocada no certificado ouna solicitação. Você deve manter a chave privada associada em segredo. Especifique a chave privadaquando você importar o certificado. A chave não deve estar criptografada. O exemplo a seguir mostra umachave privada RSA.

-----BEGIN RSA PRIVATE KEY-----Base64–encoded private key-----END RSA PRIVATE KEY-----

O próximo exemplo mostra uma chave privada curva elíptica codificada em PEM. Dependendo de comovocê cria a chave, os blocos de parâmetros podem não ser incluídos. Se os blocos de parâmetrosestiverem incluídos, o ACM os removerá antes de usar a chave durante o processo de importação.

-----BEGIN EC PARAMETERS-----Base64–encoded parameters-----END EC PARAMETERS----------BEGIN EC PRIVATE KEY-----Base64–encoded private key-----END EC PRIVATE KEY-----

Versão 1.074

AWS Certificate Manager Guia do usuárioImportar um certificado

Importar um certificadoVocê pode importar um certificado para o ACM usando o Console de gerenciamento da AWS, a AWS CLIou a API do ACM. Os tópicos a seguir mostram como usar o Console de gerenciamento da AWS e a AWSCLI.

Tópicos• Importar usando o console (p. 75)• Importar usando a AWS CLI (p. 75)

Importar usando o consoleO exemplo a seguir mostra como importar um certificado usando o Console de gerenciamento da AWS.

1. Abra o console do ACM em https://console.aws.amazon.com/acm/home. Se esta é a primeira vezque você usa o ACM, procure o cabeçalho AWS Certificate Manager e escolha o botão Get Started(Comece a usar) abaixo dele.

2. Selecione Importar um certificado.3. Faça o seguinte:

a. Para Corpo do certificado, cole o certificado codificado PEM a importar.b. Para o Certificado de chave privada, cole a chave privada não criptografada e codificada PEM

correspondente à chave pública do certificado.

Important

No momento, o Serviços integrados com AWS Certificate Manager (p. 9) é compatívelapenas com os algoritmos RSA_1024 e RSA_2048.

c. (Opcional) Para Corpo do certificado, cole a cadeia do certificado codificado PEM.4. Selecione Revisar e importar.5. Revise as informações sobre o certificado e, em seguida, escolha Importar.

Importar usando a AWS CLIO exemplo a seguir mostra como importar um certificado usando o AWS Command Line Interface (AWSCLI). O exemplo supõe o seguinte:

• O certificado codificado PEM está armazenado em um arquivo chamado Certificate.pem.• A cadeia do certificado codificado PEM está armazenada em um arquivo chamadoCertificateChain.pem.

• A chave privada não criptografada codificada PEM está armazenada em um arquivo chamadoPrivateKey.pem.

Para usar o exemplo a seguir, substitua os nomes de arquivos com os nomes dos seus e digite o comandoem uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras para facilitar aleitura.

$ aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

Versão 1.075

AWS Certificate Manager Guia do usuárioReimportar um certificado

Se o comando import-certificate for bem-sucedido, ele retorna o Amazon Resource Name (ARN) docertificado importado.

Reimportar um certificadoSe você importou um certificado e o associou a outros serviços da AWS, você pode reimportar essecertificado antes que ele expire, sem deixar de preservar as associações de serviço do certificado originalda AWS. Para obter mais informações sobre os serviços da AWS integrados com o ACM, consulteServiços integrados com AWS Certificate Manager (p. 9).

As seguintes condições se aplicam ao reimportar um certificado:

• Você pode adicionar ou remover nomes de domínio.• Você não pode remover todos os nomes de domínio de um certificado.• Você pode adicionar novos valores de extensão de Key Usage, mas os valores de extensão existentes

não podem ser removidos.• Você pode adicionar novas extensões de Extended Key Usage, mas os valores de extensão existentes

não podem ser removidos.• O tipo e o tamanho de chaves não podem ser alterados.• Não é possível aplicar tags de recurso ao reimportar um certificado.

Tópicos• Reimportar usando o console (p. 76)• Reimportar usando a AWS CLI (p. 77)

Reimportar usando o consoleO exemplo a seguir mostra como reimportar um certificado usando o Console de gerenciamento da AWS.

1. Abra o console do ACM em https://console.aws.amazon.com/acm/home.2. Selecione ou expanda o certificado para reimportação.3. Abra o painel de detalhes do certificado e escolha o botão Reimportar certificado. Se você selecionou

o certificado marcando a caixa de seleção ao lado do nome dele, escolha Reimportar certificado nomenu Ações.

4. Para Corpo do certificado, cole o certificado da entidade final codificado em PEM.5. Para a Chave privada do certificado, cole a chave privada não criptografada e codificada PEM

associada à chave pública do certificado.

Important

No momento, o Serviços integrados com AWS Certificate Manager (p. 9) é compatívelapenas com os algoritmos RSA_1024 e RSA_2048.

6. (Opcional) Para Certificate chain (Cadeia de certificados), cole a cadeia de certificados codificada emPEM. A cadeia de certificados inclui um ou mais certificados para todas as autoridades emissorasde certificação intermediárias e o certificado raiz. Se o certificado a ser importado é autoatribuído,nenhuma cadeia de certificados é necessária.

7. Selecione Revisar e importar.8. Revise as informações sobre seu certificado. Se não houver erros, escolha Reimportar.

Versão 1.076

AWS Certificate Manager Guia do usuárioReimportar usando a AWS CLI

Reimportar usando a AWS CLIO exemplo a seguir mostra como reimportar um certificado usando o AWS Command Line Interface (AWSCLI). O exemplo supõe o seguinte:

• O certificado codificado PEM está armazenado em um arquivo chamado Certificate.pem.• A cadeia do certificado codificado PEM está armazenada em um arquivo chamadoCertificateChain.pem.

• (Somente certificados privados) A chave privada não criptografada codificada em PEM é armazenadaem um arquivo chamado PrivateKey.pem.

• Você tem o ARN do certificado que deseja reimportar.

Para usar o exemplo a seguir, substitua os nomes de arquivos e o ARN pelos nomes dos seus e digite ocomando em uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras parafacilitar a leitura.

Note

Para reimportar um certificado, você deve especificar o ARN do certificado.

$ aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Se o comando import-certificate for bem-sucedido, ele retorna o Nome de recurso da Amazon(ARN) do certificado.

Versão 1.077

AWS Certificate Manager Guia do usuárioRestrições de tag

Marcação de certificados AWSCertificate Manager

Uma tag é um rótulo que você pode atribuir a um certificado do ACM. Cada tag consiste em uma chave eum valor. Você pode usar o console do AWS Certificate Manager, o AWS Command Line Interface (AWSCLI) ou a API do ACM para adicionar, visualizar ou remover tags para certificados do ACM. Você podeescolher quais tags exibir no console do ACM.

Você pode criar tags personalizadas que atendam às suas necessidades. Por exemplo, você poderiamarcar vários certificados do ACM com uma tag Environment = Prod ou Environment = Beta paraidentificar o ambiente a que cada certificado do ACM se destina. A lista a seguir inclui alguns exemplosadicionais de outras tags personalizadas:

• Admin = Alice

• Purpose = Website

• Protocol = TLS

• Registrar = Route53

Outros recursos da AWS também dão suporte à marcação. Você pode, portanto, atribuir a mesma tag adiferentes recursos para indicar se esses recursos estão relacionados. Por exemplo, você pode atribuiruma tag como Website = example.com ao certificado do ACM, ao load balancer e a outros recursosusados para o seu site example.com.

Tópicos• Restrições de tag (p. 78)• Gerenciamento de tags (p. 79)

Restrições de tagAs seguintes restrições básicas se aplicam a tags de certificados do ACM:

• O número máximo de tags por certificado do ACM é 50.• O tamanho máximo de uma chave de tag é 127 caracteres.• O tamanho máximo de um valor de tag é 255 caracteres.• As chaves e os valores de tags diferenciam maiúsculas de minúsculas.• O prefixo aws: é reservado para uso da AWS, não é possível adicionar, editar nem excluir tags cujas

chaves comecem com aws:. As tags que começam com aws: não são consideradas para a cota detags por recurso.

• Se você planeja usar o esquema de tags em vários serviços e recursos, lembre-se de que outrosserviços podem ter outras restrições para caracteres permitidos. Consulte a documentação desseserviço.

• As tags de certificados do ACM não estão disponíveis para uso em Grupos de recursos e editor de tagsdo Console de gerenciamento da AWS.

Para obter informações gerais sobre a marcação de convenções da AWS, consulte Marcar recursos daAWS.

Versão 1.078

AWS Certificate Manager Guia do usuárioGerenciamento de tags

Gerenciamento de tagsVocê pode adicionar, editar e excluir as tags usando o Console de gerenciamento do AWS, o AWSCommand Line Interface ou a API AWS Certificate Manager.

Gerenciar tags (console)Você pode usar o Console de gerenciamento da AWS para adicionar, excluir ou editar tags. Você tambémpode exibir tags em colunas.

Adicionar uma tag (console)Use o procedimento a seguir para adicionar tags usando o console do ACM.

Para adicionar uma tag a um certificado (console)

1. Faça login no Console de gerenciamento da AWS e abra o console da AWS Certificate Manager emhttps://console.aws.amazon.com/acm/home.

2. Escolha a seta próxima ao certificado ao qual você deseja adicionar uma tag.3. No painel de detalhes, role para baixo até Tags.4. Selecione Editar e Adicionar tag.5. Digite uma chave e um valor para a tag.6. Escolha Salvar.

Excluir uma tag (console)Use o procedimento a seguir para excluir tags usando o console do ACM.

Para excluir uma tag (console)

1. Faça login no Console de gerenciamento da AWS e abra o console da AWS Certificate Manager emhttps://console.aws.amazon.com/acm/home.

2. Escolha a seta ao lado do certificado com uma tag que você deseja excluir.3. No painel de detalhes, role para baixo até Tags.4. Selecione Edit.5. Escolha o X ao lado da tag que você deseja excluir.6. Escolha Salvar.

Editar uma tag (console)Use o procedimento a seguir para editar tags usando o console do ACM.

Para editar uma tag (console)

1. Faça login no Console de gerenciamento da AWS e abra o console da AWS Certificate Manager emhttps://console.aws.amazon.com/acm/home.

2. Escolha a seta ao lado do certificado que você deseja editar.3. No painel de detalhes, role para baixo até Tags.4. Selecione Edit.5. Modifique a chave ou o valor da tag que você deseja alterar.

Versão 1.079

AWS Certificate Manager Guia do usuárioGerenciamento de tags (AWS Command Line Interface)

6. Escolha Salvar.

Mostrar tags em colunas (console)Use o procedimento a seguir para mostrar tags em colunas no console do ACM.

Para exibir tags em colunas (console)

1. Faça login no Console de gerenciamento da AWS e abra o console da AWS Certificate Manager emhttps://console.aws.amazon.com/acm/home.

2.Escolha as tags que deseja exibir como colunas selecionando o ícone de engrenagem nocanto superior direito do console.

3. Selecione a caixa de seleção ao lado da tag que você deseja exibir em uma coluna.

Gerenciamento de tags (AWS Command LineInterface)Consulte os tópicos a seguir para saber como adicionar, listar e excluir tags usando AWS CLI.

• add-tags-to-certificate

• list-tags-for-certificate

• remove-tags-from-certificate

Gerenciamento de tags (API AWS CertificateManager)Consulte os tópicos a seguir para saber como adicionar, listar e excluir tags usando a API.

• AddTagsToCertificate

• ListTagsForCertificate

• RemoveTagsFromCertificate

Versão 1.080

AWS Certificate Manager Guia do usuárioAddTagsToCertificate

Uso da API ACMVocê pode usar a API AWS Certificate Manager para interagir com o serviço de forma programática,enviando solicitações HTTP. Para obter mais informações, consulte o Referência de API do AWSCertificate Manager.

Além da API da web (ou API HTTP), você pode usar os SDKs AWS e ferramentas de linha de comandopara interagir com o ACM e outros serviços. Para obter mais informações, consulte Ferramentas para oAmazon Web Services.

Os tópicos a seguir mostram como usar um dos SDKs da AWS, o AWS SDK for Java, para executaralgumas das operações disponíveis na API do AWS Certificate Manager.

Tópicos• Adicionar tags a um certificado (p. 81)• Excluir um certificado (p. 83)• Descrever um certificado (p. 84)• Exportar um certificado (p. 86)• Recuperar um certificado e uma cadeia de certificados (p. 88)• Importar um certificado (p. 90)• Listar certificados (p. 92)• Renovar um certificado (p. 94)• Listagem das tags do certificado (p. 95)• Remover tags de um certificado (p. 96)• Solicitar um certificado (p. 98)• Reenviar e-mail de validação (p. 99)

Adicionar tags a um certificadoO exemplo a seguir mostra como usar a função AddTagsToCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.AddTagsToCertificateRequest;import com.amazonaws.services.certificatemanager.model.AddTagsToCertificateResult;import com.amazonaws.services.certificatemanager.model.Tag;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.TooManyTagsException;

import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.regions.Regions;

import java.util.ArrayList;

Versão 1.081

AWS Certificate Manager Guia do usuárioAddTagsToCertificate

/** * This sample demonstrates how to use the AddTagsToCertificate function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - The ARN of the certificate to which to add one or more tags. * Tags - An array of Tag objects to add. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create tags. Tag tag1 = new Tag(); tag1.setKey("Short_Name"); tag1.setValue("My_Cert");

Tag tag2 = new Tag() .withKey("Purpose") .withValue("Test");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);

// Create a request object and specify the ARN of the certificate. AddTagsToCertificateRequest req = new AddTagsToCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setTags(tags);

// Add tags to the specified certificate. AddTagsToCertificateResult result = null; try { result = client.addTagsToCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(InvalidTagException ex) { throw ex; }

Versão 1.082

AWS Certificate Manager Guia do usuárioDeleteCertificate

catch(ResourceNotFoundException ex) { throw ex; } catch(TooManyTagsException ex) { throw ex; }

// Display the result. System.out.println(result); }}

Excluir um certificadoO exemplo a seguir mostra como usar a função DeleteCertificate. Se bem-sucedida, a função retornará umconjunto vazio {}.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DeleteCertificateRequest;import com.amazonaws.services.certificatemanager.model.DeleteCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceInUseException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the DeleteCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to delete. * */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

// Create a client.

Versão 1.083

AWS Certificate Manager Guia do usuárioDescribeCertificate

AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and specify the ARN of the certificate to delete. DeleteCertificateRequest req = new DeleteCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Delete the specified certificate. DeleteCertificateResult result = null; try { result = client.deleteCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceInUseException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result);

}}

Descrever um certificadoO exemplo a seguir mostra como usar a função DescribeCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DescribeCertificateRequest;import com.amazonaws.services.certificatemanager.model.DescribeCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the DescribeCertificate function in the AWS Certificate * Manager service. *

Versão 1.084

AWS Certificate Manager Guia do usuárioDescribeCertificate

* Input parameter: * CertificateArn - The ARN of the certificate to be described. * * Output parameter: * Certificate information * */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the ARN of the certificate to be described. DescribeCertificateRequest req = new DescribeCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

DescribeCertificateResult result = null; try{ result = client.describeCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Display the certificate information. System.out.println(result);

}}

Se bem-sucedido, o exemplo anterior exibirá informações semelhantes a estas.

{ Certificate: { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example.com, SubjectAlternativeNames: [www.example.com], DomainValidationOptions: [{ DomainName: www.example.com, }],

Versão 1.085

AWS Certificate Manager Guia do usuárioExportCertificate

Serial: 10: 0a, Subject: C=US, ST=WA, L=Seattle, O=ExampleCompany, OU=sales, CN=www.example.com, Issuer: ExampleCompany, ImportedAt: FriOct0608: 17: 39PDT2017, Status: ISSUED, NotBefore: ThuOct0510: 14: 32PDT2017, NotAfter: SunOct0310: 14: 32PDT2027, KeyAlgorithm: RSA-2048, SignatureAlgorithm: SHA256WITHRSA, InUseBy: [], Type: IMPORTED, }}

Exportar um certificadoO exemplo a seguir mostra como usar a função ExportCertificate. Essa função exporta um certificadoprivado emitido por uma autoridade de certificação (CA) privada no formato PKCS #8. (Não é possívelexportar certificados públicos independentemente de serem emitidos pelo ACM ou importados.) Elatambém exporta a cadeia de certificados e a chave privada. No exemplo, a frase secreta da chave éarmazenada em um arquivo local.

package com.amazonaws.samples;

import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;

import com.amazonaws.services.certificatemanager.model.ExportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ExportCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;

import java.io.FileNotFoundException;import java.io.IOException;import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;

public class ExportCertificate {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials in Linux. AWSCredentials credentials = null; try {

Versão 1.086

AWS Certificate Manager Guia do usuárioExportCertificate

credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.your_region) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Initialize a file descriptor for the passphrase file. RandomAccessFile file_passphrase = null;

// Initialize a buffer for the passphrase. ByteBuffer buf_passphrase = null;

// Create a file stream for reading the private key passphrase. try { file_passphrase = new RandomAccessFile("C:\\Temp\\password.txt", "r"); } catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }

// Create a channel to map the file. FileChannel channel_passphrase = file_passphrase.getChannel();

// Map the file to the buffer. try { buf_passphrase = channel_passphrase.map(FileChannel.MapMode.READ_ONLY, 0, channel_passphrase.size());

// Clean up after the file is mapped. channel_passphrase.close(); file_passphrase.close(); } catch (IOException ex) { throw ex; }

// Create a request object. ExportCertificateRequest req = new ExportCertificateRequest();

// Set the certificate ARN. req.withCertificateArn("arn:aws:acm:region:account:" +"certificate/M12345678-1234-1234-1234-123456789012");

// Set the passphrase. req.withPassphrase(buf_passphrase);

// Export the certificate. ExportCertificateResult result = null;

try { result = client.exportCertificate(req); } catch(InvalidArnException ex)

Versão 1.087

AWS Certificate Manager Guia do usuárioGetCertificate

{ throw ex; } catch (InvalidTagException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Clear the buffer. buf_passphrase.clear();

// Display the certificate and certificate chain. String certificate = result.getCertificate(); System.out.println(certificate);

String certificate_chain = result.getCertificateChain(); System.out.println(certificate_chain);

// This example retrieves but does not display the private key. String private_key = result.getPrivateKey(); }}

Recuperar um certificado e uma cadeia decertificados

O exemplo a seguir mostra como usar a função GetCertificate.

package com.amazonaws.samples;

import com.amazonaws.regions.Regions;import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.GetCertificateRequest;import com.amazonaws.services.certificatemanager.model.GetCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.RequestInProgressException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the GetCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to retrieve. * * Output parameters: * Certificate - A base64-encoded certificate in PEM format. * CertificateChain - The base64-encoded certificate chain in PEM format.

Versão 1.088

AWS Certificate Manager Guia do usuárioGetCertificate

* */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from the credential profiles file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the ARN of the certificate to be described. GetCertificateRequest req = new GetCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Retrieve the certificate and certificate chain. // If you recently requested the certificate, loop until it has been created. GetCertificateResult result = null; long totalTimeout = 120000l; long timeSlept = 0l; long sleepInterval = 10000l; while (result == null && timeSlept < totalTimeout) { try { result = client.getCertificate(req); } catch (RequestInProgressException ex) { Thread.sleep(sleepInterval); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }

timeSlept += sleepInterval; }

// Display the certificate information. System.out.println(result); }}

O exemplo anterior cria um resultado semelhante ao seguinte:

{Certificate: -----BEGIN CERTIFICATE-----

Versão 1.089

AWS Certificate Manager Guia do usuárioImportCertificate

base64-encoded certificate-----END CERTIFICATE-----,CertificateChain: -----BEGIN CERTIFICATE----- base64-encoded certificate chain -----END CERTIFICATE-----}

Importar um certificadoO exemplo a seguir mostra como usar a função ImportCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.ImportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ImportCertificateResult;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;import java.io.FileNotFoundException;import java.io.IOException;

import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;

/** * This sample demonstrates how to use the ImportCertificate function in the AWS Certificate Manager * service. * * Input parameters: * Certificate - PEM file that contains the certificate to import. * CertificateArn - Use to reimport a certificate (not included in this example). * CertificateChain - The certificate chain, not including the end-entity certificate. * PrivateKey - The private key that matches the public key in the certificate. * * Output parameter: * CertificcateArn - The ARN of the imported certificate. * */public class AWSCertificateManagerSample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException(

Versão 1.090

AWS Certificate Manager Guia do usuárioImportCertificate

"Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Initialize the file descriptors. RandomAccessFile file_certificate = null; RandomAccessFile file_chain = null; RandomAccessFile file_key = null;

// Initialize the buffers. ByteBuffer buf_certificate = null; ByteBuffer buf_chain = null; ByteBuffer buf_key = null;

// Create the file streams for reading. try { file_certificate = new RandomAccessFile("C:\\Temp\\certificate.pem", "r"); file_chain = new RandomAccessFile("C:\\Temp\\chain.pem", "r"); file_key = new RandomAccessFile("C:\\Temp\\private_key.pem", "r"); } catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }

// Create channels for mapping the files. FileChannel channel_certificate = file_certificate.getChannel(); FileChannel channel_chain = file_chain.getChannel(); FileChannel channel_key = file_key.getChannel();

// Map the files to buffers. try { buf_certificate = channel_certificate.map(FileChannel.MapMode.READ_ONLY, 0, channel_certificate.size()); buf_chain = channel_chain.map(FileChannel.MapMode.READ_ONLY, 0, channel_chain.size()); buf_key = channel_key.map(FileChannel.MapMode.READ_ONLY, 0, channel_key.size());

// The files have been mapped, so clean up. channel_certificate.close(); channel_chain.close(); channel_key.close(); file_certificate.close(); file_chain.close(); file_key.close(); } catch (IOException ex) { throw ex; }

// Create a request object and set the parameters. ImportCertificateRequest req = new ImportCertificateRequest(); req.setCertificate(buf_certificate); req.setCertificateChain(buf_chain); req.setPrivateKey(buf_key);

Versão 1.091

AWS Certificate Manager Guia do usuárioListCertificates

// Import the certificate. ImportCertificateResult result = null; try { result = client.importCertificate(req); } catch(LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Clear the buffers. buf_certificate.clear(); buf_chain.clear(); buf_key.clear();

// Retrieve and display the certificate ARN. String arn = result.getCertificateArn(); System.out.println(arn); }}

Listar certificadosO exemplo a seguir mostra como usar a função ListCertificates.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListCertificatesRequest;import com.amazonaws.services.certificatemanager.model.ListCertificatesResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.AmazonClientException;

import java.util.Arrays;import java.util.List;

/** * This sample demonstrates how to use the ListCertificates function in the AWS Certificate * Manager service. * * Input parameters: * CertificateStatuses - An array of strings that contains the statuses to use for filtering. * MaxItems - The maximum number of certificates to return in the response. * NextToken - Use when paginating results. * * Output parameters: * CertificateSummaryList - A list of certificates. * NextToken - Use to show additional results when paginating a truncated list. *

Versão 1.092

AWS Certificate Manager Guia do usuárioListCertificates

*/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the parameters. ListCertificatesRequest req = new ListCertificatesRequest(); List<String> Statuses = Arrays.asList("ISSUED", "EXPIRED", "PENDING_VALIDATION", "FAILED"); req.setCertificateStatuses(Statuses); req.setMaxItems(10);

// Retrieve the list of certificates. ListCertificatesResult result = null; try { result = client.listCertificates(req); } catch (Exception ex) { throw ex; }

// Display the certificate list. System.out.println(result); }}

O exemplo anterior cria um resultado semelhante ao seguinte:

{ CertificateSummaryList: [{ CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example1.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example2.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example3.com }]}

Versão 1.093

AWS Certificate Manager Guia do usuárioRenewCertificate

Renovar um certificadoO exemplo a seguir mostra como usar a função RenewCertificate. A função renova um certificado privadoemitido por uma autoridade de certificação (CA) privada e exportado com a função ExportCertificate. Nomomento, somente certificados privados exportados podem ser renovados com essa função. Para renovaros certificados de ACM PCA com o ACM, você deve primeiro conceder as permissões de principal doserviço do ACM para fazer isso. Para obter mais informações, consulte Atribuir permissões de renovaçãode certificado ao ACM.

package com.amazonaws.samples;

import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;

import com.amazonaws.services.certificatemanager.model.RenewCertificateRequest;import com.amazonaws.services.certificatemanager.model.RenewCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.ValidationException;

import java.io.FileNotFoundException;import java.io.IOException;import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;

public class RenewCertificate {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.your_region) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and specify the ARN of the certificate to renew. RenewCertificateRequest req = new RenewCertificateRequest(); req.withCertificateArn("arn:aws:acm:region:account:" +"certificate/M12345678-1234-1234-1234-123456789012");

// Renew the certificate.

Versão 1.094

AWS Certificate Manager Guia do usuárioListTagsForCertificate

RenewCertificateResult result = null; try { result = client.renewCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; } catch (ValidationException ex) { throw ex; }

// Display the result. System.out.println(result); }}

Listagem das tags do certificadoO exemplo a seguir mostra como usar a função ListTagsForCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateRequest;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.regions.Regions;

/** * This sample demonstrates how to use the ListTagsForCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate whose tags you want to list. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try {

Versão 1.095

AWS Certificate Manager Guia do usuárioRemoveTagsFromCertificate

credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and specify the ARN of the certificate. ListTagsForCertificateRequest req = new ListTagsForCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Create a result object. ListTagsForCertificateResult result = null; try { result = client.listTagsForCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result);

}}

O exemplo anterior cria um resultado semelhante ao seguinte:

{Tags: [{Key: Purpose,Value: Test}, {Key: Short_Name,Value: My_Cert}]}

Remover tags de um certificadoO exemplo a seguir mostra como usar a função RemoveTagsFromCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateRequest;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateResult;import com.amazonaws.services.certificatemanager.model.Tag;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;

Versão 1.096

AWS Certificate Manager Guia do usuárioRemoveTagsFromCertificate

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import java.util.ArrayList;

/** * This sample demonstrates how to use the RemoveTagsFromCertificate function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - The ARN of the certificate from which you want to remove one or more tags. * Tags - A collection of key-value pairs that specify which tags to remove. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Specify the tags to remove. Tag tag1 = new Tag(); tag1.setKey("Short_Name"); tag1.setValue("My_Cert");

Tag tag2 = new Tag() .withKey("Purpose") .withValue("Test");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);

// Create a request object. RemoveTagsFromCertificateRequest req = new RemoveTagsFromCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setTags(tags);

// Create a result object. RemoveTagsFromCertificateResult result = null; try { result = client.removeTagsFromCertificate(req); } catch(InvalidArnException ex) { throw ex;

Versão 1.097

AWS Certificate Manager Guia do usuárioRequestCertificate

} catch(InvalidTagException ex) { throw ex; } catch(ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result); }}

Solicitar um certificadoO exemplo a seguir mostra como usar a função RequestCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RequestCertificateRequest;import com.amazonaws.services.certificatemanager.model.RequestCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import java.util.ArrayList;

/** * This sample demonstrates how to use the RequestCertificate function in the AWS Certificate * Manager service. * * Input parameters: * DomainName - FQDN of your site. * DomainValidationOptions - Domain name for email validation. * IdempotencyToken - Distinguishes between calls to RequestCertificate. * SubjectAlternativeNames - Additional FQDNs for the subject alternative names extension. * * Output parameter: * Certificate ARN - The Amazon Resource Name (ARN) of the certificate you requested. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux.

Versão 1.098

AWS Certificate Manager Guia do usuárioResendValidationEmail

AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Specify a SAN. ArrayList<String> san = new ArrayList<String>(); san.add("www.example.com");

// Create a request object and set the input parameters. RequestCertificateRequest req = new RequestCertificateRequest(); req.setDomainName("example.com"); req.setIdempotencyToken("1Aq25pTy"); req.setSubjectAlternativeNames(san);

// Create a result object and display the certificate ARN. RequestCertificateResult result = null; try { result = client.requestCertificate(req); } catch(InvalidDomainValidationOptionsException ex) { throw ex; } catch(LimitExceededException ex) { throw ex; }

// Display the ARN. System.out.println(result);

}

}

O exemplo anterior cria um resultado semelhante ao seguinte:

{CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012}

Reenviar e-mail de validaçãoO exemplo a seguir mostra como usar a função ResendValidationEmail.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ResendValidationEmailRequest;

Versão 1.099

AWS Certificate Manager Guia do usuárioResendValidationEmail

import com.amazonaws.services.certificatemanager.model.ResendValidationEmailResult;

import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.InvalidStateException;import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

/** * This sample demonstrates how to use the ResendValidationEmail function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - Amazon Resource Name (ARN) of the certificate request. * Domain - FQDN in the certificate request. * ValidationDomain - The base validation domain that is used to send email. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the input parameters. ResendValidationEmailRequest req = new ResendValidationEmailRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setDomain("gregpe.io"); req.setValidationDomain("gregpe.io");

// Create a result object. ResendValidationEmailResult result = null; try { result = client.resendValidationEmail(req); } catch(ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex;

Versão 1.0100

AWS Certificate Manager Guia do usuárioResendValidationEmail

} catch (InvalidArnException ex) { throw ex; } catch (InvalidDomainValidationOptionsException ex) { throw ex; }

// Display the result. System.out.println(result.toString());

}}

O exemplo anterior reenvia o e-mail de validação e exibe um conjunto vazio.

{}

Versão 1.0101

AWS Certificate Manager Guia do usuárioSolicitações de certificado

Solução de problemasConsulte os tópicos a seguir se você encontrar problemas para usar o AWS Certificate Manager.

Note

Se você não encontrar seu problema abordado nesta seção, recomendamos acessar o Centro deconhecimento da AWS.

Tópicos• Solução de problemas de solicitações de certificado (p. 102)• Solução de problemas de validação de certificado (p. 104)• Solução de problemas de renovação de certificado gerenciado (p. 109)• Solução de outros problemas (p. 114)

Solução de problemas de solicitações de certificadoConsulte os tópicos a seguir se encontrar problemas ao solicitar um certificado do ACM.

Tópicos• Tempo limite de solicitação de certificado (p. 102)• Falha na solicitação de certificado (p. 102)

Tempo limite de solicitação de certificadoAs solicitações de certificados do ACM atingirão o tempo limite se não forem validadas dentro de 72horas. Para corrigir essa condição, exclua a solicitação e escolha Solicitar um certificado para começarnovamente. Para obter mais informações, consulte Usar DNS para validar propriedade de domínio (p. 53)ou Usar o e-mail para validar a propriedade do domínio (p. 57). Se possível, recomendamos usar avalidação de DNS.

Falha na solicitação de certificadoSe a solicitação causar falha do ACM e você receber uma das mensagens de erro a seguir, execute asetapas sugeridas para corrigir o problema. Não é possível reenviar uma solicitação de certificado comfalha; depois de resolver o problema, envie uma nova solicitação.

Tópicos• Mensagem de erro: não há contatos disponíveis (p. 102)• Mensagem de erro: domínio não permitido (p. 103)• Mensagem de erro: verificação adicional obrigatória (p. 103)• Mensagem de erro: domínio público inválido (p. 103)• Mensagem de erro: outro (p. 104)

Mensagem de erro: não há contatos disponíveisVocê escolheu a validação de e-mail ao solicitar um certificado, mas o ACM não pôde encontrar umendereço de e-mail para usar para validar um ou mais nomes de domínio na solicitação. Para corrigir esteproblema, você pode executar uma das seguintes ações:

Versão 1.0102

AWS Certificate Manager Guia do usuárioFalha na solicitação

• Verifique se você tem um endereço de e-mail registrado no WHOIS e se o endereço está visívelao executar uma pesquisa WHOIS padrão para os nomes de domínio na solicitação de certificado.Normalmente, isso é feito por meio do registrador do domínio.

• Verifique se o domínio está configurado para receber e-mail. O servidor de nome de domínio deve terum registro de troca de e-mail (registro MX) para que os servidores de e-mail do ACM saibam para ondeenviar o e-mail de validação de domínio (p. 57).

Executar apenas uma das tarefas anteriores é suficiente para corrigir esse problema; você não precisafazer ambas. Depois de corrigir o problema, solicite um novo certificado.

Para obter mais informações sobre como garantir que você receba os e-mails de validação de domíniodo ACM consulte (Opcional) Configurar e-mail para o domínio (p. 43) ou O e-mail de validação não foirecebido (p. 107). Se você seguir estas etapas e continuar a ver a mensagem Contatos não disponíveis,relate isso para a AWS para que possamos investigar.

Mensagem de erro: domínio não permitidoUm ou mais nomes de domínio na solicitação de certificado foram relatados como domínios não segurospelo VirusTotal. Para corrigir o problema, tente o seguinte:

• Pesquise seu nome de domínio no site do VirusTotal. Se o seu domínio for relatado como suspeito,consulte Ajuda do Google para sites invadidos para saber o que você pode fazer.

• Se você acredita que o resultado é um falso positivo, notifique a organização que está relatando odomínio. O VirusTotal é um agregado de vários antivírus e verificadores de URL e não pode remover seudomínio de uma lista negra propriamente dita.

Depois de corrigir o problema e o registro do VirusTotal for atualizado, solicite um novo certificado.

Se você vir esse erro e seu domínio não estiver incluído na lista do VirusTotal, acesse o AWS SupportCenter e crie um caso. Se você não tiver um contrato de suporte, publique uma mensagem no Fórum dediscussão do ACM.

Mensagem de erro: verificação adicional obrigatóriaO ACM requer informações adicionais para processar essa solicitação de certificado. Isso pode acontecercomo uma medida de proteção contra fraudes, como quando o domínio se classifica dentro dos 1000principais sites da Alexa. Para fornecer as informações necessárias, use a Central de suporte para entrarem contato com o AWS Support. Se você não tem um plano de suporte, publique um novo thread noFórum de discussão do ACM.

Note

Você não pode solicitar um certificado para nomes de domínio pertencentes à Amazon, comoaqueles que terminam em amazonaws.com, cloudfront.net ou elasticbeanstalk.com.

Mensagem de erro: domínio público inválidoUm ou mais nomes de domínio na solicitação de certificado não são válidos. Normalmente, isso ocorreporque um nome de domínio na solicitação não é um domínio de nível superior válido. Tente solicitar umcertificado novamente, corrigindo os erros de ortografia ou digitação que havia na solicitação com falhae garantindo que todos os nomes de domínio na solicitação sejam de domínios de nível superior válidos.Por exemplo, você não pode solicitar um certificado do ACM para example.invalidpublicdomain porque"invalidpublicdomain" não é um domínio de nível superior válido. Se continuar a receber esse motivo defalha, entre em contato com a Central de suporte. Se você não tem um plano de suporte, publique um novothread no Fórum de discussão do ACM.

Versão 1.0103

AWS Certificate Manager Guia do usuárioValidação de certificado

Mensagem de erro: outroNormalmente, essa falha ocorre quando há um erro ortográfico em um ou mais dos nomes de domíniona solicitação de certificado. Tente solicitar um certificado novamente, corrigindo os erros de ortografiaou digitação que havia na solicitação com falha. Se continuar a receber essa mensagem de falha, use aCentral de suporte para entrar em contato com o AWS Support. Se você não tem um plano de suporte,publique um novo thread no Fórum de discussão do ACM.

Solução de problemas de validação de certificadoSe o status da solicitação de certificado do ACM for Pending validation (Validação pendente), a solicitaçãoestará aguardando uma ação sua. Se você escolheu a validação de e-mail quando fez a solicitação, vocêou um representante autorizado deverá responder às mensagens de e-mail sobre a validação. Essasmensagens foram enviadas aos endereços de contato WHOIS registrados e a outros endereços de e-mail comuns para o domínio solicitado. Para obter mais informações, consulte Usar o e-mail para validar apropriedade do domínio (p. 57). Se você escolheu a validação de DNS, deverá gravar o registro CNAMEcriado pelo ACM para você em seu banco de dados do DNS. Para obter mais informações, consulte UsarDNS para validar propriedade de domínio (p. 53).

Important

Você deve validar que possui ou controla cada nome de domínio incluído na solicitação decertificado. Se você escolheu a validação de e-mail, receberá mensagens de e-mail sobre avalidação para cada domínio. Se você não as receber, consulte O e-mail de validação não foirecebido (p. 107). Se você escolheu a validação de DNS, deverá criar um registro CNAME paracada domínio.

Recomendamos que você use a validação de DNS em vez da validação de e-mail.

Consulte os tópicos a seguir se você tiver problemas de validação de DNS.

Tópicos• Como solucionar os problemas de validação do DNS (p. 104)• Solucionar problemas de validação de e-mail (p. 107)

Como solucionar os problemas de validação do DNSConsulte as orientações a seguir se tiver problemas ao validar um certificado com o DNS.

Tip

A primeira etapa na solução de problemas de DNS é verificar o status atual do seu domínio comferramentas como as seguintes:

• dig — Linux, Windows• nslookup — Linux, Windows• whois — Linux, Windows

Tópicos• Solução de problemas de autorização da autoridade de certificação (CAA) (p. 105)• Sublinhados proibidos pelo provedor de DNS (p. 105)• Falha na validação de DNS no GoDaddy (p. 105)

Versão 1.0104

AWS Certificate Manager Guia do usuárioValidação de DNS

• Solucionar problemas com o domínio .IO (p. 106)• O console do ACM não exibe o botão "Create record in Route 53" (Criar registro no

Route 53) (p. 106)• Falha de validação do Route 53 em domínios privados (p. 107)

Solução de problemas de autorização da autoridade decertificação (CAA)Você pode usar registros DNS de CAA para especificar que a autoridade de certificação (CA) da Amazonpode emitir certificados do ACM para seu domínio ou subdomínio. Se você receber um erro durante aemissão do certificado que diz Houve falha de validação em um ou mais nomes de domínio devido a umerro de autenticação da autoridade de certificação (CAA), verifique seus registros DNS de CAA. Se receberesse erro depois que a solicitação de certificado do ACM foi validada com êxito, você deverá atualizar seusregistros de CAA e solicitar um certificado novamente. O campo valor em pelo menos um de seus registrosde CAA deve conter um dos seguintes nomes de domínio:

• amazon.com• amazontrust.com• awstrust.com• amazonaws.com

Se você não quiser que o ACM execute a verificação de CAA, não configure um registro de CAA para seudomínio ou deixe seu registros de CAA em branco. Para obter mais informações sobre a criação de umregistro de CAA, consulte (Opcional) Configurar um registro de CAA (p. 44).

Sublinhados proibidos pelo provedor de DNSSe o seu provedor de DNS não permite sublinhados em valores de CNAME principais, você pode removero sublinhado do valor de ACM fornecido e validar seu domínio sem ele. Por exemplo, o valor de _x2.acm-validations.aws pode ser alterado para CNAME x2.acm-validations.aws para fins de validação.No entanto, o nome do parâmetro CNAME sempre deve começar com um sublinhado.

Você pode usar qualquer um dos valores no lado direito da tabela abaixo para validar um domínio.

Nome Type Valor

_<randomvalue>.example.com.

CNAME _<random value>.acm-validations.aws.

_<randomvalue>.example.com.

CNAME <random value>.acm-validations.aws.

Falha na validação de DNS no GoDaddyPode ocorrer uma falha na validação de DNS para domínios registrados no GoDaddy e outros registros, amenos que você modifique os valores CNAME fornecidos pelo ACM. Considerando-se example.com comoo nome de domínio, o registro CNAME emitido tem a seguinte forma:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

Versão 1.0105

AWS Certificate Manager Guia do usuárioValidação de DNS

É possível criar um registro CNAME compatível com o GoDaddy truncando o domínio apex (incluindo oponto) no final do campo NAME, da seguinte forma:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

Solucionar problemas com o domínio .IOO domínio .IO é atribuído ao Território Britânico do Oceano Índico. No momento, o registro de domínio nãoexibe suas informações públicas do banco de dados WHOIS. Isso é verdadeiro independentemente dea proteção de privacidade para o domínio estar ativada ou desativada. Quando uma pesquisa WHOIS érealizada, apenas as informações ocultas do registrador são retornadas. Portanto, o ACM não pode enviaro e-mail de validação para os seguintes três endereços de contato registrados que geralmente estãodisponíveis no WHOIS.

• Domínio registrado• Contato técnico• Contato administrativo

Porém o ACM envia um e-mail de validação para os seguintes cinco endereços comuns do sistema emque o your_domain é o nome de domínio inserido na primeira vez em que você solicitou um certificado e.io é o domínio de nível superior.

• administrador@your_domain.io• hostmaster@your_domain.io• postmaster@your_domain.io• webmaster@your_domain.io• admin@your_domain.io

Para receber um e-mail de validação para um domínio .IO, certifique-se de ter habilitado uma das cincocontas de e-mail anteriores. Caso contrário, você não receberá um e-mail de validação, e um certificado doACM não será emitido.

Note

Recomendamos que você use a validação de DNS em vez da validação de e-mail. Para obtermais informações, consulte Usar DNS para validar propriedade de domínio (p. 53).

O console do ACM não exibe o botão "Create record inRoute 53" (Criar registro no Route 53)Se você selecionar o Amazon Route 53 como provedor de DNS, o AWS Certificate Manager poderáinteragir diretamente com ele para validar a propriedade do domínio. Em algumas circunstâncias, o botãoCreate record in Route 53 (Criar registro no Route 53) do console pode não estar disponível quando vocêespera. Se isso acontecer, verifique as seguintes causas possíveis.

• Você não está usando o Route 53 como provedor de DNS.• Você está conectado ao ACM e ao Route 53 por contas diferentes.• Você não têm permissões do IAM para criar registros em uma zona hospedada pelo Route 53.• Você ou outra pessoa já validou o domínio.• O domínio não é endereçável publicamente.

Versão 1.0106

AWS Certificate Manager Guia do usuárioValidação de e-mail

Falha de validação do Route 53 em domínios privadosO Route 53 é exclusivamente um serviço DNS público. Não é possível usá-lo para hospedar registros DNSpara domínios privados, como os compatíveis com o ACM Private CA. Durante a validação de DNS, oACM procura um CNAME em uma zona hospedada publicamente. Quando não encontra, ele expira após72 horas com o status Validation timed out (Validação atingiu o tempo limite).

Solucionar problemas de validação de e-mailConsulte as orientações a seguir se tiver problemas ao validar um certificado com e-mail.

Tópicos• O e-mail de validação não foi recebido (p. 107)• E-mail enviado para subdomínio (p. 108)• Informações de contato ocultas (p. 109)• Renovações de certificado (p. 109)• Limitação do WHOIS (p. 109)

O e-mail de validação não foi recebidoQuando você solicita um certificado do ACM, e escolhe validação de e-mail, o e-mail de validaçãodo domínio é enviado a três endereços de contato especificados no WHOIS e a cinco endereçosadministrativos comuns. Para obter mais informações, consulte Usar o e-mail para validar a propriedade dodomínio (p. 57). Se você está com problemas de recebimento do e-mail de validação, revise as sugestõesa seguir.

Onde procurar o e-mail

O e-mail de validação é enviado aos endereços de contato relacionados no WHOIS e a endereçosadministrativos comuns para o domínio. E-mail não é enviado para o proprietário da conta da AWS, amenos que o proprietário também esteja relacionado como um domínio de contato no WHOIS. Revisea lista de endereços de e-mail que são exibidos no console do ACM (ou retornados da CLI ou API)para determinar onde você deve procurar o e-mail de validação. Para ver a lista, clique no ícone aolado do nome de domínio na caixa Validação não concluída.

O e-mail é marcado como spam

Verifique se o e-mail de validação está na pasta de spam.O Gmail classifica automaticamente seu e-mail

Se você estiver usando o Gmail, o e-mail de validação pode ter sido classificado automaticamente nasguias Atualizações ou Promoções.

O registrador do domínio não exibe informações de contato nem se a proteção de privacidade está ativada

Em alguns casos, os contatos do registrador, técnico e administrativo do domínio no WHOIS podemnão estar disponíveis publicamente e, portanto, a AWS não pode acessar esses contatos. A seucritério, você pode optar por configurar seu registrador para relacionar seu endereço de e-mail noWHOIS, embora nem todos os registradores ofereçam suporte a essa opção. Você pode precisarfazer uma alteração diretamente no registro do seu domínio. Em outros casos, as informações decontato do domínio podem estar usando um endereço de privacidade, como os fornecidos peloWhoisGuard ou PrivacyGuard.

Para domínios comprados de Route 53, a proteção de privacidade está habilitada por padrão eseu endereço de e-mail é mapeado para um endereço de e-mail whoisprivacyservice.org oucontact.gandi.net. Certifique-se de que o endereço de e-mail do registrador cadastrado com o

Versão 1.0107

AWS Certificate Manager Guia do usuárioValidação de e-mail

seu registrador do domínio esteja atualizado para que os e-mails enviados para esses endereços dee-mail obscuros possam ser encaminhados para um endereço de e-mail que você controle.

Note

A proteção de privacidade para alguns domínios que você compra com o Route 53será habilitada, mesmo se você optar por tornar suas informações de contato públicas.Por exemplo, a proteção de privacidade para o domínio de nível superior .ca não podeser programaticamente desativada pelo Route 53. Você deve entrar em contato com oAWSSupport Center e solicitar que a proteção de privacidade seja desativada.

Se as informações de contato de e-mail para seu domínio não estiverem disponíveis por meio deWHOIS, ou se um e-mail enviado para as informações de contato não chegar ao proprietário dodomínio ou a um representante autorizado, recomendamos que você configure seu domínio ousubdomínio para receber e-mails enviados para um ou mais endereços administrativos comunsformados antepondo-se admin@, administrador@, hostmaster@, webmaster@ e postmaster@ aonome de domínio solicitado. Para obter mais informações sobre a configuração de e-mail para seudomínio, consulte a documentação do seu provedor de serviço de e-mail e siga as instruções em(Opcional) Configurar e-mail para o domínio (p. 43). Se estiver usando o Amazon WorkMail, consulteComo trabalhar com usuários no Guia do administrador do Amazon WorkMail.

Após tornar disponível pelo menos um dos oito endereços de e-mail para os quais a AWS envia o e-mail de validação e confirmar que você recebe um e-mail para esse endereço, você estará pronto parasolicitar um certificado por meio do ACM. Depois de fazer uma solicitação de certificado, certifique-se de que o endereço de e-mail pretendido aparece na lista de endereços de e-mail no Console degerenciamento da AWS. Embora o certificado esteja no estado de Validação pendente, você podeexpandir a lista para visualizá-lo clicando no ícone ao lado do nome de domínio na caixa Validaçãonão concluída. Você também pode visualizar a lista na Etapa 3: Validar do assistente ACM Solicitarum certificado. Os endereços de e-mail relacionados são aqueles para os quais o e-mail foi enviado.

Registros MX ausentes ou configurados incorretamente

Um registro MX é um registro de recurso no banco de dados Domain Name System (DNS) queespecifica um ou mais servidores de e-mail para aceitar mensagens de e-mail para o seu domínio.Se o registro MX está ausente ou configurado incorretamente, o e-mail não pode ser enviado paranenhum dos cinco endereços comuns de administração do sistema especificados em Usar o e-mail para validar a propriedade do domínio (p. 57). Corrija o problema de registro MX ausente ouconfigurado incorretamente e tente reenviar o e-mail ou solicitar seu certificado novamente.

Note

Atualmente, recomendamos que você aguarde pelo menos uma hora antes de tentar reenviaro e-mail ou solicitar seu certificado.Note

Para ignorar a exigência de um registro MX, você pode usar a opção ValidationDomainna API RequestCertificate ou o comando request-certificate AWS CLI para especificar o nomedo domínio para o qual o ACM envia emails de validação. Se você usar a API ou a AWS CLI,a AWS não executará uma consulta de MX.

Entre em contato com a Central de suporte

Se, depois de analisar a orientação anterior, você ainda não receber o e-mail de validação de domínio,visite a Central de AWS Support e abra um caso. Se você não tem um contrato de suporte, publicaruma mensagem no Fórum de discussão do ACM.

E-mail enviado para subdomínioSe você estiver usando o console para solicitar um certificado para um nome de subdomínio, comosub.test.example.com, o ACM verificará se há um registro MX para sub.test.example.com.

Versão 1.0108

AWS Certificate Manager Guia do usuárioRenovação de certificado

Se não, o domínio pai test.example.com é marcado, e assim por diante, até o domínio debase example.com. Se um registro MX for encontrado, a pesquisa é interrompida e um e-mail devalidação é enviado para os endereços de administração comuns para o subdomínio. Então, porexemplo, se um registro MX é encontrado para test.example.com, um e-mail é enviado paraadmin@teste.exemplo.com, administrador@teste.exemplo.com e outros endereços administrativosespecificados no Usar o e-mail para validar a propriedade do domínio (p. 57). Se um registro MX nãoé encontrado em nenhum dos subdomínios, um e-mail é enviado para o subdomínio para o qual vocêsolicitou originalmente o certificado. Para uma discussão detalhada sobre como configurar seu e-mail ecomo o ACM funciona com o DNS e o banco de dados WHOIS, consulte (Opcional) Configurar e-mail parao domínio (p. 43).

Em vez de usar o console, você pode usar a opção ValidationDomain na API RequestCertificate ou ocomando request-certificate AWS CLI para especificar o nome de domínio para o qual o ACM envia os e-mails de validação. Se você usar a API ou a AWS CLI, a AWS não executará uma consulta de MX.

Informações de contato ocultasUm problema comum ocorre quando você tenta criar um novo certificado. Alguns registradores permitemque você oculte suas informações de contato na listagem WHOIS. Outros permitem que você substituao seu endereço de e-mail verdadeiro por um endereço de privacidade (ou proxy). Isso impede que vocêreceba o e-mail de validação nos endereços de contato registrados.

Para receber e-mail, assegure-se de que suas informações de contato sejam públicas no WHOIS, ou se alistagem WHOIS exibir um endereço de e-mail de privacidade, verifique se o endereço de e-mail enviadopara o endereço de e-mail de privacidade é encaminhado para o seu endereço de e-mail real. Depois deconcluir a configuração do WHOIS e desde que sua solicitação de certificado não esteja expirada, vocêpoderá optar por reenviar o email de validação. O ACM executa uma nova pesquisa do WHOIS/MX e enviaum email de validação para o seu endereço de contato agora público.

Renovações de certificadoSe você tornou suas informações WHOIS públicas ao solicitar um novo certificado e depois obscureceusuas informações, o ACM não poderá recuperar seus endereços de contato registrados quando vocêtentar renovar seu certificado. O ACM enviará um email de validação para esses endereços de contatoe para cinco endereços administrativos comuns formados com o seu registro MX. Para resolver esseproblema, torne suas informações WHOIS públicas novamente e reenvie e desde que sua solicitação decertificado não esteja expirada, você poderá optar por reenviar o email de validação. O ACM executa umanova pesquisa do WHOIS/MX e envia um email de validação para os seus endereço de contato agorapúblicos.

Limitação do WHOISÀs vezes, o ACM não pode entrar em contato com o servidor do WHOIS mesmo depois de você terenviado várias solicitações do e-mail de validação. Este problema é externo à AWS. Ou seja, a AWS nãocontrola os servidores do WHOIS servidores e não pode impedir a limitação do servidor do WHOIS. Sevocê tiver esse problema, abra um caso na Central de AWS Support para obter ajuda com uma solução.

Solução de problemas de renovação de certificadogerenciado

O ACM tenta renovar automaticamente seus certificados do ACM antes que expirem, de forma quenenhuma ação seja necessária de sua parte. Consulte os tópicos a seguir se tiver problemas comRenovação gerenciada para certificados do ACM emitidos pela Amazon (p. 66).

Versão 1.0109

AWS Certificate Manager Guia do usuárioPreparar para a validação automática de domínio

Preparar para a validação automática de domínioPara que o ACM possa renovar seus certificados automaticamente, o seguinte deve ser verdadeiro:

• Seu certificado deve estar associado a um serviço da AWS que esteja integrado com o ACM. Para obterinformações sobre os recursos com suporte do ACM consulte Serviços integrados com AWS CertificateManager (p. 9).

• O ACM deve ser capaz de validar cada nome de domínio listado em seu certificado.

Para certificados validados por e-mail:

Configure o recurso da AWS que tem seu certificado do ACM para aceitar solicitações HTTPS daInternet. Certifique-se de que as solicitações HTTPS para os nomes de domínio no seu certificado sãodirecionadas para o recurso que tem o seu certificado.

Para certificados validados por DNS:

Certifique-se de que sua configuração de DNS contenha os registros CNAME corretos.

Tratar de falhas em renovação de certificadogerenciadaQuando um certificado estive a 60 dias da expiração, o ACM tentará renová-lo automaticamente a cadahora. Se o ACM não puder renovar o certificado depois de 15 dias, você receberá um e-mail com maisinstruções sobre como corrigir o problema de renovação manualmente. Esse processo será diferentedependendo de como o certificado foi originalmente validado.

Renovação de certificado gerenciada para certificados validadospor e-mailOs certificados validados por e-mail requerem validação do domínio a cada 825 dias. Para continuarcom a renovação, o ACM envia um e-mail para cada nome de domínio que permanece no estadoPENDING_VALIDATION. O proprietário do domínio ou um representante autorizado do proprietário dodomínio deve validar cada nome de domínio que não foi validado. Consulte Validar com e-mail (p. 57) paraobter instruções sobre como identificar quais domínios estão no estado PENDING_VALIDATION e repita oprocesso de validação para esses domínios

Renovação de certificado gerenciada para certificados validadospor DNSO ACM não tenta realizar a validação de TLS para certificados validados por DNS. Se o ACM nãoconseguir renovar um certificado validado com a validação de DNS, provavelmente é devido a registrosCNAME ausentes ou imprecisos na configuração de DNS. Se isso ocorrer, o ACM notificará você de que ocertificado não pôde ser renovado automaticamente. Você deverá inserir os registros CNAME corretos emseu banco de dados do DNS. É possível encontrar os registros CNAME de seus domínios expandindo seucertificado as entradas de domínio no console do ACM. Consulte as figuras a seguir para obter detalhes.Você também pode recuperar registros CNAME usando a operação DescribeCertificate na API do ACMou o comando describe-certificate na CLI doACM. Para obter mais informações, consulte Usar DNS paravalidar propriedade de domínio (p. 53).

Versão 1.0110

AWS Certificate Manager Guia do usuárioTratar de falhas em renovação de certificado gerenciada

Versão 1.0111

AWS Certificate Manager Guia do usuárioTratar de falhas em renovação de certificado gerenciada

Selecione o certificado de destino no console.

Versão 1.0112

AWS Certificate Manager Guia do usuárioTratar de falhas em renovação de certificado gerenciada

Versão 1.0113

AWS Certificate Manager Guia do usuárioSolução de outros problemas

Expanda a janela do certificado para encontrar as informações de CNAME.

Se o problema persistir, entre em contato com o Support Center.

Noções básicas sobre o tempo de renovaçãoO Renovação gerenciada para certificados do ACM emitidos pela Amazon (p. 66) é um processoassíncrono. Isso significa que as etapas não ocorrem em sucessão imediata. Após todos os nomes dedomínio em um certificado do ACM terem sido validados, pode haver um atraso antes de o ACM obter onovo certificado. Um atraso adicional pode ocorrer entre o momento em que o ACM obtém o certificadorenovado e o momento em que esse certificado é implantado nos recursos da AWS que o usam. Portanto,as alterações no status do certificado podem demorar várias horas para aparecer no console.

Solução de outros problemasEsta seção inclui orientações para problemas não relacionados à emissão ou à validação de certificadosdo ACM.

Tópicos• Solução de problemas de importação de certificado (p. 114)• Solução de problemas de fixação do certificado (p. 115)• Solução de problemas do API Gateway (p. 115)

Solução de problemas de importação de certificadoVocê pode importar certificados de terceiros para o ACM e associá-los aos serviços integrados. Sevocê encontrar problemas, revise os pré-requisitos e os tópicos de formato do certificado. Observeprincipalmente o seguinte:

• Só é possível importar certificados SSL/TLS X.509 versão 3.• O certificado pode ser auto–assinado ou pode ser assinado por uma autoridade de certificação (CA).• Se o certificado for assinado por uma CA, você deverá incluir uma cadeia de certificados intermediária

que forneça um caminho para a raiz da autoridade.• Se o certificado for autoassinado, talvez seja necessário incluir uma cadeia de certificados intermediária

e você deverá incluir a chave secreta.• Cada certificado na cadeia deve certificar diretamente o certificado anterior.• Não inclua o certificado de entidade final na cadeia de certificados intermediária.• O certificado, a cadeia de certificados e a chave privada (se houver) devem ser codificados em PEM.• A chave privada (se houver) não deve estar criptografada.• Os serviços integrados ao ACM devem usar tamanhos de chave e algoritmos compatíveis com o ACM.

Consulte o Guia do usuário do AWS Certificate Manager e a documentação de cada serviço paragarantir que seu certificado funcionará.

• O suporte aos certificados dos serviços integrados pode ser diferente dependendo se o certificado forimportado para o IAM ou para o ACM.

• O certificado deve estar válido quando ele é importado.• As informações detalhadas sobre todos os seus certificados são exibidas no console. Por padrão, no

entanto, se você chamar a API ListCertificates ou o comando list-certificates AWS CLI sem especificar ofiltro keyTypes, somente os certificados RSA_1024 ou RSA_2048 serão exibidos.

Versão 1.0114

AWS Certificate Manager Guia do usuárioFixação do certificado

Solução de problemas de fixação do certificadoPara renovar um certificado, o ACM gera um novo par de chaves públicas/privadas. Se o seu aplicativousa Fixação do certificado (p. 14), às vezes chamada de fixação SSL, para fixar um certificado do ACM,talvez o aplicativo não consiga se conectar ao seu domínio após a AWS renovar o certificado. Por essemotivo, recomendamos que você não fixe um certificado do ACM. Se o seu aplicativo precisa fazer fixaçãode um certificado, você pode fazer o seguinte:

• Importe o próprio certificado para o ACM (p. 72) e, em seguida, fixe seu aplicativo no certificadoimportado. O ACM não fornece renovação gerenciada para certificados importados.

• Se você estiver usando um certificado público, fixe o aplicativo a todos os certificados raiz da Amazondisponíveis. Se você estiver usando um certificado privado, fixe o aplicativo ao certificado raiz da CA.

Solução de problemas do API GatewayAo implantar um endpoint de uma API otimizada para ponto, o API Gateway configura uma distribuição doCloudFront para você. A distribuição do CloudFront é de propriedade do API Gateway não da sua conta. Adistribuição é vinculada ao certificado do ACM que você usou ao implantar a API. Para remover o vínculo epermitir que o ACM exclua o certificado, você deve remover o domínio personalizado do API Gateway queestá associado ao certificado.

Ao implantar um endpoint de uma API regional, o API Gateway cria um Application Load Balancer(ALB) em seu nome. O load balancer é de propriedade do API Gateway e não é visível a você. O ALBé vinculado ao certificado do ACM que você usou ao implantar a API. Para remover o vínculo e permitirque o ACM exclua o certificado, você deve remover o domínio personalizado do API Gateway que estáassociado ao certificado.

Versão 1.0115

AWS Certificate Manager Guia do usuário

Histórico do documentoA tabela a seguir descreve o histórico de versões da documentação do AWS Certificate Manager a partirde 2018.

update-history-change update-history-description update-history-date

Adição de suporte porregião (p. 116)

Adição de suporte regionalpara as regiões da AWS China(Pequim e Ningxia). Para obteruma lista completa das regiõescompatíveis, consulte https://docs.aws.amazon.com/general/latest/gr/rande.html#acm-pca_region.

March 4, 2020

Adição de novoconteúdo (p. 116)

Agora, os clientes podem testarmanualmente a configuração dofluxo de trabalho de renovaçãogerenciada do ACM. Para obtermais informações, consulteTestar a configuração derenovação gerenciada do ACM.

March 14, 2019

Novo conteúdo (p. 116) Adicionada a capacidade depublicar certificados públicos doACM em logs de transparênciade certificados por padrão.

April 24, 2018

Nova extensão deserviço (p. 116)

Lançado o Private CertificateManager (CM) do ACM, umaextensão do AWS CertificateManager que permite que osusuários estabeleçam umainfraestrutura gerenciadae segura para emissão erevogação de certificados digitaise privados. Para obter maisinformações, consulte Autoridadede certificação privada da AWS.

April 4, 2018

Novo conteúdo (p. 116) Adicionado o registro em log detransparência de certificados àsmelhores práticas.

March 27, 2018

A tabela a seguir descreve o histórico de versões da documentação do AWS Certificate Manager antes de2018.

Mudança Descrição Data de lançamento

Novo conteúdo Validação de DNS adicionadaa Usar DNS para validarpropriedade de domínio (p. 53).

21 de novembro de 2017

Versão 1.0116

AWS Certificate Manager Guia do usuário

Mudança Descrição Data de lançamento

Novo conteúdo Adição de novos exemplosde código Java a Uso da APIACM (p. 81).

12 de outubro de 2017

Novo conteúdo Adição de informações sobreregistros de CAA a (Opcional)Configurar um registro deCAA (p. 44).

21 de setembro de 2017

Novo conteúdo Informações adicionadas sobredomínios .IO a Solução deproblemas (p. 102).

07 de julho de 2017

Novo conteúdo Informações adicionadas sobrereimportação de um certificado aReimportar um certificado (p. 76).

07 de julho de 2017

Novo conteúdo Informações adicionadas sobrefixação de certificado a Melhorespráticas (p. 13) e a Solução deproblemas (p. 102).

07 de julho de 2017

Novo conteúdo AWS CloudFormation adicionadoa Serviços integrados com AWSCertificate Manager (p. 9).

27 de maio de 2017

Atualizar Mais informações adicionadas aCotas (p. 11).

27 de maio de 2017

Novo conteúdo Documentação adicionadasobre Identity and AccessManagement para AWSCertificate Manager (p. 19).

28 de abril de 2017

Atualizar Gráfico adicionado para mostrarpara onde o e-mail de validaçãoé enviado. Consulte Usar o e-mail para validar a propriedadedo domínio (p. 57).

21 de abril de 2017

Atualizar Informações adicionadassobre a configuração de e-mailpara o seu domínio. Consulte(Opcional) Configurar e-mail parao domínio (p. 43).

6 de abril de 2017

Atualizar Informações adicionadas sobrea verificação de status darenovação do certificado noconsole. Consulte Verificaro status de renovação docertificado (p. 68).

28 de março de 2017

Atualizar Documentação para usaro Elastic Load Balancingatualizada.

21 de março de 2017

Versão 1.0117

AWS Certificate Manager Guia do usuário

Mudança Descrição Data de lançamento

Novo conteúdo Adicionado suporte para AWSElastic Beanstalk e Amazon APIGateway. Consulte Serviçosintegrados com AWS CertificateManager (p. 9).

21 de março de 2017

Atualizar Documentação sobre Renovaçãogerenciada (p. 66) atualizada.

20 de fevereiro de 2017

Novo conteúdo Documentação adicionada sobreImportar certificados (p. 72).

13 de outubro de 2016

Novo conteúdo Adicionado o suporte paraAWS CloudTrail para açõesdo ACM. Consulte Usar oCloudTrail com o AWS CertificateManager (p. 27).

25 de março de 2016

Novo guia Esta versão apresenta o AWSCertificate Manager.

21 de janeiro de 2016

Versão 1.0118