Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Certificate Manager certificats publics
Après avoir demandé un certificat public, vous devez valider la propriété du domaine, comme décrit dans[Valider la propriété du domaine pour les certificats AWS Certificate Manager publics](domain-ownership-validation.md).
Les certificats ACM publics respectent tous les deux la norme X.509 et sont soumis aux restrictions suivantes :
+ **Noms :**Vous devez utiliser des noms de sujet conformes au DNS. Pour de plus amples informations, veuillez consulter [Noms de domaine](acm-concepts.md#concept-dn).
+ **Algorithme :** pour le chiffrement, l'algorithme de clés privées du certificat doit être soit un RSA 2 048 bits, soit un ECDSA 256 bits, soit un ECDSA 384 bits.
+ **Expiration :** Chaque certificat est valide pendant 198 jours.
+ **Renouvellement :** ACM tente de renouveler automatiquement un certificat public 45 jours avant son expiration.
**Note**
Les certificats ACM publics peuvent être installés sur des instances Amazon EC2 connectées à [une](acm-services.md#acm-nitro-enclave) Nitro Enclave. Vous pouvez également [exporter un certificat public](export-public-certificate.md) à utiliser sur n'importe quelle instance Amazon EC2. Pour plus d'informations sur la configuration d'un serveur web autonome sur une instance Amazon EC2 non connectée à une enclave Nitro, consultez [Tutoriel : Installation d'un serveur web LAMP sur Amazon Linux 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) ou [Tutoriel : Installation d'un serveur web LAMP avec une AMI Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html).
Les administrateurs peuvent utiliser les [stratégies de clés conditionnelles](https://docs.aws.amazon.com/acm/latest/userguide/acm-conditions.html) ACM pour contrôler la manière dont les utilisateurs finaux émettent de nouveaux certificats. Ces clés conditionnelles permettent d'imposer des restrictions sur les domaines, les méthodes de validation et d'autres attributs liés à une demande de certificat. Si vous rencontrez des problèmes lors d'une demande de certificat, veuillez consultez [Résoudre les problèmes liés aux demandes de certificats](troubleshooting-cert-requests.md).
Pour demander un certificat pour une PKI privée en utilisant Autorité de certification privée AWS, voir[Demandez un certificat privé dans AWS Certificate ManagerDemandez un certificat privé](gs-acm-request-private.md).
**Topics**
+ [AWS Certificate Manager caractéristiques et limites des certificats publics](acm-certificate-characteristics.md)
+ [Demandez un certificat public en AWS Certificate Manager](acm-public-certificates.md)
+ [AWS Certificate Manager certificats publics exportables](acm-exportable-certificates.md)
+ [Valider la propriété du domaine pour les certificats AWS Certificate Manager publics](domain-ownership-validation.md)
# AWS Certificate Manager caractéristiques et limites des certificats publics
Les certificats publics fournis par ACM présentent les caractéristiques et limites suivantes. Elles s'appliquent uniquement aux certificats fournis par ACM. Ils peuvent ne pas s'appliquer aux [certificats importés](import-certificate.md).
**Confiance dans les navigateurs et les applications**
Les certificats ACM sont approuvés par tous les principaux navigateurs, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari. Les navigateurs affichent une icône de cadenas lorsqu'ils sont connectés par TLS à des sites utilisant des certificats ACM. Java fait également confiance aux certificats ACM.
**Autorité de certification et hiérarchie**
Les certificats publics demandés via ACM proviennent d'[Amazon Trust Services](https://www.amazontrust.com/repository/), une [autorité de certification publique (](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)CA) gérée par Amazon. Amazon Root CAs 1 à 4 est signé croisé par l'autorité de certification racine Starfield G2 — G2. Starfield root est fiable sur Android (versions ultérieures de Gingerbread) et iOS (version 4.1\$1). iOS 11 et versions ultérieures font confiance à Amazon Roots. Les navigateurs, les applications, OSes y compris les racines Amazon ou Starfield, feront confiance aux certificats publics ACM.
ACM émet des certificats finaux ou finaux aux clients par le biais de certificats intermédiaires CAs, attribués de manière aléatoire en fonction du type de certificat (RSA ou ECDSA). ACM ne fournit pas d'informations intermédiaires sur l'autorité de certification en raison de cette sélection aléatoire.
**Validation de domaine (DV)**
Les certificats ACM sont validés par domaine, identifiant uniquement un nom de domaine. Lorsque vous demandez un certificat ACM, vous devez prouver que vous êtes propriétaire ou contrôlez tous les domaines spécifiés. Vous pouvez valider la propriété par e-mail ou DNS. Pour plus d’informations, consultez [AWS Certificate Manager validation par e-mail](email-validation.md) et [AWS Certificate Manager Validation du DNSValidation DNS](dns-validation.md).
**Validation HTTP**
ACM prend en charge la validation HTTP pour vérifier la propriété du domaine lors de l'émission de certificats TLS publics à utiliser avec. CloudFront Cette méthode utilise des redirections HTTP pour prouver la propriété du domaine et propose un renouvellement automatique similaire à la validation DNS. La validation HTTP n'est actuellement disponible que via la fonctionnalité CloudFront Distribution Tenants.
**Redirection HTTP**
Pour la validation HTTP, ACM fournit une `RedirectFrom` URL et une `RedirectTo` URL. Vous devez configurer une redirection de `RedirectFrom` `RedirectTo` vers pour démontrer le contrôle de domaine. L'`RedirectFrom`URL inclut le domaine validé, tout en `RedirectTo` pointant vers un emplacement contrôlé par ACM dans l' CloudFront infrastructure contenant un jeton de validation unique.
**Géré par**
Les certificats d'ACM gérés par un autre service indiquent l'identité de ce service `ManagedBy` sur le terrain. Pour les certificats utilisant la validation HTTP avec CloudFront, ce champ affiche « CLOUDFRONT ». Ces certificats ne peuvent être utilisés que via CloudFront. Le `ManagedBy` champ apparaît dans le **DescribeCertificate** et **ListCertificates** APIs, ainsi que sur les pages d'inventaire et de détails des certificats de la console ACM.
Le `ManagedBy` champ s'exclut mutuellement avec l'attribut « Peut être utilisé avec ». Pour les certificats CloudFront gérés, vous ne pouvez pas ajouter de nouvelles utilisations via d'autres AWS services. Vous ne pouvez utiliser ces certificats qu'avec davantage de ressources via l' CloudFront API.
**Rotation du CA intermédiaire et du CA racine**
Amazon peut mettre fin à une autorité de certification intermédiaire sans préavis afin de maintenir une infrastructure de certificats résiliente. Ces modifications n'ont aucune incidence sur les clients. Pour plus d'informations, consultez [« Amazon introduit des autorités de certification intermédiaires dynamiques »](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/).
Si Amazon met fin à une autorité de certification racine, le changement sera effectué aussi rapidement que nécessaire. Amazon utilisera toutes les méthodes disponibles pour informer les AWS clients, notamment en envoyant Tableau de bord Health un e-mail et en contactant les responsables de comptes techniques.
**Accès au pare-feu en cas de révocation**
Les certificats d'entité finale révoqués utilisent le protocole OCSP CRLs pour vérifier et publier les informations de révocation. Certains pare-feux destinés aux clients peuvent nécessiter des règles supplémentaires pour autoriser ces mécanismes.
Utilisez ces modèles de caractères génériques d'URL pour identifier le trafic de révocation :
+ **OCSP**
`http://ocsp.?????.amazontrust.com`
`http://ocsp.*.amazontrust.com`
+ **CRL**
`http://crl.?????.amazontrust.com/?????.crl`
`http://crl.*.amazontrust.com/*.crl`
Un astérisque (\$1) représente un ou plusieurs caractères alphanumériques, un point d'interrogation (?) représente un seul caractère alphanumérique, et un dièse (\$1) représente un chiffre.
**Algorithmes clés**
Les certificats doivent spécifier un algorithme et une taille de clé. ACM prend en charge les algorithmes de clé publique RSA et ECDSA suivants :
+ 1 024 bits RSA (`RSA_1024`)
+ 2 048 bits RSA (`RSA_2048`)\$1
+ 3 072 bits RSA (`RSA_3072`)
+ 4 096 bits RSA (`RSA_4096`)
+ 256 bits ECDSA (`EC_prime256v1`) \$1
+ 384 bits ECDSA (`EC_secp384r1`) \$1
+ 521 bits ECDSA (`EC_secp521r1`)
ACM peut demander de nouveaux certificats à l'aide d'algorithmes marqués d'un astérisque (\$1). Les autres algorithmes concernent uniquement les certificats [importés](import-certificate.md).
Pour les certificats PKI privés signés par une AWS CA privée autorité de certification, la famille d'algorithmes de signature (RSA ou ECDSA) doit correspondre à la famille d'algorithmes à clé secrète de l'autorité de certification.
Les clés ECDSA sont plus petites et plus efficaces en termes de calcul que les clés RSA offrant une sécurité comparable, mais tous les clients du réseau ne prennent pas en charge l'ECDSA. Ce tableau, adapté du [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf), compare les tailles de clés RSA et ECDSA (en bits) pour des niveaux de sécurité équivalents :
**Comparaison de la sécurité des algorithmes et des clés**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/acm/latest/userguide/acm-certificate-characteristics.html)
La force de sécurité, exprimée en puissance de 2, est liée au nombre de suppositions nécessaires pour déchiffrer le chiffrement. Par exemple, une clé RSA de 3 072 bits et une clé ECDSA de 256 bits peuvent être récupérées avec un maximum de 2 128 suppositions.
Pour vous aider à choisir un algorithme, consultez le billet de AWS blog [Comment évaluer et utiliser les certificats ECDSA dans](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager
[Les services intégrés](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) autorisent uniquement les algorithmes pris en charge et les tailles de clé pour leurs ressources. Support variable selon que le certificat est importé dans IAM ou ACM. Pour plus de détails, consultez la documentation de chaque service :
+ Pour Elastic Load Balancing, consultez [Écouteurs HTTPS pour votre instance d'Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ Pour CloudFront, voir [ SSL/TLS Protocoles et chiffrements pris en charge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html).
**Renouvellement et déploiement gérés**
ACM gère le renouvellement et le provisionnement des certificats ACM. Le renouvellement automatique permet d'éviter les interruptions dues à des certificats mal configurés, révoqués ou expirés. Pour de plus amples informations, veuillez consulter [Renouvellement géré des certificats dans AWS Certificate Manager](managed-renewal.md).
**Noms de domaine multiples**
Chaque certificat ACM doit inclure au moins un nom de domaine complet (FQDN) et peut inclure des noms supplémentaires. Par exemple, un certificat pour `www.example.com` peut également inclure`www.example.net`. Cela s'applique également aux domaines nus (zone apex ou domaines nus). Vous pouvez demander un certificat pour www.exemple.com et inclure exemple.com. Pour de plus amples informations, veuillez consulter [AWS Certificate Manager certificats publics](gs-acm-request-public.md).
**Punycode**
Les exigences [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) suivantes pour les [noms de domaine internationalisés doivent être respectées :](https://www.icann.org/resources/pages/idn-2012-02-25-en)
1. Les noms de domaine commençant par le modèle « -- » doivent correspondre à « xn-- ».
1. Les noms de domaine commençant par « xn-- » doivent également être des noms de domaine internationalisés valides.
**Exemples de Punycode**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/acm/latest/userguide/acm-certificate-characteristics.html)
**Période de validité**
Les certificats ACM sont valides pendant 198 jours.
**Noms de caractères génériques**
ACM autorise la présence d'un astérisque (\$1) dans le nom de domaine pour créer un certificat générique protégeant plusieurs sites du même domaine. Par exemple, `*.example.com` protège `www.example.com` et `images.example.com`.
Dans un certificat générique, l'astérisque (`*`) doit être placé le plus à gauche dans le nom de domaine et ne protège qu'un seul niveau de sous-domaine. Par exemple, `*.example.com` protège `login.example.com` et`test.example.com`, mais pas`test.login.example.com`. `*.example.com`Protège également *uniquement* les sous-domaines, pas le domaine nu ou le domaine apex (`example.com`). Vous pouvez demander un certificat pour un domaine nu et ses sous-domaines en spécifiant plusieurs noms de domaine, tels que `example.com` et`*.example.com`.
Si vous en utilisez CloudFront, notez que la validation HTTP ne prend pas en charge les certificats génériques. Pour les certificats génériques, vous devez utiliser la validation DNS ou la validation par e-mail. Nous recommandons la validation DNS car elle prend en charge le renouvellement automatique des certificats.
# Demandez un certificat public en AWS Certificate Manager
Vous pouvez demander des certificats AWS Certificate Manager publics à partir de la console ACM ou de l'API. AWS CLI Vous pouvez utiliser ces certificats avec des certificats intégrés Services AWS ou les exporter pour une utilisation en dehors de AWS Cloud.
La liste suivante décrit les différences entre les certificats publics et les certificats publics exportables.
**Certificats publics**
Utilisez des certificats publics ACM intégrés Services AWS tels qu'Elastic Load Balancing CloudFront, Amazon et Amazon API Gateway. Pour de plus amples informations, veuillez consulter [Services intégrés à ACM](acm-services.md).
Les certificats publics ACM créés avant le 17 juin 2025 ne peuvent pas être exportés.
**Certificats publics exportables**
Les certificats publics exportables fonctionnent avec Integrated Services AWS et peuvent également être utilisés à l'extérieur AWS Cloud. Pour plus d’informations, consultez [AWS Certificate Manager certificats publics exportables](acm-exportable-certificates.md) et [Services intégrés à ACM](acm-services.md). Vous devez créer un nouveau certificat public ACM et activer l'exportation pour pouvoir exporter le certificat public.
Les sections suivantes expliquent comment demander, exporter et révoquer un certificat ACM public.
**Topics**
+ [Demande de certificat public à l’aide de la console](#request-public-console)
+ [Demande de certificat public via l'interface CLI](#request-public-cli)
## Demande de certificat public à l’aide de la console
**Pour demander un certificat public ACM (console)**
1. Connectez-vous à la console AWS de gestion et ouvrez la console ACM à la [https://console.aws.amazon.com/acm/maison](https://console.aws.amazon.com/acm/home).
Choisissez **Request a certificate** (Demander un certificat).
1. Dans la page **Ajouter des noms de domaine**, saisissez votre nom de domaine.
Vous pouvez utiliser un nom de domaine complet (FQDN) comme **www.example.com** ou un nom de domaine strict ou apex tel que **example.com**. Vous pouvez également utiliser un astérisque (**\$1**) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple, **\$1.example.com** protège **corp.example.com** et **images.example.com**. Le nom générique apparaîtra dans le champ **Objet** et dans l'extension **Subject Alternative Name** du certificat ACM.
Lorsque vous demandez un certificat générique, l'astérisque (**\$1**) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, **\$1.example.com** il peut protéger **login.example.com**, et **test.example.com**, mais ne peut pas protéger **test.login.example.com**. Notez aussi que **\$1.example.com** protège *uniquement* les sous-domaines de **example.com**, il ne protège pas le domaine strict ou apex (**example.com**). Pour protéger les deux, consultez l'étape suivante.
**Note**
Conformément à la norme [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), la longueur du nom de domaine (techniquement, le nom commun) que vous entrez à cette étape ne peut pas dépasser 64 octets (caractères), points compris. La longueur de chacun des autres noms d'objet que vous fournissez ensuite, comme à l'étape suivante, peut atteindre 253 octets.
1. Pour ajouter un autre nom, choisissez **Ajouter un autre nom à ce certificat** et tapez le nom dans la zone de texte. Ceci est très utile pour protéger un nom de domaine strict ou apex (comme **example.com**) et ses sous-domaines (comme **\$1.example.com**).
1. Si vous souhaitez créer un certificat public exportable ACM, sélectionnez l'option **Activer l'exportation**. Vous pourrez accéder aux clés privées du certificat et les utiliser à l'extérieur AWS Cloud. Pour de plus amples informations, veuillez consulter [AWS Certificate Manager certificats publics exportables](acm-exportable-certificates.md).
1. Sur la section **Validation method** (Méthode de validation), choisissez **DNS validation – recommended** (Validation DNS – recommandé) ou **Email validation** (Validation par e-mail), selon vos besoins.
**Note**
Si vous êtes en mesure de modifier la configuration DNS, nous vous recommandons d'utiliser la validation de domaine DNS plutôt que la validation par e-mail. La validation du DNS présente plusieurs avantages par rapport à la validation par e-mail. Consultez [AWS Certificate Manager Validation du DNSValidation DNS](dns-validation.md).
Avant qu'ACM émette un certificat, il valide le fait que vous possédiez ou contrôliez les noms de domaine de votre demande de certificat. Vous pouvez utiliser la validation par e-mail ou la validation DNS.
1. Si vous choisissez la validation par e-mail, ACM envoie un e-mail de validation au domaine que vous spécifiez dans le champ du nom de domaine. Si vous spécifiez un domaine de validation, ACM envoie l'e-mail à ce domaine de validation à la place. Pour plus d'informations sur la validation par courriel, consultez [AWS Certificate Manager validation par e-mail](email-validation.md).
1. Si vous utilisez la validation DNS, il vous suffit d'ajouter un enregistrement CNAME fourni par ACM dans votre configuration DNS. Pour plus d'informations sur la validation DNS, consultez [AWS Certificate Manager Validation du DNSValidation DNS](dns-validation.md).
1. Dans la section **Algorithme clé**, choisissez un algorithme.
1. Sur la page **Balises** vous pouvez éventuellement baliser votre certificat. Les balises sont des paires clé-valeur qui servent de métadonnées pour identifier et organiser AWS les ressources. Pour obtenir la liste des paramètres de balise ACM et des instructions sur l'ajout de balises aux certificats après leur création, consultez [AWS Certificate Manager Ressources de balises](tags.md).
Lorsque vous avez terminé d'ajouter des balises, choisissez **Demande**.
1. Une fois la demande traitée, la console vous renvoie à votre liste de certificats, où les informations sur le nouveau certificat sont affichées.
Un certificat prend le statut **En attente de validation** sur demande, sauf s'il échoue pour l'une des raisons indiquées dans la rubrique de dépannage [Échec de la demande de certificat](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed). ACM tente à plusieurs reprises de valider un certificat pendant 72 heures, puis s'arrête. Si un certificat affiche le statut **Échec** ou **Expiration de la validation**, supprimez la demande, corrigez le problème avec [Validation DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html) ou [Validation par e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html) et réessayez. Si la validation aboutit, le certificat prend le statut **Émis**.
**Note**
Selon la façon dont vous avez commandé la liste, un certificat que vous recherchez peut ne pas être immédiatement visible. Vous pouvez cliquer sur le triangle noir à droite pour modifier l'ordre. Vous pouvez également parcourir plusieurs pages de certificats à l'aide des numéros de page situés en haut à droite.
## Demande de certificat public via l'interface CLI
Utilisez la commande [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) pour demander un nouveau certificat ACM public via l'interface de ligne de commande. Les valeurs facultatives pour la méthode de validation sont DNS et EMAIL. Les valeurs facultatives de l'algorithme de clés sont RSA\$12048 (valeur par défaut si le paramètre n'est pas explicitement fourni), EC\$1prime256v1 et EC\$1secp384r1.
```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```
Cette commande génère le nom Amazon Resource Name (ARN) de votre nouveau certificat public.
```
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```
# AWS Certificate Manager certificats publics exportables
AWS Certificate Manager les certificats publics exportables vous permettent de provisionner, de gérer et de déployer des [certificats SSL/TLS](acm-concepts.md#concept-sslcert) n'importe où, y compris les instances Amazon EC2, les conteneurs et les hôtes sur site. Cette fonctionnalité étend les certificats publics émis par ACM au-delà de l'intégration Services AWS, en vous offrant un contrôle centralisé sur les certificats dans l'ensemble de votre infrastructure.
## Avantages
Voici un aperçu des avantages des certificats publics exportables ACM :
+ *Gestion simplifiée des certificats* : gérez de manière centralisée les certificats de toutes vos ressources avec ACM.
+ Émission de *certificats plus rapide* : accédez aux certificats et utilisez-les en moins de temps.
+ *Renouvellements automatisés* : ACM gère automatiquement les renouvellements de certificats et vous avertit lorsque de nouveaux certificats sont prêts à être déployés. Pour de plus amples informations, veuillez consulter [EventBridge Support Amazon pour ACM](supported-events.md).
+ *Rentable* : payez uniquement pour les certificats publics exportables que vous créez.
+ *Déploiement flexible* : utilisez des certificats avec n'importe quel serveur ou application prenant en charge les certificats [SSL/TLS](acm-concepts.md#concept-sslcert) standard.
## Comment fonctionnent les certificats publics exportables ACM
Voici un aperçu du fonctionnement des certificats publics exportables ACM :
1. Demandez un certificat exportable via ACM pour votre domaine.
1. Validez la propriété du domaine à l'aide du DNS ou de la validation par e-mail.
1. Exportez le certificat, la clé privée et la chaîne de certificats.
1. Déployez le certificat sur votre serveur ou votre application.
1. ACM gère les renouvellements et envoie des notifications lorsque de nouveaux certificats sont disponibles.
## Considérations sur la sécurité
Les considérations de sécurité suivantes sont à prendre en compte lors de l'utilisation de certificats publics exportables ACM. Pour de plus amples informations, veuillez consulter [Protection des données dans AWS Certificate Manager](data-protection.md).
+ Protégez les clés privées exportées à l'aide d'un stockage sécurisé et de contrôles d'accès.
+ Utilisez la fonction de révocation d'ACM si vous pensez que la clé a été compromise.
+ Mettez en œuvre des procédures de rotation des clés appropriées lors du déploiement de certificats renouvelés.
## Limitations
Voici certaines limites des certificats ACM :
+ Les certificats ont une période de validité de 198 jours.
+ ACM renouvelle les certificats dont l'expiration est fixée à 45 jours avant leur date d'expiration.
+ Vous devez gérer le processus de déploiement des certificats exportés.
## Tarification
Vous êtes soumis à des frais supplémentaires pour les SSL/TLS certificats publics exportables que vous créez avec AWS Certificate Manager. Pour obtenir les dernières informations sur les tarifs d'ACM, consultez la page [AWS Certificate Manager de tarification des services](https://aws.amazon.com//certificate-manager/pricing/) sur le AWS site Web.
## Bonnes pratiques
Voici quelques bonnes pratiques relatives à l'utilisation de certificats ACM :
+ Une fois le certificat renouvelé, vous devez commencer à l'utiliser immédiatement.
+ Testez et implémentez des processus de déploiement automatisés pour les certificats renouvelés.
+ Surveillez les déploiements de certificats à l'aide des [ EventBridge métriques et des alarmes Amazon](supported-events.md).
# Exporter un certificat AWS Certificate Manager public
Les procédures suivantes expliquent comment exporter un certificat public ACM dans la console ACM. Vous pouvez également utiliser l'action [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html) AWS CLI ou [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API.
**Note**
Les certificats publics ACM créés avant le 17 juin 2025 ne peuvent pas être exportés.
## Exporter un certificat public (console)
1. Connectez-vous à la console ACM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Choisissez **Lister les certificats** et cochez la case du certificat que vous souhaitez exporter.
1. Vous pouvez également sélectionner le certificat. Sur la page détaillée du certificat, sélectionnez **Exporter**.
1. Choisissez **Plus d'actions**, puis sélectionnez **Exporter**.
1. Entrez et confirmez une phrase secrète pour la clé privée.
1. Vous pouvez télécharger ou copier les fichiers du certificat.
**Note**
Dans la console ACM, vous pouvez exporter des fichiers de certificats .pem. Vous pouvez convertir le fichier .pem vers un autre format de fichier, comme .ppk. Pour plus d'informations, consultez cet article de [Re:Post](https://repost.aws/knowledge-center/ec2-ppk-pem-conversion).
## Exporter un certificat public (AWS CLI)
Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI commande ou [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)l'action API pour exporter un certificat public et une clé privée. Vous devez attribuer une phrase secrète lorsque vous exécutez la commande. Pour plus de sécurité, vous pouvez utiliser un éditeur de fichiers pour stocker votre phrase secrète dans un fichier, puis fournir la phrase secrète à la livraison du fichier. Cela évite le stockage de votre code secret dans l'historique des commandes et empêche les autres personnes de voir le code secret lorsque vous le saisissez.
**Note**
Le fichier contenant la phrase secrète ne doit pas se terminer par une marque de fin de ligne. Vous pouvez vérifier votre fichier de mots de passe comme suit :
```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```
L'exemple suivant achemine la sortie de la commande vers `jq` pour appliquer le format PEM.
```
[Windows/Linux]$ aws acm export-certificate \
--certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
--passphrase fileb://path-to-passphrase-file \
| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```
Cela produit un certificat codé en base64, au format PEM et contenant également la chaîne de certificats et la clé privée chiffrée, comme dans l'exemple abrégé suivant.
```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```
Pour tout afficher dans un fichier, ajoutez la `>` redirection à l'exemple précédent, en obtenant la commande suivante :
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
--passphrase fileb://path-to-passphrase-file \
| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
> /tmp/export.txt
```
# Sécurisez les charges de travail Kubernetes avec les certificats ACM
Vous pouvez utiliser des certificats publics AWS Certificate Manager exportables avec AWS Controllers for Kubernetes (ACK) pour émettre et exporter des certificats TLS publics depuis ACM vers vos charges de travail Kubernetes. Cette intégration vous permet de sécuriser les pods Amazon Elastic Kubernetes Service (Amazon EKS) et de mettre fin au protocole TLS à votre entrée Kubernetes. Pour commencer, consultez le [contrôleur ACM pour Kubernetes](https://github.com/aws-controllers-k8s/acm-controller) activé. GitHub
AWS Controllers for Kubernetes (ACK) étend l'API Kubernetes pour gérer AWS les ressources à l'aide de manifestes Kubernetes natifs. Le contrôleur de service ACK pour ACM fournit une gestion automatisée du cycle de vie des certificats au sein de votre flux de travail Kubernetes. Lorsque vous créez une ressource de certificat ACM dans Kubernetes, le contrôleur ACK exécute les actions suivantes :
1. Demande un certificat à ACM, qui génère la demande de signature de certificat (CSR).
1. Attend que la validation du domaine soit terminée et qu'ACM délivre le certificat.
1. Si le `exportTo` champ est spécifié, exporte le certificat et la clé privée émis et les stocke dans le Kubernetes Secret que vous avez spécifié.
1. Si le `exportTo` champ est spécifié et que le certificat est éligible au renouvellement, met à jour le Kubernetes Secret avec les certificats renouvelés avant leur expiration.
Les certificats émis publiquement nécessitent la [validation du domaine](https://docs.aws.amazon.com//acm/latest/userguide/dns-validation.html) avant qu'ACM puisse les délivrer. Vous pouvez utiliser le [contrôleur de service ACK pour Amazon Route 53](https://github.com/aws-controllers-k8s/route53-controller) afin de créer automatiquement les enregistrements CNAME de validation DNS requis dans votre zone hébergée.
## Options d'utilisation des certificats
Vous pouvez utiliser les certificats ACM avec Kubernetes de différentes manières :
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/acm/latest/userguide/images/kubernetes-acm.png)
1. *Arrêt de l'équilibreur de charge (sans exportation)* : émettez des certificats via ACK et utilisez-les pour mettre fin au protocole TLS sur un équilibreur de AWS charge. Le certificat reste dans ACM et est automatiquement découvert par le [AWS Load Balancer](https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.1/guide/ingress/cert_discovery/) Controller. Cette approche ne nécessite pas d'exporter le certificat.
1. *Terminaison d'entrée (avec exportation)* : exportez les certificats depuis ACM et stockez-les dans Kubernetes Secrets pour la terminaison TLS au niveau de l'entrée. Cela vous permet d'utiliser des certificats directement dans vos charges de travail Kubernetes.
**Note**
Pour les cas d'utilisation nécessitant des certificats privés, consultez [AWS Private CA Connector for Kubernetes](https://docs.aws.amazon.com//privateca/latest/userguide/PcaKubernetes-concepts.html), un plugin de gestionnaire de certificats.
## Conditions préalables
Avant d'installer le contrôleur de service ACK pour ACM, assurez-vous de disposer des éléments suivants :
+ Un cluster Kubernetes.
+ Casque installé.
+ `kubectl` configuré pour communiquer avec votre cluster.
+ `eksctl`installé pour configurer les associations d'identité des pods sur EKS.
## Installation du contrôleur de service ACK pour ACM
Utilisez Helm pour installer le contrôleur de service ACK pour ACM dans votre cluster Amazon EKS.
1. Créez un espace de noms pour le contrôleur ACK.
```
$ kubectl create namespace ack-system --dry-run=client -o yaml | kubectl apply -f -
```
1. Créez une association d'identité de pod pour le contrôleur ACK. *CLUSTER\$1NAME*Remplacez-le par le nom de votre cluster et *REGION* par votre AWS région.
```
$ eksctl create podidentityassociation --cluster CLUSTER_NAME --region REGION \
--namespace ack-system \
--create-service-account \
--service-account-name ack-acm-controller \
--permission-policy-arns arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess
```
1. Connectez-vous au registre public Amazon ECR.
```
$ aws ecr-public get-login-password --region us-east-1 | helm registry login --username AWS --password-stdin public.ecr.aws
```
1. Installez le contrôleur de service ACK pour ACM. Remplacez *REGION* par votre AWS région.
```
$ helm install -n ack-system ack-acm-controller oci://public.ecr.aws/aws-controllers-k8s/acm-chart --set serviceAccount.create=false --set serviceAccount.name=ack-acm-controller --set aws.region=REGION
```
1. Vérifiez que le contrôleur fonctionne.
```
$ kubectl get pods -n ack-system
```
Pour plus d'informations sur les associations d'identité des pods, consultez [EKS Pod Identity](https://docs.aws.amazon.com//eks/latest/userguide/pod-identities.html) dans le *guide de l'utilisateur Amazon EKS*.
## Exemple : mettre fin au protocole TLS à l'entrée
L'exemple suivant montre comment exporter un certificat ACM et l'utiliser pour mettre fin au protocole TLS au niveau de Kubernetes Ingress. Cette configuration crée un certificat ACM, l'exporte vers un Kubernetes Secret et configure une ressource Ingress pour utiliser le certificat pour la terminaison TLS.
Dans cet exemple :
+ Le secret est créé pour stocker le certificat exporté (`exported-cert-secret`)
+ La ressource de certificat ACK demande un certificat à ACM pour votre domaine et l'exporte vers le `exported-cert-secret` Secret.
+ La ressource Ingress fait référence au TLS `exported-cert-secret` pour mettre fin au trafic entrant.
`${HOSTNAME}`Remplacez-le par votre nom de domaine.
```
apiVersion: v1
kind: Secret
type: kubernetes.io/tls
metadata:
name: exported-cert-secret
namespace: demo-app
data:
tls.crt: ""
tls.key: ""
---
apiVersion: acm.services.k8s.aws/v1alpha1
kind: Certificate
metadata:
name: exportable-public-cert
namespace: demo-app
spec:
domainName: ${HOSTNAME}
options:
certificateTransparencyLoggingPreference: ENABLED
exportTo:
namespace: demo-app
name: exported-cert-secret
key: tls.crt
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: ingress-traefik
namespace: demo-app
spec:
tls:
- hosts:
- ${HOSTNAME}
secretName: exported-cert-secret
ingressClassName: traefik
rules:
- host: ${HOSTNAME}
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: whoami
port:
number: 80
```
Une fois déployé, le contrôleur de service ACK pour ACM gère automatiquement le cycle de vie des certificats, y compris les renouvellements. Lorsqu'ACM renouvelle le certificat, le contrôleur met à jour le `exported-cert-secret` secret avec le nouveau certificat, garantissant ainsi que votre Ingress continue d'utiliser des certificats valides sans intervention manuelle.
# Révoquer un certificat AWS Certificate Manager public
Vous pouvez révoquer un certificat public AWS Certificate Manager exportable à l'aide de la console ACM ou de l'action AWS CLI API.
**Avertissement**
Une fois le certificat révoqué, vous ne pouvez pas le réutiliser. La révocation d'un certificat est permanente.
Il se peut que vous deviez révoquer un certificat pour vous conformer aux politiques de votre organisation ou pour atténuer les principales compromissions. Une raison est requise lors de la révocation d'un certificat. Les raisons suivantes peuvent être utilisées :
+ Non précisé
+ Affiliation modifiée
+ Remplacé
+ Cessation de l'opération
Pour en savoir plus, consultez le [contrat d'abonnement au certificat Amazon Trust Services](https://www.amazontrust.com/repository/sa-1.3.pdf) et [Amazon Trust Service](https://www.amazontrust.com/repository/).
AWS fournit deux services pour vérifier les révocations de certificats : le protocole OCSP (Online Certificate Status Protocol) et la liste de révocation des certificats. Avec OCSP, le client interroge une base de données de révocation faisant autorité qui renvoie un statut en temps réel. L'OCSP dépend des informations de validation intégrées dans les certificats.
## Considérations
Les points suivants sont à prendre en compte avant de révoquer un certificat :
+ Vous ne pouvez révoquer que les certificats précédemment exportés.
+ Vous ne pouvez pas révoquer les certificats [publics non exportables](acm-exportable-certificates.md). Si vous n'avez plus besoin de ces certificats, vous devez plutôt [les supprimer](gs-acm-delete.md).
+ Si vous n'avez plus besoin du certificat, vous devez [le supprimer](gs-acm-delete.md) au lieu de le révoquer.
+ Le processus de révocation des certificats est global. Tous les certificats valides que vous choisissez de révoquer seront révoqués ainsi que les certificats associés. ARNs
+ La révocation du certificat est permanente. Vous ne pouvez pas récupérer les certificats révoqués pour les réutiliser.
+ La révocation du certificat peut prendre jusqu'à 24 heures pour prendre effet.
## Révoquer un certificat (console)
La procédure suivante explique comment révoquer un certificat public ou privé ACM.
1. Connectez-vous à la console ACM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Choisissez **Lister les certificats** et cochez la case du certificat que vous souhaitez révoquer.
1. Vous pouvez également sélectionner le certificat. Sur la page détaillée du certificat, sélectionnez **Révoquer**.
1. Choisissez **Plus d'actions**, puis sélectionnez **Révoquer**.
1. Une boîte de dialogue apparaît dans laquelle vous devez fournir un motif de révocation, entrer**revoke**, puis choisir **Révoquer**.
## Révoquer un certificat ()AWS CLI
Utilisez la [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI commande ou l'action d'[https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html)API pour révoquer un certificat public ou privé ACM. Vous pouvez récupérer l'ARN du certificat en appelant la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)commande.
```
$ aws acm revoke-certificate \
--certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
--revocation-reason "UNSPECIFIED"
```
**Avertissement**
Une fois le certificat révoqué, vous ne pouvez pas le réutiliser. La révocation d'un certificat est permanente.
Ce qui suit serait le résultat de la `revoke-certificate` commande.
```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```
# Configuration des événements de renouvellement automatique
Avec les certificats publics AWS Certificate Manager exportables et Amazon EventBridge, vous pouvez configurer des événements de renouvellement automatique des certificats.
1. Configurez un EventBridge événement Amazon pour surveiller les renouvellements de certificats. Pour plus d'informations, consultez le [ EventBridge support Amazon pour ACM.](https://docs.aws.amazon.com//acm/latest/userguide/cloudwatch-events.html)
1. Créez une automatisation pour gérer le déploiement des certificats lors des renouvellements. Pour de plus amples informations, veuillez consulter [Initiation d'actions avec Amazon EventBridge dans ACM](example-actions.md).
1. Configurez EventBridge des événements pour vous avertir de tout échec de renouvellement ou de déploiement.
# Renouvellement du certificat de force
Vous pouvez renouveler vos certificats publics et privés ACM à l'aide de la console ACM, du [renouvellement du certificat](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI ou de l'action API. [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) Vous ne pouvez renouveler que les certificats qui ont déjà été exportés.
**Important**
Lorsque vous renouvelez un certificat public exportable ACM, des frais supplémentaires vous sont facturés. Pour obtenir les dernières informations sur les tarifs d'ACM, consultez la page [AWS Certificate Manager de tarification des services](https://aws.amazon.com//certificate-manager/pricing/) sur le AWS site Web.
## Renouveler un certificat (console)
La procédure suivante explique comment forcer le renouvellement d'un certificat ACM public ou privé.
1. Connectez-vous à la console ACM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Choisissez **Lister les certificats** et cochez la case du certificat que vous souhaitez renouveler.
1. Vous pouvez également sélectionner le certificat. Sur la page détaillée du certificat, sélectionnez **Renouveler**.
1. Choisissez **Plus d'actions**, puis choisissez **Renouveler**.
1. Une boîte de dialogue apparaît dans laquelle vous devez entrer **renew** puis choisir **Renouveler**.
## Renouveler un certificat (AWS CLI)
Utilisez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI commande ou [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)l'action API pour renouveler un certificat public ou privé ACM. Vous pouvez récupérer l'ARN du certificat en appelant la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)commande. La commande `renew-certificate` ne renvoie aucune réponse.
```
$ aws acm renew-certificate \
--certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012
```
# Valider la propriété du domaine pour les certificats AWS Certificate Manager publics
Avant que l'autorité de certification Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les noms de domaine spécifiés dans votre demande. Vous pouvez choisir de prouver que vous en êtes le propriétaire en validant le système de noms de domaine (DNS), la validation par e-mail ou la validation HTTP lorsque vous demandez un certificat.
**Note**
La validation s'applique uniquement aux certificats approuvés publiquement émis par ACM. ACM ne valide pas la propriété du domaine pour les [certificats importés](import-certificate.md) ou pour les certificats signés par une autorité de certification privée. ACM ne peut pas valider les ressources dans une [zone privée hébergée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) Amazon VPC ou tout autre domaine privé. Pour de plus amples informations, veuillez consulter [Résoudre les problèmes de validation des certificats](certificate-validation.md).
Nous recommandons d'utiliser la validation DNS plutôt que la validation par e-mail pour les raisons suivantes :
+ Si vous utilisez Amazon Route 53 pour gérer vos enregistrements DNS publics, vous pouvez mettre à jour vos enregistrements directement via ACM.
+ ACM renouvelle automatiquement les certificats qui ont fait l'objet d'une validation DNS tant que le certificat est utilisé et que l'enregistrement DNS est en place.
+ Les certificats validés par e-mail nécessitent une action du propriétaire du domaine pour être renouvelés. ACM commence à envoyer des avis de renouvellement 45 jours avant l'expiration. Ces notifications sont envoyées à une ou plusieurs des cinq adresses d'administrateur courantes du domaine. Les notifications contiennent un lien sur lequel le propriétaire du domaine peut cliquer pour un renouvellement facile. Une fois tous les domaines répertoriés validés, ACM émet un certificat renouvelé avec le même ARN.
Si vous ne pouvez pas modifier la base de données DNS de votre domaine, vous devez plutôt utiliser [la validation par e-mail](email-validation.md).
La validation HTTP est disponible pour les certificats utilisés avec CloudFront. Cette méthode utilise des redirections HTTP pour prouver la propriété du domaine et propose un renouvellement automatique similaire à la validation DNS.
**Note**
Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.
**Topics**
+ [AWS Certificate Manager Validation du DNS](dns-validation.md)
+ [AWS Certificate Manager validation par e-mail](email-validation.md)
+ [AWS Certificate Manager Validation HTTP](http-validation.md)
# AWS Certificate Manager Validation du DNS
Le système de noms de domaine (DNS) est un service d'annuaire dédié aux ressources connectées à un réseau. Votre fournisseur DNS gère une base de données contenant les enregistrements qui définissent votre domaine. Lorsque vous choisissez la validation DNS, ACM vous fournit un ou plusieurs enregistrements CNAME qui doivent être ajoutés à cette base de données. Ces enregistrements contiennent une paire clé-valeur unique qui prouve que vous contrôlez le domaine.
**Note**
Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.
Par exemple, si vous demandez un certificat pour le domaine `example.com` avec `www.example.com` comme nom supplémentaire, ACM crée deux enregistrements CNAME pour vous. Chacun des enregistrements créés spécifiquement pour votre domaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un AWS domaine qu'ACM utilise pour renouveler automatiquement votre certificat. Les enregistrements CNAME ne doivent être ajoutés qu'une seule fois à votre base de données DNS. ACM renouvelle automatiquement votre certificat tant qu'il est utilisé et que votre enregistrement CNAME reste en place.
**Important**
Si vous n'utilisez pas Amazon Route 53 pour gérer vos enregistrements DNS publics, contactez votre fournisseur DNS pour savoir comment ajouter des enregistrements. Si vous n'êtes pas autorisé à modifier la base de données DNS de votre domaine, utilisez plutôt la [validation par e-mail](email-validation.md).
Sans avoir à répéter la validation, vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet (FQDN) tant que l'enregistrement CNAME reste en place. En d'autres termes, vous pouvez créer des certificats de remplacement portant le même nom de domaine, ou des certificats couvrant différents sous-domaines. Comme le jeton de validation CNAME fonctionne pour toutes les AWS régions, vous pouvez recréer le même certificat dans plusieurs régions. Vous pouvez également remplacer un certificat supprimé.
Vous pouvez arrêter le renouvellement automatique en supprimant le certificat du service AWS auquel il est associé ou en supprimant l'enregistrement CNAME. Si Route 53 n'est pas votre fournisseur DNS, contactez votre fournisseur pour savoir comment supprimer un enregistrement. Si Route 53 est votre fournisseur, consultez [Suppression de jeux d'enregistrements de ressources](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) dans le *Guide du développeur Route 53*. Pour plus d'informations sur le renouvellement de certificats gérés, consultez [Renouvellement géré des certificats dans AWS Certificate Manager](managed-renewal.md).
**Note**
La résolution CNAME échouera si plus de cinq CNAMEs sont enchaînés dans votre configuration DNS. Si vous avez besoin d'un enchaînement plus long, nous vous recommandons d'utiliser la [validation par e-mail](email-validation.md).
## Fonctionnement des enregistrements CNAME pour ACM
**Note**
Cette section s'adresse aux clients qui n'utilisent pas Route 53 comme fournisseur DNS.
Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez entrer manuellement les enregistrements CNAME fournis par ACM dans la base de données de votre fournisseur, généralement via un site web. Les enregistrements CNAME sont utilisés à différentes fins, notamment comme mécanismes de redirection et comme conteneurs pour les métadonnées spécifiques au fournisseur. Pour ACM, ces enregistrements permettent la validation initiale de la propriété du domaine et le renouvellement automatisé continu des certificats.
Le tableau suivant présente des exemples d'enregistrements CNAME pour six noms de domaine. La paire **Nom de l'enregistrement**-**Valeur de l'enregistrement** de chaque enregistrement sert à authentifier la propriété du nom de domaine.
Dans le tableau, notez que les deux premières paires **Nom de l'enregistrement**-**Valeur de l'enregistrement** sont identiques. Cela montre que pour un domaine générique, par exemple`*.example.com`, les chaînes créées par ACM sont les mêmes que celles créées pour son domaine de base. `example.com` Sinon, la paire **Nom de l'enregistrement**-**Valeur de l'enregistrement**diffère pour chaque nom de domaine.
**Exemples d'enregistrements CNAME**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/acm/latest/userguide/dns-validation.html)
Les *xN* valeurs qui suivent le trait de soulignement (\$1) sont de longues chaînes générées par ACM. Par exemple,
```
_3639ac514e785e898d2646601fa951d5.example.com.
```
est représentatif d'un résultat généré pour le **Nom de l'enregistrement**. La **Valeur de l'enregistrement** associée pourrait être
```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```
pour le même enregistrement DNS.
**Note**
Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME comportant un trait de soulignement de début, consultez [Résolution des problèmes liés à la validation DNS](troubleshooting-DNS-validation.md).
Lorsque vous effectuez une demande de certificat avec validation DNS, ACM fournit des informations CNAME au format suivant :
****
| Nom de domaine | Nom de l'enregistrement | Type d'enregistrement | Valeur de l'enregistrement |
| --- | --- | --- | --- |
| example.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME | \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws. |
Le *Nom de domaine* est le nom de domaine complet associé au certificat. Le *Nom de l'enregistrement* identifie l'enregistrement de manière unique, en servant de clé dans la paire clé-valeur. La *Valeur d'enregistrement* sert de valeur dans la paire clé-valeur.
Ces trois valeurs (*Domain Name* (Nom de domaine), *Record Name* (Nom d'enregistrement), and *Record Value* (Valeur d'enregistrement)) doivent être entrées dans les champs appropriés de l'interface web de votre fournisseur DNS pour ajouter des enregistrements DNS. Les fournisseurs ne traitent pas nom de l'enregistrement (ou « nom ») de la même manière. Dans certains cas, vous devez fournir la chaîne entière comme illustré ci-dessus. D'autres fournisseurs ajoutent automatiquement le nom de domaine à la chaîne que vous entrez, ce qui signifie (dans cet exemple) que vous ne devez entrer que
```
_a79865eb4cd1a6ab990a45779b4e0b96
```
dans le champ de nom. Si vous vous trompez et que vous saisissez un nom d'enregistrement qui contient un nom de domaine (tel que *`.example.com`*), vous risquez de vous retrouver avec ce qui suit :
```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```
Dans ce cas, la validation échouera. Par conséquent, vous devez essayer de déterminer à l'avance quel type de données votre fournisseur attend.
## Configuration de la validation DNS
Cette section décrit comment configurer un certificat public pour utiliser la validation DNS.
**Pour configurer la validation DNS sur la console**
**Note**
Cette procédure suppose que vous avez déjà créé au moins un certificat et que vous travaillez dans la AWS région où vous l'avez créé. Si vous essayez d'ouvrir la console et que l'écran de première utilisation s'affiche à la place, ou si vous réussissez à ouvrir la console et que votre certificat ne figure pas dans la liste, vérifiez que vous avez spécifié la bonne région.
1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Dans la liste des certificats, choisissez l’**ID de certificat** d'un certificat avec statut **Validation en attente** que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.
1. Dans la section **Domaines**, effectuez l'une des deux procédures suivantes :
1. (Facultatif) Validez à l'aide de Route 53.
Un bouton **Créer des enregistrements dans Route 53** actif apparaît si les conditions suivantes sont réunies :
+ Vous utilisez Route 53 comme fournisseur DNS.
+ Vous disposez de l'autorisation nécessaire pour écrire dans la zone hébergée par Route 53.
+ Votre nom de domaine complet (FQDN) *n'a pas* encore été validé.
**Note**
Si vous utilisez effectivement la Route 53 mais que l'option **Créer des enregistrements dans Route 53** est absente ou désactivée, consultez[La console ACM n'affiche pas le bouton « Créer des enregistrements dans Route 53 »](troubleshooting-DNS-validation.md#troubleshooting-route53-1).
Choisissez **Créer des enregistrements dans Route 53**, puis sélectionnez **Créer des enregistrements**. La page **Status du certificat** doit s'ouvrir avec un rapport de bannière d'état **Enregistrements DNS créés avec succès**.
Votre nouveau certificat doit rester affiché avec le statut **Validation en attente** pendant au moins 30 minutes.
**Astuce**
Actuellement, vous ne pouvez pas demander par programmation la création automatique par ACM de votre enregistrement dans Route 53. Vous pouvez toutefois effectuer un appel AWS CLI d'API à Route 53 pour créer l'enregistrement dans la base de données DNS Route 53. Pour plus d'informations sur les jeux d'enregistrements Route 53, consultez [Utilisation de jeux d'enregistrements de ressources](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).
1. (Facultatif) Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez récupérer les informations CNAME et les ajouter à votre base de données DNS. Sur la page de détails du nouveau certificat, effectuez cette opération de deux manières :
+ Copiez les composants CNAME affichés dans la section **Domaines**. Ces informations doivent être ajoutées manuellement à votre base de données DNS.
+ Sinon, choisissez **Export to CSV** (Exporter vers CSV). Les informations contenues dans le fichier doivent être ajoutées manuellement à votre base de données DNS.
**Important**
Pour éviter les problèmes de validation, vérifiez [Fonctionnement des enregistrements CNAME pour ACM](#cnames-overview) avant d'ajouter des informations à la base de données de votre fournisseur DNS. Si vous rencontrez des problèmes, consultez [Résolution des problèmes liés à la validation DNS](troubleshooting-DNS-validation.md).
Si ACM n'est pas en mesure de valider le nom de domaine dans les 72 heures qui suivent la génération d'une valeur CNAME, le statut du certificat est remplacé par **Validation expirée**. La raison la plus probable de ce résultat est que vous n'avez pas réussi à mettre à jour votre configuration DNS avec la valeur générée par ACM. Pour remédier à ce problème, vous devez demander un nouveau certificat après avoir examiné les instructions relatives au CNAME.
# AWS Certificate Manager validation par e-mail
Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vous avez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS. Cette rubrique traite de la validation par e-mail.
Si vous rencontrez des problèmes lors de l'utilisation de la validation par e-mail, veuillez consulter [Résolution des problèmes liés à la validation par courriel](troubleshooting-email-validation.md).
## Comment fonctionne la validation des e-mails
ACM envoie des e-mails de validation aux cinq e-mails système courants suivants pour chaque domaine. Vous pouvez également spécifier un superdomaine comme domaine de validation si vous souhaitez plutôt recevoir ces e-mails sur ce domaine. Tout sous-domaine inférieur à l'adresse minimale du site Web est valide et est utilisé comme domaine pour l'adresse e-mail en tant que suffixe suivant. `@` Par exemple, vous pouvez recevoir un e-mail à admin@example.com si vous spécifiez exemple.com comme domaine de validation pour sous-domain.exemple.com.
+ administrator@votre\$1nom\$1domaine
+ hostmaster@votre\$1nom\$1domaine
+ postmaster@votre\$1nom\$1domaine
+ webmaster@votre\$1nom\$1domaine
+ admin@votre\$1nom\$1domaine
Pour prouver que vous êtes propriétaire du domaine, vous devez sélectionner le lien de validation inclus dans ces e-mails. ACM envoie également des e-mails de validation à ces mêmes adresses pour renouveler le certificat 45 jours après son expiration.
La validation par e-mail des demandes de certificats multidomaines à l'aide de l'API ACM ou de la CLI entraîne l'envoi d'un message électronique par chaque domaine demandé, même si la demande inclut des sous-domaines d'autres domaines dans la demande. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chacun de ces domaines.
**Exception à ce processus**
Si vous demandez un certificat ACM pour un nom de domaine commençant par **www** ou un astérisque générique (**\$1**), ACM supprime le début **www** ou l'astérisque et envoie un e-mail aux adresses administratives. Ces adresses sont formées en ajoutant admin@, administrator@, hostmaster@, postmaster@ et webmaster@ à la partie restante du nom de domaine. Par exemple, si vous demandez un certificat ACM pour www.example.com, l’e-mail n'est pas envoyé à admin@www.example.com mais à admin@example.com. De même, si vous demandez un certificat ACM pour \$1.test.example.com, l’e-mail est envoyé à admin@test.example.com. Les adresses administratives courantes restantes sont formées de la même manière.
**Important**
ACM ne prend plus en charge la validation des e-mails WHOIS pour les nouveaux certificats ou les renouvellements. Les adresses système communes restent prises en charge. Pour plus de détails, voir le billet de [blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).
## Considérations
Prenez en compte les considérations suivantes concernant la validation par e-mail.
+ Pour pouvoir utiliser la validation par e-mail, vous devez disposer d'une adresse électronique valide enregistrée dans votre domaine. Les procédures à suivre pour configurer une adresse électronique ne sont pas présentées dans ce guide.
+ La validation s'applique uniquement aux certificats approuvés publiquement émis par ACM. ACM ne valide pas la propriété du domaine pour les [certificats importés](import-certificate.md) ou pour les certificats signés par une autorité de certification privée. ACM ne peut pas valider les ressources dans une [zone privée hébergée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) Amazon VPC ou tout autre domaine privé. Pour de plus amples informations, veuillez consulter [Résoudre les problèmes de validation des certificats](certificate-validation.md).
+ Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.
## Expiration et renouvellement de certificat
Les certificats ACM sont valides pendant 198 jours. Le renouvellement d'un certificat nécessite une action de la part du propriétaire du domaine. ACM commence à envoyer des avis de renouvellement aux adresses e-mail associées au domaine 45 jours avant son expiration. Les notifications contiennent un lien sur lequel le propriétaire du domaine peut cliquer pour le renouvellement. Une fois tous les domaines répertoriés validés, ACM émet un certificat renouvelé avec le même ARN.
## (Facultatif) Renvoyer l'e-mail de validation
Chaque e-mail de validation contient un jeton que vous pouvez utiliser pour approuver une demande de certificat. Cependant, étant donné que l’e-mail de validation nécessaire pour le processus d'approbation peut être bloqué par des filtres anti-spam ou perdu en transit, le jeton de validation expire automatiquement au bout de 72 heures. Si vous ne recevez pas l'e-mail d'origine ou que le jeton a expiré, vous pouvez demander que l'e-mail soit renvoyé. Pour plus d'informations sur la façon de renvoyer un e-mail de validation, voir [Renvoyer un e-mail de validation](email-renewal-validation.md#request-domain-validation-email-for-renewal)
En cas de problèmes persistants liés à la validation des e-mails, veuillez consulter la section [Résolution des problèmes liés à la validation par courriel](troubleshooting-email-validation.md) dans le [Résoudre les problèmes liés à AWS Certificate Manager](troubleshooting.md).
# Automatisez la validation des AWS Certificate Manager e-mails
Les certificats ACM qui ont été validés par e'mail nécessitent normalement une intervention manuelle de la part du propriétaire du domaine. Les organisations qui traitent d'un grand nombre de certificats validés par courriel peuvent préférer créer un analyseur capable d'automatiser les réponses requises. Pour les clients qui utilisent la validation par courriel, les informations de cette section décrivent les modèles utilisés pour les messages électroniques de validation de domaine et le flux de travail nécessaire afin de mener à bien le processus de validation.
## Modèles d'email de validation
Les messages d'email de validation se présentent sous l'un des deux formats suivants, selon qu'un nouveau certificat est demandé ou qu'un certificat existant est en cours de renouvellement. Le contenu des chaînes en surbrillance doit être remplacé par des valeurs spécifiques au domaine en cours de validation.
### Validation d'un nouveau certificat
Texte du modèle de courriel :
```
Greetings from Amazon Web Services,
We received a request to issue an SSL/TLS certificate for requested_domain.
Verify that the following domain, AWS account ID, and certificate identifier correspond
to a request from you or someone in your organization.
Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier
To approve this request, go to Amazon Certificate Approvals
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context)
and follow the instructions on the page.
This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief
explanation of your concern to validation-questions@amazon.com.
Sincerely,
Amazon Web Services
```
### Validation d'un certificat en vue de son renouvellement
Texte du modèle de courriel :
```
Greetings from Amazon Web Services,
We received a request to issue an SSL/TLS certificate for requested_domain.
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined
validity periods and email validated certificates, like this one, require you
to re-validate for the certificate to renew.
Verify that the following domain, AWS account ID, and certificate identifier
correspond to a request from you or someone in your organization.
Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier
To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.
This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here -
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in
error, forward it along with a brief explanation of your concern to
validation-questions@amazon.com.
Sincerely,
Amazon Web Services
--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.
This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.
(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```
Une fois que vous avez reçu un nouveau message de validation de AWS, nous vous recommandons de l'utiliser comme modèle le plus up-to-date fiable pour votre analyseur. Les clients disposant d'analyseurs de messages conçus avant novembre 2020 doivent tenir compte du fait que les modifications suivantes ont pu être apportées au modèle :
+ La ligne d'objet du message électronique indique maintenant « `Certificate request for domain name` » au lieu de « `"Certificate approval for domain name` ».
+ Le `AWS account ID` est maintenant présenté sans tirets ni traits d'union.
+ Le `Certificate Identifier` présente maintenant l'ARN complet du certificat au lieu d'un formulaire raccourci, par exemple, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` plutôt que `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ L'URL d'approbation du certificat contient maintenant `acm-certificates.amazon.com` au lieu de `certificates.amazon.com`.
+ Le formulaire d'approbation qui s'ouvre lorsque l'on clique sur l'URL d'approbation du certificat contient désormais le bouton d'approbation. Le nom du bouton d'approbation div est maintenant `approve-button` au lieu de `approval_button`.
+ Le même format de courriel est utilisé pour les messages de validation des certificats nouvellement demandés et des certificats de renouvellement.
## Flux de travail de validation
Cette section fournit des informations sur le flux de travail de renouvellement des certificats validés par courriel.
+ Lorsque la console ACM traite une demande de certificat multidomaine, elle envoie des e-mails de validation au nom de domaine ou au domaine de validation que vous spécifiez lorsque vous demandez un certificat public. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chaque domaine. Pour plus d'informations, consultez [Utilisation d'un courriel pour valider la propriété du domaine](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html).
+ La validation par e-mail des demandes de certificats multidomaines à l'aide de l'API ACM ou de la CLI entraîne l'envoi d'un message électronique par chaque domaine demandé, même si la demande inclut des sous-domaines d'autres domaines dans la demande. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chacun de ces domaines.
Si vous renvoyez des e-mails pour un certificat existant via la console ACM, les e-mails seront envoyés au domaine de validation spécifié dans la demande de certificat d'origine, ou au domaine exact si aucun domaine de validation n'a été spécifié. Pour recevoir des e-mails de validation sur un autre domaine, vous pouvez demander un nouveau certificat, en spécifiant le domaine de validation que vous souhaitez utiliser pour la validation. Vous pouvez également appeler [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)avec le `ValidationDomain` paramètre à l'aide de l'API, du SDK ou de la CLI. Cependant, le domaine de validation spécifié dans la `ResendValidationEmail` demande n'est utilisé que pour cet appel et n'est pas enregistré dans le certificat Amazon Resource Name (ARN) pour les futurs e-mails de validation. Vous devez appeler `ResendValidationEmail` chaque fois que vous souhaitez recevoir un e-mail de validation pour un nom de domaine qui n'a pas été spécifié dans la demande de certificat d'origine.
**Note**
Avant novembre 2020, les clients pouvaient se contenter de ne valider que le domaine apex puisqu'ACM émettait un certificat qui couvrait également tous les sous-domaines. Les clients disposant d'analyseurs de messages conçus avant cette date doivent tenir compte des modifications apportées au flux de travail de validation par courriel.
+ Avec l'API ACM ou l'interface CLI, vous pouvez forcer tous les messages électroniques de validation pour une demande de certificat multidomaine à envoyer au domaine apex. Dans l'API, utilisez le `DomainValidationOptions` paramètre de [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) l'action afin de spécifier une valeur pour `ValidationDomain`, qui est membre du [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html) type. Dans l'interface CLI, utilisez le paramètre **--domain-validation-options** de la commande [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) afin de spécifier une valeur pour `ValidationDomain`.
# AWS Certificate Manager Validation HTTP
Le protocole HTTP (Hypertext Transfer Protocol) est un protocole fondamental pour la communication de données sur le World Wide Web. Lorsque vous choisissez la validation HTTP pour les certificats utilisés avec CloudFront, ACM utilise ce protocole pour vérifier la propriété de votre domaine. ACM travaille conjointement avec CloudFront pour vous fournir une URL spécifique et un jeton unique qui doivent être accessibles à cette URL sur votre domaine. Ce jeton prouve que vous contrôlez le domaine. En configurant une redirection depuis votre domaine vers un emplacement contrôlé par ACM au sein de l' CloudFront infrastructure, vous démontrez votre capacité à modifier le contenu du domaine, validant ainsi votre propriété. Cette intégration parfaite entre ACM CloudFront simplifie le processus d'émission des certificats, en particulier pour les CloudFront distributions.
**Important**
La validation HTTP ne prend pas en charge les certificats de domaine génériques (tels que \$1.exemple.com). Pour les certificats génériques, vous devez plutôt utiliser la validation DNS ou la validation par e-mail.
Par exemple, si vous demandez un certificat pour le `example.com` domaine avec `www.example.com` comme nom supplémentaire CloudFront, ACM vous fournit deux ensembles de certificats URLs pour la validation HTTP. Chaque ensemble contient une `redirectFrom` URL et une `redirectTo` URL, créées spécifiquement pour votre domaine et votre AWS compte. L'`redirectFrom`URL est un chemin sur votre domaine (par exemple,`http://example.com/.well-known/pki-validation/example.txt`) que vous devez configurer. L'`redirectTo`URL pointe vers un emplacement contrôlé par ACM au sein de l' CloudFront infrastructure où un jeton de validation unique est stocké. Vous ne devez configurer ces redirections qu'une seule fois. Lorsqu'une autorité de certification tente de valider la propriété de votre domaine, elle demande le fichier depuis l'`redirectFrom`URL, qui CloudFront redirige vers l'`redirectTo`URL, permettant ainsi l'accès au jeton de validation. ACM renouvelle automatiquement votre certificat tant que celui-ci est utilisé CloudFront et que votre redirection reste en place.
Une fois que vous avez configuré la validation HTTP pour un nom de domaine complet (FQDN) avec CloudFront, vous pouvez demander des certificats ACM supplémentaires pour ce FQDN sans répéter le processus de validation, tant que la redirection HTTP reste en place. Cela signifie que vous pouvez créer des certificats de remplacement portant le même nom de domaine. Vous pouvez également remplacer un certificat supprimé sans recommencer le processus de validation, à condition que la redirection soit toujours active.
Pour arrêter le renouvellement automatique de votre certificat validé par HTTP, deux options s'offrent à vous. Vous pouvez soit supprimer le certificat de la CloudFront distribution à laquelle il est associé, soit supprimer la redirection HTTP que vous avez configurée pour la validation. Si vous utilisez un réseau de diffusion de contenu (CDN) ou un serveur Web autre que CloudFront pour gérer vos redirections, consultez leur documentation pour savoir comment supprimer une redirection. Si vous utilisez CloudFront pour gérer vos redirections, vous pouvez supprimer la redirection en mettant à jour la configuration de votre distribution. Pour plus d'informations sur le renouvellement de certificats gérés, consultez [Renouvellement géré des certificats dans AWS Certificate Manager](managed-renewal.md). N'oubliez pas que l'arrêt du renouvellement automatique peut entraîner l'expiration du certificat, ce qui peut interrompre votre trafic HTTPS.
## Comment fonctionnent les redirections HTTP pour ACM
**Note**
Cette section est destinée aux clients qui utilisent ACM CloudFront pour la diffusion de contenu et ACM pour la gestion des SSL/TLS certificats.
Lorsque vous utilisez la validation HTTP avec ACM et CloudFront, vous devez configurer les redirections HTTP. Ces redirections permettent à ACM de vérifier la propriété de votre domaine pour l'émission initiale du certificat et le renouvellement automatique continu. Le mécanisme de redirection fonctionne en pointant une URL spécifique de votre domaine vers un emplacement contrôlé par ACM au sein de l' CloudFrontinfrastructure où un jeton de validation unique est stocké.
Le tableau suivant présente des exemples de configurations de redirection pour les noms de domaine. Notez que la validation HTTP ne prend pas en charge les domaines génériques (tels que \$1.exemple.com). La paire **Redirect From** - **Redirect To** de chaque configuration sert à authentifier la propriété du nom de domaine.
**Exemples de configurations de redirection HTTP**
| Nom de domaine | Rediriger depuis | Rediriger vers | Comment |
| --- | --- | --- | --- |
| example.com | `http://example.com/.well-known/pki-validation/x2.txt` | `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt` | Unique |
| www.example.com | `http://www.example.com/.well-known/pki-validation/x3.txt` | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt` | Unique |
| host.example.com | `http://host.example.com/.well-known/pki-validation/x4.txt` | `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt` | Unique |
| subdomain.example.com | `http://subdomain.example.com/.well-known/pki-validation/x5.txt` | `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt` | Unique |
| host.subdomain.example.com | `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt` | `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt` | Unique |
Les *xN* valeurs des noms de fichiers et les *yN* valeurs des domaines contrôlés par ACM sont des identifiants uniques générés par ACM. Par exemple,
```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```
est représentatif de l'URL **de redirection** générée. L'URL **de redirection** associée peut être
```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```
pour le même enregistrement de validation.
**Note**
Si votre serveur Web ou votre réseau de diffusion de contenu ne prend pas en charge la configuration de redirections sur le chemin spécifié, voir [Résolution des problèmes de validation HTTP](troubleshooting-HTTP-validation.md).
Lorsque vous demandez un certificat et que vous spécifiez la validation HTTP, ACM fournit des informations de redirection au format suivant :
****
| Nom de domaine | Rediriger depuis | Rediriger vers |
| --- | --- | --- |
| example.com | http://example.com/.well - known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 |
Le *Nom de domaine* est le nom de domaine complet associé au certificat. *Redirect From* est l'URL de votre domaine où ACM recherchera le fichier de validation. *Redirect To* est l'URL contrôlée par ACM où le fichier de validation est hébergé.
Vous devez configurer votre serveur Web ou votre CloudFront distribution pour rediriger les demandes de l'URL de *redirection vers l'URL de* *redirection vers l'URL de redirection*. La méthode exacte pour configurer cette redirection dépend du logiciel ou de la CloudFront configuration de votre serveur Web. Assurez-vous que la redirection est correctement configurée pour permettre à ACM de valider la propriété de votre domaine et d'émettre ou de renouveler votre certificat.
## Configuration de la validation HTTP
ACM utilise la validation HTTP pour vérifier la propriété de votre domaine lors de l'émission de SSL/TLS certificats publics à utiliser avec CloudFront. Cette section décrit comment configurer un certificat public pour utiliser la validation HTTP.
**Pour configurer la validation HTTP dans la console**
**Note**
Cette procédure part du principe que vous avez déjà demandé un certificat CloudFront et que vous travaillez dans la AWS région où vous l'avez créé. La validation HTTP est uniquement disponible via la fonctionnalité CloudFront Distribution Tenants.
1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Dans la liste des certificats, choisissez l’**ID de certificat** d'un certificat avec statut **Validation en attente** que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.
1. Dans la section **Domaines**, vous pouvez voir les valeurs **de redirection depuis et de** **redirection vers** pour chaque domaine de votre demande de certificat.
1. Pour chaque domaine, configurez une redirection HTTP depuis l'URL **de redirection** vers l'URL **de redirection**. Vous pouvez le faire par le biais de votre configuration de CloudFront distribution.
1. Configurez votre CloudFront distribution pour rediriger les demandes **de l'URL de redirection** **vers l'URL de redirection**. La méthode de configuration de cette redirection dépend de votre CloudFront configuration.
1. Après avoir configuré les redirections, ACM tente automatiquement de valider la propriété de votre domaine. Ce processus peut prendre jusqu'à 30 minutes.
Si ACM ne parvient pas à valider le nom de domaine dans les 72 heures suivant la génération des valeurs de redirection pour vous, ACM change le statut du certificat en **Validation expiré**. La raison la plus probable de ce résultat est que vous n'avez pas correctement configuré les redirections HTTP. Pour résoudre ce problème, vous devez demander un nouveau certificat après avoir examiné les instructions de redirection.
**Important**
Pour éviter les problèmes de validation, assurez-vous que le contenu de l'emplacement **Rediriger depuis** correspond au contenu de l'emplacement **Rediriger vers**. Si vous rencontrez des problèmes, consultez [Résolution des problèmes de validation HTTP](troubleshooting-HTTP-validation.md).
**Note**
Contrairement à la validation DNS, vous ne pouvez pas demander par programmation à ACM de créer automatiquement vos redirections HTTP. Vous devez configurer ces redirections dans vos paramètres CloudFront de distribution.
Pour plus d'informations sur le fonctionnement de la validation HTTP, consultez[Comment fonctionnent les redirections HTTP pour ACM](#http-redirects-overview).