Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Certificate Manager sertifikat publik
<a name="gs-acm-request-public"></a>

Setelah Anda meminta sertifikat publik, Anda harus memvalidasi kepemilikan domain, seperti yang dijelaskan dalam[Validasi kepemilikan domain untuk sertifikat AWS Certificate Manager publik](domain-ownership-validation.md).

Sertifikat ACM publik mengikuti standar X.509 dan tunduk pada batasan berikut: 
+ **Nama:** Anda harus menggunakan nama subjek yang sesuai dengan DNS. Untuk informasi selengkapnya, lihat [Nama Domain](acm-concepts.md#concept-dn).
+ **Algoritma:** Untuk enkripsi, algoritma kunci privat sertifikat harus berupa RSA 2048-bit, ECDSA 256-bit, atau ECDSA 384-bit.
+ **Kedaluwarsa:** Setiap sertifikat berlaku selama 198 hari.
+ **Perpanjangan:** ACM mencoba memperbarui sertifikat publik secara otomatis 45 hari sebelum kedaluwarsa. 

**catatan**  
[Sertifikat ACM publik dapat diinstal pada instans Amazon EC2 yang terhubung ke Enclave Nitro.](acm-services.md#acm-nitro-enclave) Anda juga dapat [mengekspor sertifikat publik](export-public-certificate.md) untuk digunakan pada instans Amazon EC2 apa pun. Untuk informasi tentang menyiapkan server web mandiri pada instans Amazon EC2 yang tidak terhubung ke Enclave Nitro, [lihat Tutorial: Menginstal server web LAMP di Amazon Linux 2 atau Tutorial: Memasang server](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) [web LAMP dengan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html) Amazon Linux AMI.

Administrator dapat menggunakan [Kebijakan Kunci Bersyarat](https://docs.aws.amazon.com/acm/latest/userguide/acm-conditions.html) ACM untuk mengontrol cara pengguna akhir mengeluarkan sertifikat baru. Kunci bersyarat ini memungkinkan pembatasan ditempatkan pada domain, metode validasi, dan atribut lain yang terkait dengan permintaan sertifikat. Jika Anda mengalami masalah saat meminta sertifikat, lihat[Memecahkan masalah permintaan sertifikat](troubleshooting-cert-requests.md).

Untuk meminta sertifikat untuk menggunakan PKI pribadi AWS Private CA, lihat[Minta sertifikat pribadi di AWS Certificate ManagerMinta sertifikat pribadi](gs-acm-request-private.md). 

**Topics**
+ [

# AWS Certificate Manager karakteristik dan batasan sertifikat publik
](acm-certificate-characteristics.md)
+ [

# Minta sertifikat publik di AWS Certificate Manager
](acm-public-certificates.md)
+ [

# AWS Certificate Manager sertifikat publik yang dapat diekspor
](acm-exportable-certificates.md)
+ [

# Validasi kepemilikan domain untuk sertifikat AWS Certificate Manager publik
](domain-ownership-validation.md)

# AWS Certificate Manager karakteristik dan batasan sertifikat publik
<a name="acm-certificate-characteristics"></a>

Sertifikat publik yang disediakan oleh ACM memiliki karakteristik dan batasan sebagai berikut. Ini hanya berlaku untuk sertifikat yang disediakan oleh ACM. Mereka mungkin tidak berlaku untuk [sertifikat yang diimpor](import-certificate.md).

**Browser dan kepercayaan aplikasi**  <a name="trust-term"></a>
Sertifikat ACM dipercaya oleh semua browser utama termasuk Google Chrome, Microsoft Edge, Mozilla Firefox, dan Apple Safari. Browser menampilkan ikon kunci saat terhubung oleh TLS ke situs menggunakan sertifikat ACM. Java juga mempercayai sertifikat ACM.

**Otoritas sertifikat dan hierarki**  <a name="authority-term"></a>
Sertifikat publik yang diminta melalui ACM berasal dari [Amazon Trust Services](https://www.amazontrust.com/repository/), [otoritas sertifikat publik (](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)CA) yang dikelola Amazon. Amazon Root CAs 1 hingga 4 ditandatangani silang oleh Starfield G2 Root Certificate Authority - G2. Root Starfield dipercaya di Android (versi Gingerbread yang lebih baru) dan iOS (versi 4.1\$1). Akar Amazon dipercaya oleh iOS 11\$1. Browser, aplikasi, atau OSes termasuk Amazon atau Starfield root akan mempercayai sertifikat publik ACM.  
ACM menerbitkan sertifikat daun atau entitas akhir kepada pelanggan melalui perantara CAs, yang ditetapkan secara acak berdasarkan jenis sertifikat (RSA atau ECDSA). ACM tidak memberikan informasi CA perantara karena pemilihan acak ini.

**Validasi Domain (DV)**  <a name="domain-validation-term"></a>
Sertifikat ACM adalah domain yang divalidasi, hanya mengidentifikasi nama domain. Saat meminta sertifikat ACM, Anda harus membuktikan kepemilikan atau kendali atas semua domain yang ditentukan. Anda dapat memvalidasi kepemilikan menggunakan email atau DNS. Untuk informasi selengkapnya, lihat [AWS Certificate Manager validasi email](email-validation.md) dan [AWS Certificate Manager Validasi DNSValidasi DNS](dns-validation.md).

**Validasi HTTP**  <a name="http-validation-term"></a>
ACM mendukung validasi HTTP untuk verifikasi kepemilikan domain saat mengeluarkan sertifikat TLS publik untuk digunakan. CloudFront Metode ini menggunakan pengalihan HTTP untuk membuktikan kepemilikan domain dan menawarkan pembaruan otomatis yang mirip dengan validasi DNS. Validasi HTTP saat ini hanya tersedia melalui fitur Penyewa CloudFront Distribusi.

**Pengalihan HTTP**  <a name="http-redirect-term"></a>
Untuk validasi HTTP, ACM menyediakan `RedirectFrom` URL dan URL. `RedirectTo` Anda harus mengatur pengalihan dari `RedirectFrom` ke `RedirectTo` untuk menunjukkan kontrol domain. `RedirectFrom`URL menyertakan domain yang divalidasi, sementara `RedirectTo` menunjuk ke lokasi yang dikendalikan ACM di CloudFront infrastruktur yang berisi token validasi unik.

**Dikelola oleh**  <a name="managed-by-term"></a>
Sertifikat di ACM yang dikelola oleh layanan lain menunjukkan bahwa identitas layanan di `ManagedBy` lapangan. Untuk sertifikat yang menggunakan validasi HTTP dengan CloudFront, bidang ini menampilkan “CLOUDFRONT”. Sertifikat ini hanya dapat digunakan melalui CloudFront. `ManagedBy`Bidang muncul di **DescribeCertificate** dan **ListCertificates** APIs, dan pada inventaris sertifikat dan halaman detail di konsol ACM.  
`ManagedBy`Bidang ini saling eksklusif dengan atribut “Dapat digunakan dengan”. Untuk sertifikat CloudFront yang dikelola, Anda tidak dapat menambahkan penggunaan baru melalui layanan lain AWS . Anda hanya dapat menggunakan sertifikat ini dengan lebih banyak sumber daya melalui CloudFront API.

**Rotasi CA menengah dan akar**  <a name="rotation-term"></a>
Amazon dapat menghentikan CA perantara tanpa pemberitahuan untuk mempertahankan infrastruktur sertifikat yang tangguh. Perubahan ini tidak berdampak pada pelanggan. Untuk informasi selengkapnya, lihat [“Amazon memperkenalkan otoritas sertifikat perantara dinamis”.](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/)  
Jika Amazon menghentikan root CA, perubahan akan terjadi secepat yang diperlukan. Amazon akan menggunakan semua metode yang tersedia untuk memberi tahu AWS pelanggan, termasuk email Dasbor Health, dan penjangkauan ke manajer akun teknis.

**Akses firewall untuk pencabutan**  <a name="revocation-term"></a>
Sertifikat entitas akhir yang dicabut menggunakan OCSP dan CRLs untuk memverifikasi dan mempublikasikan informasi pencabutan. Beberapa firewall pelanggan mungkin memerlukan aturan tambahan untuk memungkinkan mekanisme ini.  
Gunakan pola wildcard URL ini untuk mengidentifikasi lalu lintas pencabutan:  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
Tanda bintang (\$1) mewakili satu atau lebih karakter alfanumerik, tanda tanya (?) mewakili karakter alfanumerik tunggal, dan tanda hash (\$1) mewakili angka.

**Algoritma kunci**  <a name="algorithms-term"></a>
Sertifikat harus menentukan algoritma dan ukuran kunci. ACM mendukung algoritma kunci publik RSA dan ECDSA ini:  
+ RSA 1024 bit () `RSA_1024`
+ RSA 2048 bit () \$1 `RSA_2048`
+ RSA 3072 bit () `RSA_3072`
+ RSA 4096 bit () `RSA_4096`
+ ECDSA 256 bit () \$1 `EC_prime256v1`
+ ECDSA 384 bit () \$1 `EC_secp384r1`
+ ECDSA 521 bit () `EC_secp521r1`
ACM dapat meminta sertifikat baru menggunakan algoritma yang ditandai dengan tanda bintang (\$1). Algoritma lain hanya untuk sertifikat yang [diimpor](import-certificate.md).  
Untuk sertifikat PKI pribadi yang ditandatangani oleh AWS Private CA CA, keluarga algoritma penandatanganan (RSA atau ECDSA) harus cocok dengan keluarga algoritma kunci rahasia CA.
Kunci ECDSA lebih kecil dan lebih efisien secara komputasi daripada kunci RSA dengan keamanan yang sebanding, tetapi tidak semua klien jaringan mendukung ECDSA. Tabel ini, diadaptasi dari [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf), membandingkan ukuran kunci RSA dan ECDSA (dalam bit) untuk kekuatan keamanan yang setara:    
**Membandingkan keamanan untuk algoritma dan kunci**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/acm/latest/userguide/acm-certificate-characteristics.html)
Kekuatan keamanan, sebagai kekuatan 2, berkaitan dengan jumlah tebakan yang diperlukan untuk memecahkan enkripsi. Misalnya, kunci RSA 3072-bit dan kunci ECDSA 256-bit dapat diambil dengan tidak lebih dari 2 128 tebakan.  
Untuk bantuan memilih algoritme, lihat posting AWS blog [Cara mengevaluasi dan menggunakan sertifikat ECDSA di](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager  
[Layanan terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) hanya memungkinkan algoritma yang didukung dan ukuran kunci untuk sumber daya mereka. Support bervariasi berdasarkan apakah sertifikat diimpor ke IAM atau ACM. Untuk detailnya, lihat dokumentasi setiap layanan:  
+ Untuk Elastic Load Balancing, lihat [HTTPS Listener untuk Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Anda.
+ Untuk CloudFront, lihat [ SSL/TLS Protokol dan Cipher yang Didukung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html).

**Pembaruan dan Penerapan Terkelola**  <a name="renewal-term"></a>
ACM mengelola pembaruan dan penyediaan sertifikat ACM. Perpanjangan otomatis membantu mencegah waktu henti dari sertifikat yang salah konfigurasi, dicabut, atau kedaluwarsa. Untuk informasi selengkapnya, lihat [Perpanjangan sertifikat terkelola di AWS Certificate Manager](managed-renewal.md).

**Beberapa Nama Domain**  <a name="multiple-domains-term"></a>
Setiap sertifikat ACM harus menyertakan setidaknya satu nama domain yang memenuhi syarat (FQDN) dan dapat menyertakan nama tambahan. Misalnya, sertifikat untuk juga `www.example.com` dapat mencakup`www.example.net`. Ini berlaku untuk domain kosong (zona puncak atau domain telanjang) juga. Anda dapat meminta sertifikat untuk www.example.com dan menyertakan example.com. Untuk informasi selengkapnya, lihat [AWS Certificate Manager sertifikat publik](gs-acm-request-public.md).

**Kode Punycode**  <a name="punycode-term"></a>
Persyaratan [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) berikut untuk [Nama Domain Internasional](https://www.icann.org/resources/pages/idn-2012-02-25-en) harus dipenuhi:  

1. Nama domain yang dimulai dengan pola “<character><character>--” harus cocok dengan “xn--”.

1. Nama domain yang diawali dengan “xn--” juga harus merupakan Nama Domain Internasional yang valid.  
**Contoh Punycode**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/acm/latest/userguide/acm-certificate-characteristics.html)

**Masa Berlaku**  <a name="validity-term"></a>
Sertifikat ACM berlaku selama 198 hari.

**Nama Wildcard**  <a name="wildcard-term"></a>
ACM memungkinkan tanda bintang (\$1) dalam nama domain untuk membuat sertifikat wildcard yang melindungi beberapa situs dalam domain yang sama. Misalnya, `*.example.com` melindungi `www.example.com` dan`images.example.com`.  
Dalam sertifikat wildcard, tanda bintang (`*`) harus paling kiri dalam nama domain dan hanya melindungi satu tingkat subdomain. Misalnya, `*.example.com` melindungi `login.example.com` dan`test.example.com`, tetapi tidak`test.login.example.com`. Selain itu, *hanya `*.example.com`* melindungi subdomain, bukan domain telanjang atau apex (). `example.com` Anda dapat meminta sertifikat untuk domain kosong dan subdomainnya dengan menentukan beberapa nama domain, seperti dan. `example.com` `*.example.com`  
Jika Anda menggunakan CloudFront, perhatikan bahwa validasi HTTP tidak mendukung sertifikat wildcard. Untuk sertifikat wildcard, Anda harus menggunakan validasi DNS atau validasi email. Kami merekomendasikan validasi DNS karena mendukung pembaruan sertifikat otomatis.

# Minta sertifikat publik di AWS Certificate Manager
<a name="acm-public-certificates"></a>

Anda dapat meminta sertifikat AWS Certificate Manager publik dari konsol ACM, AWS CLI, atau API. Anda dapat menggunakan sertifikat ini dengan terintegrasi Layanan AWS atau mengekspornya untuk digunakan di luar AWS Cloud.

Daftar berikut menjelaskan perbedaan antara sertifikat publik dan sertifikat publik yang dapat diekspor.

**Sertifikat publik**  
Gunakan sertifikat publik ACM yang terintegrasi Layanan AWS seperti Elastic Load Balancing, Amazon, dan CloudFront Amazon API Gateway. Untuk informasi selengkapnya, lihat [Layanan terintegrasi dengan ACM](acm-services.md).  
Sertifikat publik ACM yang dibuat sebelum 17 Juni 2025 tidak dapat diekspor.

**Sertifikat publik yang dapat diekspor**  
Sertifikat publik yang dapat diekspor bekerja dengan terintegrasi Layanan AWS dan juga dapat digunakan di luar AWS Cloud. Untuk informasi selengkapnya, lihat [AWS Certificate Manager sertifikat publik yang dapat diekspor](acm-exportable-certificates.md) dan [Layanan terintegrasi dengan ACM](acm-services.md). Anda harus membuat sertifikat publik ACM baru dan mengaktifkan ekspor untuk dapat mengekspor sertifikat publik. 

Bagian berikut membahas cara meminta, mengekspor, dan mencabut sertifikat ACM publik.

**Topics**
+ [

## Minta sertifikat publik menggunakan konsol
](#request-public-console)
+ [

## Minta sertifikat publik menggunakan CLI
](#request-public-cli)

## Minta sertifikat publik menggunakan konsol
<a name="request-public-console"></a>

**Untuk meminta sertifikat publik ACM (konsol)**

1. Masuk ke Konsol AWS Manajemen dan buka konsol ACM di [https://console.aws.amazon.com/acm/rumah](https://console.aws.amazon.com/acm/home).

   Pilih **Minta sertifikat**.

1. Di bagian **Nama domain**, ketikkan nama domain Anda. 

   Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), seperti**www.example.com**, atau nama domain telanjang atau puncak seperti. **example.com** Anda juga dapat menggunakan tanda bintang (**\$1**) sebagai kartu liar di posisi paling kiri untuk melindungi beberapa nama situs di domain yang sama. Misalnya, **\$1.example.com** melindungi**corp.example.com**, dan**images.example.com**. Nama wildcard akan muncul di bidang **Subjek** dan di ekstensi **Nama Alternatif Subjek** dari sertifikat ACM. 

   Saat Anda meminta sertifikat wildcard, tanda bintang (**\$1**) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, **\$1.example.com** dapat melindungi**login.example.com**, dan**test.example.com**, tetapi tidak dapat melindungi**test.login.example.com**. Perhatikan juga bahwa **\$1.example.com** melindungi *hanya* subdomain dari**example.com**, itu tidak melindungi domain telanjang atau apex (). **example.com** Untuk melindungi keduanya, lihat langkah selanjutnya.
**catatan**  
Sesuai dengan [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), panjang nama domain (secara teknis, Nama Umum) yang Anda masukkan dalam langkah ini tidak boleh melebihi 64 oktet (karakter), termasuk periode. Setiap Nama Alternatif Subjek (SAN) berikutnya yang Anda berikan, seperti pada langkah berikutnya, bisa mencapai panjang 253 oktet. 

   1. Untuk menambahkan nama lain, pilih **Tambahkan nama lain ke sertifikat ini** dan ketikkan nama di kotak teks. Ini berguna untuk melindungi domain telanjang atau puncak (seperti**example.com**) dan subdomainnya seperti). **\$1.example.com**

1. Jika Anda ingin membuat sertifikat publik yang dapat diekspor ACM, pilih opsi **Aktifkan ekspor**. Anda akan dapat mengakses kunci pribadi sertifikat dan menggunakannya di luar AWS Cloud. Untuk informasi selengkapnya, lihat [AWS Certificate Manager sertifikat publik yang dapat diekspor](acm-exportable-certificates.md).

1. Di bagian **Metode validasi**, pilih validasi **DNS — direkomendasikan atau validasi** **Email, tergantung pada kebutuhan** Anda.
**catatan**  
Jika Anda dapat mengedit konfigurasi DNS Anda, kami sarankan Anda menggunakan validasi domain DNS daripada validasi email. Validasi DNS memiliki banyak manfaat dibandingkan validasi email. Lihat [AWS Certificate Manager Validasi DNSValidasi DNS](dns-validation.md). 

   Sebelum ACM mengeluarkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengontrol nama domain dalam permintaan sertifikat Anda. Anda dapat menggunakan validasi email atau validasi DNS. 

   1. Jika Anda memilih validasi email, ACM mengirimkan email validasi ke domain yang Anda tentukan di bidang nama domain. Jika Anda menentukan domain validasi, ACM akan mengirimkan email ke domain validasi tersebut. Untuk informasi selengkapnya tentang validasi email, lihat[AWS Certificate Manager validasi email](email-validation.md).

   1. Jika Anda menggunakan validasi DNS, Anda cukup menambahkan catatan CNAME yang disediakan oleh ACM ke konfigurasi DNS Anda. Untuk informasi selengkapnya tentang validasi DNS, lihat. [AWS Certificate Manager Validasi DNSValidasi DNS](dns-validation.md)

1. Di bagian **Algoritma kunci**, pilih algoritma.

1. Di halaman **Tag**, Anda dapat menandai sertifikat Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter tag ACM dan petunjuk tentang cara menambahkan tag ke sertifikat setelah pembuatan, lihat[AWS Certificate Manager Sumber daya tag](tags.md). 

   Setelah selesai menambahkan tag, pilih **Permintaan**.

1. Setelah permintaan diproses, konsol mengembalikan Anda ke daftar sertifikat Anda, di mana informasi tentang sertifikat baru ditampilkan.

   Sertifikat memasuki status **Validasi tertunda** setelah diminta, kecuali jika gagal karena salah satu alasan yang diberikan dalam topik pemecahan masalah Permintaan [sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed) gagal. ACM melakukan upaya berulang untuk memvalidasi sertifikat selama 72 jam dan kemudian habis waktu. Jika sertifikat menunjukkan status **Gagal** atau Waktu **validasi habis**, hapus permintaan, perbaiki masalah dengan validasi [DNS atau validasi](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html) [Email, dan coba lagi](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). **Jika validasi berhasil, sertifikat memasuki status Diterbitkan.** 
**catatan**  
Bergantung pada bagaimana Anda memesan daftar, sertifikat yang Anda cari mungkin tidak segera terlihat. Anda dapat mengklik segitiga hitam di sebelah kanan untuk mengubah urutan. Anda juga dapat menavigasi melalui beberapa halaman sertifikat menggunakan nomor halaman di kanan atas.

## Minta sertifikat publik menggunakan CLI
<a name="request-public-cli"></a>

Gunakan perintah [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) untuk meminta sertifikat ACM publik baru pada baris perintah. Nilai opsional untuk metode validasi adalah DNS dan EMAIL. Nilai opsional untuk algoritma kunci adalah RSA\$12048 (default jika parameter tidak disediakan secara eksplisit), EC\$1Prime256v1, dan EC\$1Secp384R1.

```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```

Perintah ini mengeluarkan Nama Sumber Daya Amazon (ARN) dari sertifikat publik baru Anda.

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

# AWS Certificate Manager sertifikat publik yang dapat diekspor
<a name="acm-exportable-certificates"></a>

AWS Certificate Manager Sertifikat publik yang dapat diekspor memungkinkan Anda menyediakan, mengelola, dan menerapkan sertifikat [SSL/TLS di mana saja -](acm-concepts.md#concept-sslcert) termasuk instans Amazon EC2, container, dan host lokal. Fitur ini memperluas sertifikat publik yang dikeluarkan ACM di luar terintegrasi Layanan AWS, memberi Anda kontrol terpusat atas sertifikat di seluruh infrastruktur Anda.

## Manfaat
<a name="acm-exportable-certificates-benefits"></a>

Berikut ini menguraikan manfaat sertifikat publik yang dapat diekspor ACM:
+ *Manajemen Sertifikat Sederhana*: Kelola sertifikat secara terpusat untuk semua sumber daya Anda dengan ACM.
+ *Penerbitan Sertifikat Lebih Cepat*: Akses dan gunakan sertifikat dalam waktu yang lebih singkat.
+ *Perpanjangan Otomatis*: ACM secara otomatis menangani perpanjangan sertifikat dan memberi tahu Anda saat sertifikat baru siap digunakan. Untuk informasi selengkapnya, lihat [EventBridge Dukungan Amazon untuk ACM](supported-events.md).
+ *Hemat Biaya*: Bayar hanya untuk sertifikat publik yang dapat diekspor yang Anda buat.
+ *Penerapan Fleksibel*: Gunakan sertifikat dengan server atau aplikasi apa pun yang mendukung sertifikat [SSL/TLS](acm-concepts.md#concept-sslcert) standar.

## Cara kerja sertifikat publik yang dapat diekspor ACM
<a name="acm-exportable-certificates-how-it-works"></a>

Berikut ini menguraikan cara kerja sertifikat publik yang dapat diekspor ACM:

1. Minta sertifikat yang dapat diekspor melalui ACM untuk domain Anda.

1. Validasi kepemilikan domain menggunakan DNS atau validasi email.

1. Ekspor sertifikat, kunci pribadi, dan rantai sertifikat.

1. Menyebarkan sertifikat ke server atau aplikasi Anda.

1. ACM mengelola pembaruan dan mengirimkan pemberitahuan saat sertifikat baru tersedia.

## Pertimbangan keamanan
<a name="acm-exportable-certificates-security"></a>

Berikut ini adalah pertimbangan keamanan saat menggunakan sertifikat publik yang dapat diekspor ACM. Untuk informasi selengkapnya, lihat [Perlindungan data di AWS Certificate Manager](data-protection.md).
+ Lindungi kunci pribadi yang diekspor menggunakan penyimpanan aman dan kontrol akses.
+ Gunakan fitur pencabutan ACM jika Anda mencurigai adanya kompromi kunci.
+ Menerapkan prosedur rotasi kunci yang tepat saat menerapkan sertifikat yang diperbarui.

## Batasan
<a name="acm-exportable-certificates-limitations"></a>

Berikut ini adalah beberapa batasan sertifikat ACM:
+ Sertifikat memiliki masa berlaku 198 hari.
+ ACM memperbarui sertifikat yang ditetapkan untuk kedaluwarsa 45 hari sebelum tanggal kedaluwarsa.
+ Anda harus mengelola proses penyebaran untuk sertifikat yang diekspor.

## Harga
<a name="acm-exportable-certificates-pricing"></a>

Anda dikenakan biaya tambahan untuk SSL/TLS sertifikat publik yang dapat diekspor yang Anda buat dengan AWS Certificate Manager. Untuk informasi harga ACM terbaru, lihat halaman [Harga AWS Certificate Manager Layanan](https://aws.amazon.com//certificate-manager/pricing/) di AWS situs web.

## Praktik terbaik
<a name="acm-exportable-certificates-best-practices"></a>

Berikut ini adalah beberapa praktik terbaik saat menggunakan sertifikat ACM:
+ Setelah sertifikat diperbarui, Anda harus segera mulai menggunakannya.
+ Uji dan terapkan proses penerapan otomatis untuk sertifikat yang diperbarui.
+ Pantau penerapan sertifikat menggunakan [ EventBridge metrik dan alarm Amazon](supported-events.md).

# Ekspor sertifikat AWS Certificate Manager publik
<a name="export-public-certificate"></a>

Prosedur berikut memandu Anda melalui bagaimana Anda dapat mengekspor sertifikat publik ACM di konsol ACM. Atau, Anda dapat menggunakan tindakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html) AWS CLI atau [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API.

**catatan**  
Sertifikat publik ACM yang dibuat sebelum 17 Juni 2025 tidak dapat diekspor.

## Ekspor sertifikat publik (konsol)
<a name="console-procedures"></a>

1. Masuk ke Konsol Manajemen AWS dan buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Pilih **Daftar sertifikat** dan pilih kotak centang sertifikat yang ingin Anda ekspor.

   1. Atau, Anda dapat memilih sertifikat. Di halaman detail sertifikat, pilih **Ekspor**.

1. Pilih **Tindakan lainnya**, lalu pilih **Ekspor**.

1. Masukkan dan konfirmasikan frasa sandi untuk kunci pribadi.

1. Anda dapat mengunduh atau menyalin file sertifikat.
**catatan**  
Di konsol ACM, Anda dapat mengekspor file sertifikat.pem. Anda dapat mengonversi file.pem ke format file lain, seperti.ppk. Untuk informasi lebih lanjut, lihat artikel [re:Post](https://repost.aws/knowledge-center/ec2-ppk-pem-conversion) ini. 

## Ekspor sertifikat publik (AWS CLI)
<a name="cli-procedures"></a>

Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI perintah atau tindakan [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API untuk mengekspor sertifikat publik dan kunci pribadi. Anda harus menetapkan frasa sandi ketika Anda menjalankan perintah. Untuk keamanan tambahan, gunakan editor file untuk menyimpan frasa sandi Anda dalam file, lalu berikan frasa sandi dengan memasok file tersebut. Ini mencegah frasa sandi Anda disimpan dalam riwayat perintah dan mencegah orang lain melihat frasa sandi saat Anda mengetiknya.

**catatan**  
File yang berisi frasa sandi tidak boleh diakhiri dengan terminator baris. Anda dapat memeriksa file kata sandi Anda seperti ini:

```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```

Contoh berikut menyalurkan output perintah `jq` untuk menerapkan pemformatan PEM.

```
[Windows/Linux]$ aws acm export-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
    --passphrase fileb://path-to-passphrase-file  \
    | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```

Ini menghasilkan sertifikat format PEM yang dikodekan oleh base64, juga berisi rantai sertifikat dan kunci pribadi terenkripsi, seperti pada contoh singkat berikut.

```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```

Untuk menampilkan semuanya ke file, tambahkan `>` pengalihan ke contoh sebelumnya, menghasilkan perintah berikut: 

```
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt
```

# Amankan Beban Kerja Kubernetes dengan Sertifikat ACM
<a name="exportable-certificates-kubernetes"></a>

Anda dapat menggunakan sertifikat publik yang dapat AWS Certificate Manager diekspor dengan AWS Controllers for Kubernetes (ACK) untuk menerbitkan dan mengekspor sertifikat TLS publik dari ACM ke beban kerja Kubernetes Anda. Integrasi ini memungkinkan Anda mengamankan pod Amazon Elastic Kubernetes Service (Amazon EKS) dan menghentikan TLS di Kubernetes Ingress Anda. Untuk memulai, lihat [ACM Controller for Kubernetes](https://github.com/aws-controllers-k8s/acm-controller) aktif. GitHub

AWS Controller for Kubernetes (ACK) memperluas API Kubernetes untuk mengelola sumber daya menggunakan manifes Kubernetes asli. AWS Pengontrol layanan ACK untuk ACM menyediakan manajemen siklus hidup sertifikat otomatis dalam alur kerja Kubernetes Anda. Saat Anda membuat sumber daya Sertifikat ACM di Kubernetes, pengontrol ACK melakukan tindakan berikut:

1. Meminta sertifikat dari ACM, yang menghasilkan permintaan penandatanganan sertifikat (CSR).

1. Menunggu validasi domain selesai dan ACM mengeluarkan sertifikat.

1. Jika `exportTo` bidang ditentukan, ekspor sertifikat yang diterbitkan dan kunci pribadi dan menyimpannya di Rahasia Kubernetes yang Anda tentukan.

1. Jika `exportTo` bidang ditentukan dan sertifikat memenuhi syarat untuk diperpanjang, perbarui Rahasia Kubernetes dengan sertifikat yang diperbarui sebelum kedaluwarsa.

Sertifikat yang diterbitkan secara publik memerlukan [validasi domain](https://docs.aws.amazon.com//acm/latest/userguide/dns-validation.html) sebelum ACM dapat menerbitkannya. Anda dapat menggunakan [pengontrol layanan ACK untuk Amazon Route 53](https://github.com/aws-controllers-k8s/route53-controller) untuk secara otomatis membuat catatan CNAME validasi DNS yang diperlukan di zona yang dihosting.

## Opsi penggunaan sertifikat
<a name="kubernetes-ack-certificate-usage"></a>

Anda dapat menggunakan sertifikat ACM dengan Kubernetes dalam beberapa cara:

![\[alt text not found\]](http://docs.aws.amazon.com/id_id/acm/latest/userguide/images/kubernetes-acm.png)


1. *Penghentian penyeimbang beban (tanpa ekspor)*: Menerbitkan sertifikat melalui ACK dan menggunakannya untuk mengakhiri TLS pada penyeimbang beban. AWS Sertifikat tetap dalam ACM dan secara otomatis ditemukan oleh [AWS Load Balancer](https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.1/guide/ingress/cert_discovery/) Controller. Pendekatan ini tidak memerlukan ekspor sertifikat.

1. *Penghentian masuk (dengan ekspor): Ekspor sertifikat dari ACM dan simpan di Rahasia Kubernetes untuk penghentian TLS di tingkat Ingress*. Ini memungkinkan Anda untuk menggunakan sertifikat secara langsung dalam beban kerja Kubernetes Anda.

**catatan**  
Untuk kasus penggunaan yang memerlukan sertifikat pribadi, lihat [Konektor CA AWS Pribadi untuk Kubernetes](https://docs.aws.amazon.com//privateca/latest/userguide/PcaKubernetes-concepts.html), sebuah plugin cert-manager.

## Prasyarat
<a name="kubernetes-ack-prerequisites"></a>

Sebelum Anda menginstal pengontrol layanan ACK untuk ACM, pastikan Anda memiliki yang berikut:
+ Sebuah cluster Kubernetes.
+ Helm dipasang.
+ `kubectl`dikonfigurasi untuk berkomunikasi dengan cluster Anda.
+ `eksctl`diinstal untuk mengonfigurasi asosiasi identitas pod di EKS.

## Instal pengontrol layanan ACK untuk ACM
<a name="kubernetes-ack-installation"></a>

Gunakan Helm untuk menginstal pengontrol layanan ACK untuk ACM di kluster Amazon EKS Anda.

1. Buat namespace untuk pengontrol ACK.

   ```
   $ kubectl create namespace ack-system --dry-run=client -o yaml | kubectl apply -f -
   ```

1. Buat asosiasi identitas pod untuk pengontrol ACK. Ganti *CLUSTER\$1NAME* dengan nama cluster Anda dan *REGION* dengan AWS Region Anda.

   ```
   $ eksctl create podidentityassociation --cluster CLUSTER_NAME --region REGION \
       --namespace ack-system \
       --create-service-account \
       --service-account-name ack-acm-controller \
       --permission-policy-arns arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess
   ```

1. Masuk ke registri Publik Amazon ECR.

   ```
   $ aws ecr-public get-login-password --region us-east-1 | helm registry login --username AWS --password-stdin public.ecr.aws
   ```

1. Instal pengontrol layanan ACK untuk ACM. Ganti *REGION* dengan AWS wilayah Anda.

   ```
   $ helm install -n ack-system ack-acm-controller oci://public.ecr.aws/aws-controllers-k8s/acm-chart --set serviceAccount.create=false --set serviceAccount.name=ack-acm-controller --set aws.region=REGION
   ```

1. Verifikasi pengontrol sedang berjalan.

   ```
   $ kubectl get pods -n ack-system
   ```

Untuk informasi selengkapnya tentang asosiasi identitas pod, lihat [EKS Pod Identity](https://docs.aws.amazon.com//eks/latest/userguide/pod-identities.html) di *Panduan Pengguna Amazon EKS*.

## Contoh: Hentikan TLS di Ingress
<a name="kubernetes-ack-example"></a>

Contoh berikut menunjukkan cara mengekspor sertifikat ACM dan menggunakannya untuk mengakhiri TLS di tingkat Ingress Kubernetes. Konfigurasi ini membuat sertifikat ACM, mengekspornya ke Rahasia Kubernetes, dan mengonfigurasi sumber daya Ingress untuk menggunakan sertifikat untuk penghentian TLS.

Dalam contoh ini:
+ Rahasia dibuat untuk menyimpan sertifikat yang diekspor () `exported-cert-secret`
+ Sumber daya ACK Certificate meminta sertifikat dari ACM untuk domain Anda dan mengekspornya ke Rahasia. `exported-cert-secret`
+ Sumber daya Ingress mereferensikan `exported-cert-secret` untuk menghentikan TLS untuk lalu lintas masuk.

Ganti `${HOSTNAME}` dengan nama domain Anda.

```
apiVersion: v1
kind: Secret
type: kubernetes.io/tls
metadata:
  name: exported-cert-secret
  namespace: demo-app
data:
  tls.crt: ""
  tls.key: ""
---
apiVersion: acm.services.k8s.aws/v1alpha1
kind: Certificate
metadata:
  name: exportable-public-cert
  namespace: demo-app
spec:
  domainName: ${HOSTNAME}
  options:
    certificateTransparencyLoggingPreference: ENABLED
  exportTo: 
    namespace: demo-app
    name: exported-cert-secret
    key: tls.crt
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-traefik
  namespace: demo-app
spec:
  tls:
  - hosts:
    - ${HOSTNAME}
    secretName: exported-cert-secret
  ingressClassName: traefik
  rules:
  - host: ${HOSTNAME}
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: whoami
            port:
              number: 80
```

Setelah digunakan, pengontrol layanan ACK untuk ACM secara otomatis mengelola siklus hidup sertifikat, termasuk perpanjangan. Saat ACM memperbarui sertifikat, pengontrol memperbarui `exported-cert-secret` Rahasia dengan sertifikat baru, memastikan Ingress Anda terus menggunakan sertifikat yang valid tanpa intervensi manual.

# Mencabut sertifikat publik AWS Certificate Manager
<a name="revoke-certificate"></a>

Anda dapat mencabut sertifikat publik yang dapat AWS Certificate Manager diekspor menggunakan konsol ACM AWS CLI, atau tindakan API.

**Awas**  
Setelah sertifikat dicabut, Anda tidak dapat menggunakan kembali sertifikat tersebut. Mencabut sertifikat bersifat permanen.

Anda mungkin perlu mencabut sertifikat untuk mematuhi kebijakan organisasi Anda atau mengurangi kompromi utama. Alasan diperlukan saat mencabut sertifikat. Alasan berikut dapat digunakan:
+ Tidak ditentukan
+ Afiliasi berubah
+ Digantikan
+ Penghentian operasi

Untuk mempelajari lebih lanjut, lihat, [Perjanjian Pelanggan Sertifikat Amazon Trust Services](https://www.amazontrust.com/repository/sa-1.3.pdf) dan [Amazon Trust Service](https://www.amazontrust.com/repository/).

AWS menyediakan dua layanan untuk memeriksa pencabutan sertifikat: Online Certificate Status Protocol (OCSP) dan daftar pencabutan sertifikat. Dengan OCSP, klien menanyakan database pencabutan otoritatif yang mengembalikan status secara real-time. OCSP bergantung pada informasi validasi yang tertanam dalam sertifikat.

## Pertimbangan-pertimbangan
<a name="revoke-considerations"></a>

Berikut ini adalah pertimbangan sebelum mencabut sertifikat:
+ Anda hanya dapat mencabut sertifikat yang sebelumnya diekspor.
+ Anda tidak dapat mencabut sertifikat publik yang [tidak dapat diekspor](acm-exportable-certificates.md). Jika Anda tidak lagi memerlukan sertifikat ini, Anda harus [menghapusnya](gs-acm-delete.md) sebagai gantinya.
+ Jika Anda tidak lagi memerlukan sertifikat, Anda harus [menghapus sertifikat](gs-acm-delete.md) alih-alih mencabut sertifikat.
+ Proses pencabutan sertifikat bersifat global. Semua sertifikat valid yang Anda pilih untuk dicabut akan dicabut bersama dengan yang terkait. ARNs
+ Pencabutan sertifikat bersifat permanen. Anda tidak dapat mengambil sertifikat yang telah dicabut untuk digunakan kembali.
+ Diperlukan waktu hingga 24 jam agar pencabutan sertifikat berlaku.

## Mencabut sertifikat (konsol)
<a name="revoke-certificate-console"></a>

Prosedur berikut memandu Anda melalui bagaimana Anda dapat mencabut sertifikat publik atau swasta ACM.

1. Masuk ke Konsol Manajemen AWS dan buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Pilih **Daftar sertifikat** dan pilih kotak centang sertifikat yang ingin dicabut.

   1. Atau, Anda dapat memilih sertifikat. Di halaman detail sertifikat, pilih **Cabut**.

1. Pilih **Lebih banyak tindakan** dan kemudian pilih **Cabut**.

1. **Kotak dialog muncul di mana Anda harus memberikan alasan pencabutan, masukkan**revoke**, lalu pilih Cabut.**

## Mencabut sertifikat ()AWS CLI
<a name="revoke-certificate-cli"></a>

Gunakan [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI perintah atau tindakan [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html)API untuk mencabut sertifikat publik atau pribadi ACM. Anda dapat mengambil ARN sertifikat dengan memanggil [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)perintah.

```
$ aws acm revoke-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
    --revocation-reason "UNSPECIFIED"
```

**Awas**  
Setelah sertifikat dicabut, Anda tidak dapat menggunakan kembali sertifikat tersebut. Mencabut sertifikat bersifat permanen.

Berikut ini akan menjadi output untuk `revoke-certificate` perintah.

```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```

# Konfigurasikan acara perpanjangan otomatis
<a name="configure-auto-renewals-events"></a>

Dengan sertifikat publik yang dapat AWS Certificate Manager diekspor dan Amazon EventBridge, Anda dapat mengonfigurasi acara perpanjangan sertifikat otomatis.

1. Siapkan EventBridge acara Amazon untuk memantau perpanjangan sertifikat. Untuk informasi selengkapnya, lihat [ EventBridge Dukungan Amazon untuk ACM](https://docs.aws.amazon.com//acm/latest/userguide/cloudwatch-events.html).

1. Buat otomatisasi untuk menangani penerapan sertifikat saat perpanjangan terjadi. Untuk informasi selengkapnya, lihat [Memulai tindakan dengan Amazon EventBridge di ACM](example-actions.md).

1. Konfigurasikan EventBridge peristiwa untuk memberi tahu Anda tentang kegagalan pembaruan atau penerapan apa pun.

# Memaksa perpanjangan sertifikat
<a name="force-certificate-renewal"></a>

Anda dapat memperbarui sertifikat publik dan pribadi ACM Anda dengan konsol ACM, sertifikat [perpanjangan, atau tindakan API](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI. [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) Anda hanya dapat memperbarui sertifikat yang telah diekspor sebelumnya.

**penting**  
Saat Anda memperbarui sertifikat publik yang dapat diekspor ACM, Anda dikenakan biaya tambahan. Untuk informasi harga ACM terbaru, lihat halaman [Harga AWS Certificate Manager Layanan](https://aws.amazon.com//certificate-manager/pricing/) di AWS situs web.

## Perbarui sertifikat (konsol)
<a name="renew-certificate-console"></a>

Prosedur berikut memandu Anda melalui bagaimana Anda dapat memaksa pembaruan sertifikat publik atau swasta ACM.

1. Masuk ke Konsol Manajemen AWS dan buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Pilih **Daftar sertifikat** dan pilih kotak centang sertifikat yang ingin Anda perpanjang.

   1. Atau, Anda dapat memilih sertifikat. Di halaman detail sertifikat, pilih **Perbarui**.

1. Pilih **Lebih banyak tindakan** dan kemudian pilih **Perbarui**.

1. Kotak dialog muncul di mana Anda harus masuk **renew** dan kemudian pilih **Perpanjang**.

## Memperpanjang sertifikat ()AWS CLI
<a name="renew-certificate-cli"></a>

Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI perintah atau tindakan [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)API untuk memperbarui sertifikat publik atau pribadi ACM. Anda dapat mengambil ARN sertifikat dengan memanggil [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)perintah. Perintah `renew-certificate` tidak mengembalikan respons.

```
$ aws acm renew-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012
```

# Validasi kepemilikan domain untuk sertifikat AWS Certificate Manager publik
<a name="domain-ownership-validation"></a>

Sebelum otoritas sertifikat Amazon (CA) dapat menerbitkan sertifikat untuk situs Anda, AWS Certificate Manager (ACM) harus membuktikan bahwa Anda memiliki atau mengontrol semua nama domain yang Anda tentukan dalam permintaan Anda. Anda dapat memilih untuk membuktikan kepemilikan Anda dengan validasi Domain Name System (DNS), validasi email, atau validasi HTTP saat Anda meminta sertifikat.

**catatan**  
Validasi hanya berlaku untuk sertifikat terpercaya publik yang dikeluarkan oleh ACM. ACM tidak memvalidasi kepemilikan domain untuk [sertifikat yang diimpor](import-certificate.md) atau untuk sertifikat yang ditandatangani oleh CA pribadi. ACM tidak dapat memvalidasi sumber daya di [zona host pribadi VPC Amazon atau domain pribadi](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) lainnya. Untuk informasi selengkapnya, lihat [Memecahkan masalah validasi sertifikat](certificate-validation.md).

Sebaiknya gunakan validasi DNS melalui validasi email karena alasan berikut:
+ Jika Anda menggunakan Amazon Route 53 untuk mengelola catatan DNS publik, Anda dapat memperbarui catatan Anda melalui ACM secara langsung.
+ ACM secara otomatis memperbarui sertifikat yang divalidasi DNS selama sertifikat tetap digunakan dan catatan DNS tersedia.
+ Sertifikat yang divalidasi email memerlukan tindakan oleh pemilik domain untuk diperbarui. ACM mulai mengirimkan pemberitahuan perpanjangan 45 hari sebelum kedaluwarsa. Pemberitahuan ini masuk ke satu atau lebih dari lima alamat administrator umum domain. Notifikasi berisi tautan yang dapat diklik pemilik domain untuk perpanjangan yang mudah. Setelah semua domain yang terdaftar divalidasi, ACM mengeluarkan sertifikat yang diperbarui dengan ARN yang sama.

Jika Anda tidak dapat mengedit database DNS domain Anda, Anda harus menggunakan [validasi email](email-validation.md) sebagai gantinya.

Validasi HTTP tersedia untuk sertifikat yang digunakan dengan CloudFront. Metode ini menggunakan pengalihan HTTP untuk membuktikan kepemilikan domain dan menawarkan pembaruan otomatis yang mirip dengan validasi DNS.

**catatan**  
Setelah Anda membuat sertifikat dengan validasi email, Anda tidak dapat beralih untuk memvalidasinya dengan DNS. Untuk menggunakan validasi DNS, hapus sertifikat dan kemudian buat yang baru yang menggunakan validasi DNS.

**Topics**
+ [

# AWS Certificate Manager Validasi DNS
](dns-validation.md)
+ [

# AWS Certificate Manager validasi email
](email-validation.md)
+ [

# AWS Certificate Manager Validasi HTTP
](http-validation.md)

# AWS Certificate Manager Validasi DNS
<a name="dns-validation"></a>

Domain Name System (DNS) adalah layanan direktori untuk sumber daya yang terhubung ke jaringan. Penyedia DNS Anda memelihara database yang berisi catatan yang menentukan domain Anda. Saat Anda memilih validasi DNS, ACM memberi Anda satu atau beberapa catatan CNAME yang harus ditambahkan ke database ini. Catatan ini berisi pasangan kunci-nilai unik yang berfungsi sebagai bukti bahwa Anda mengontrol domain.

**catatan**  
Setelah Anda membuat sertifikat dengan validasi email, Anda tidak dapat beralih untuk memvalidasinya dengan DNS. Untuk menggunakan validasi DNS, hapus sertifikat dan kemudian buat yang baru yang menggunakan validasi DNS.

Misalnya, jika Anda meminta sertifikat untuk `example.com` domain dengan `www.example.com` nama tambahan, ACM akan membuat dua catatan CNAME untuk Anda. Setiap catatan, yang dibuat khusus untuk domain dan akun Anda, berisi nama dan nilai. Nilai adalah alias yang menunjuk ke AWS domain yang digunakan ACM untuk memperbarui sertifikat Anda secara otomatis. Catatan CNAME harus ditambahkan ke database DNS Anda hanya sekali. ACM secara otomatis memperbarui sertifikat Anda selama sertifikat digunakan dan catatan CNAME Anda tetap ada. 

**penting**  
Jika Anda tidak menggunakan Amazon Route 53 untuk mengelola catatan DNS publik Anda, hubungi penyedia DNS Anda untuk mengetahui cara menambahkan catatan. Jika Anda tidak memiliki otoritas untuk mengedit database DNS domain Anda, Anda harus menggunakan [validasi email](email-validation.md) sebagai gantinya.

Tanpa perlu mengulang validasi, Anda dapat meminta sertifikat ACM tambahan untuk nama domain yang sepenuhnya memenuhi syarat (FQDN) Anda selama catatan CNAME tetap ada. Artinya, Anda dapat membuat sertifikat pengganti yang memiliki nama domain yang sama, atau sertifikat yang mencakup subdomain yang berbeda. Karena token validasi CNAME berfungsi untuk AWS Wilayah mana pun, Anda dapat membuat ulang sertifikat yang sama di beberapa Wilayah. Anda juga dapat mengganti sertifikat yang dihapus. 

Anda dapat menghentikan pembaruan otomatis baik dengan menghapus sertifikat dari AWS layanan yang terkait dengannya atau dengan menghapus catatan CNAME. Jika Route 53 bukan penyedia DNS Anda, hubungi penyedia Anda untuk mengetahui cara menghapus catatan. Jika Route 53 adalah penyedia Anda, lihat [Menghapus Kumpulan Rekaman Sumber Daya](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) di *Panduan Pengembang Route 53*. Untuk informasi selengkapnya tentang perpanjangan sertifikat terkelola, lihat[Perpanjangan sertifikat terkelola di AWS Certificate Manager](managed-renewal.md). 

**catatan**  
Resolusi CNAME akan gagal jika lebih dari lima CNAMEs dirantai bersama dalam konfigurasi DNS Anda. Jika Anda memerlukan rantai yang lebih panjang, sebaiknya gunakan [validasi email](email-validation.md).

## Bagaimana catatan CNAME untuk ACM bekerja
<a name="cnames-overview"></a>

**catatan**  
Bagian ini ditujukan untuk pelanggan yang tidak menggunakan Route 53 sebagai penyedia DNS mereka.

Jika Anda tidak menggunakan Route 53 sebagai penyedia DNS Anda, Anda perlu memasukkan catatan CNAME secara manual yang disediakan oleh ACM ke dalam database penyedia Anda, biasanya melalui situs web. Catatan CNAME digunakan untuk sejumlah tujuan, termasuk sebagai mekanisme pengalihan dan sebagai wadah untuk metadata khusus vendor. Untuk ACM, catatan ini memungkinkan validasi kepemilikan domain awal dan perpanjangan sertifikat otomatis yang sedang berlangsung. 

Tabel berikut menunjukkan contoh catatan CNAME untuk enam nama domain. Setiap pasangan **Record Name** - **Record Value** berfungsi untuk mengautentikasi kepemilikan nama domain. 

Dalam tabel, perhatikan bahwa dua pasangan **Record Name** - **Record Value** pertama adalah sama. Ini menggambarkan bahwa untuk domain wildcard, seperti`*.example.com`, string yang dibuat oleh ACM sama dengan yang dibuat untuk domain dasarnya,. `example.com` Jika tidak, **Nama Rekaman dan **Nilai Rekaman**** yang dipasangkan berbeda untuk setiap nama domain.


**Contoh catatan CNAME**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/acm/latest/userguide/dns-validation.html)

*xN*Nilai yang mengikuti garis bawah (\$1) adalah string panjang yang dihasilkan oleh ACM. Misalnya, 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

mewakili **Nama Rekaman** yang dihasilkan. **Nilai Rekaman** terkait mungkin

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

untuk catatan DNS yang sama.

**catatan**  
Jika penyedia DNS Anda tidak mendukung nilai CNAME dengan garis bawah utama, lihat [Memecahkan Masalah](troubleshooting-DNS-validation.md) Validasi DNS.

Saat Anda meminta sertifikat dan menentukan validasi DNS, ACM menyediakan informasi CNAME dalam format berikut:


****  

| Nama Domain | Nama Rekam | Jenis Rekaman | Nilai Rekam | 
| --- | --- | --- | --- | 
| contoh.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

*Nama Domain* adalah FQDN yang terkait dengan sertifikat. *Nama Rekam* mengidentifikasi catatan secara unik, berfungsi sebagai kunci dari pasangan kunci-nilai. *Record Value* berfungsi sebagai nilai pasangan kunci-nilai. 

Ketiga nilai ini (*Nama Domain, Nama* *Rekam*, dan *Nilai Rekam*) harus dimasukkan ke dalam bidang yang sesuai dari antarmuka web penyedia DNS Anda untuk menambahkan catatan DNS. Penyedia tidak konsisten dalam penanganan bidang nama rekaman (atau hanya “nama”). Dalam beberapa kasus, Anda diharapkan untuk menyediakan seluruh string seperti yang ditunjukkan di atas. Penyedia lain secara otomatis menambahkan nama domain ke string apa pun yang Anda masukkan, artinya (dalam contoh ini) yang hanya boleh Anda masukkan

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

ke bidang nama. Jika Anda salah menebak tentang hal ini, dan memasukkan nama rekaman yang berisi nama domain (seperti *`.example.com`*), Anda mungkin berakhir dengan yang berikut:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

Validasi akan gagal dalam kasus ini. Akibatnya, Anda harus mencoba menentukan terlebih dahulu jenis input yang diharapkan penyedia Anda.

## Menyiapkan validasi DNS
<a name="setting-up-dns-validation"></a>

Bagian ini menjelaskan cara mengonfigurasi sertifikat publik untuk menggunakan validasi DNS.<a name="dns-validation-console"></a>

**Untuk mengatur validasi DNS di konsol**
**catatan**  
Prosedur ini mengasumsikan bahwa Anda telah membuat setidaknya satu sertifikat dan bahwa Anda bekerja di AWS Wilayah tempat Anda membuatnya. Jika Anda mencoba membuka konsol dan melihat layar penggunaan pertama, atau Anda berhasil membuka konsol dan tidak melihat sertifikat Anda dalam daftar, konfirmasikan bahwa Anda telah menentukan Wilayah yang benar.

1. Buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Dalam daftar sertifikat, pilih **ID Sertifikat sertifikat** dengan status **Validasi tertunda** yang ingin Anda konfigurasi. Ini membuka halaman detail untuk sertifikat.

1. Di bagian **Domain**, lengkapi salah satu dari dua prosedur berikut:

   1. (Opsional) Validasi dengan Route 53.

      Tombol **Buat catatan aktif di Route 53** muncul jika kondisi berikut benar:
      + Anda menggunakan Route 53 sebagai penyedia DNS Anda.
      + Anda memiliki izin untuk menulis ke zona yang dihosting oleh Route 53.
      + FQDN Anda *belum* divalidasi.
**catatan**  
Jika Anda sebenarnya menggunakan Route 53 tetapi **Buat catatan di Route 53** hilang atau dinonaktifkan, lihat[Konsol ACM tidak menampilkan tombol “Buat catatan di Rute 53"](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Pilih **Buat catatan di Route 53**, lalu pilih **Buat catatan**. Halaman **status Sertifikat** harus terbuka dengan spanduk status yang melaporkan **Catatan DNS yang berhasil dibuat**.

      Sertifikat baru Anda mungkin terus menampilkan status **validasi Tertunda** hingga 30 menit.
**Tip**  
Anda tidak dapat meminta secara terprogram agar ACM secara otomatis membuat catatan Anda di Route 53. Namun, Anda dapat membuat panggilan API AWS CLI atau ke Route 53 untuk membuat catatan di database DNS Route 53. Untuk informasi selengkapnya tentang kumpulan rekaman Route 53, lihat [Bekerja dengan Kumpulan Rekaman Sumber Daya](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opsional) Jika Anda tidak menggunakan Route 53 sebagai penyedia DNS Anda, Anda harus mengambil informasi CNAME dan menambahkannya database DNS Anda. Pada halaman detail untuk sertifikat baru, Anda dapat melakukan ini dengan salah satu dari dua cara:
      + Salin komponen CNAME yang ditampilkan di bagian **Domain**. Informasi ini perlu ditambahkan secara manual ke database DNS Anda.
      + Atau, pilih **Ekspor ke CSV**. Informasi dalam file yang dihasilkan perlu ditambahkan secara manual ke database DNS Anda.
**penting**  
Untuk menghindari masalah validasi, tinjau [Bagaimana catatan CNAME untuk ACM bekerja](#cnames-overview) sebelum menambahkan informasi ke database penyedia DNS Anda. Jika Anda mengalami masalah, lihat[Memecahkan masalah validasi DNS](troubleshooting-DNS-validation.md). 

**Jika ACM tidak dapat memvalidasi nama domain dalam waktu 72 jam sejak menghasilkan nilai CNAME untuk Anda, ACM mengubah status sertifikat menjadi Validasi yang telah habis waktunya.** Alasan yang paling mungkin untuk hasil ini adalah bahwa Anda tidak berhasil memperbarui konfigurasi DNS Anda dengan nilai yang dihasilkan ACM. Untuk mengatasi masalah ini, Anda harus meminta sertifikat baru setelah meninjau instruksi CNAME.

# AWS Certificate Manager validasi email
<a name="email-validation"></a>

Sebelum otoritas sertifikat Amazon (CA) dapat mengeluarkan sertifikat untuk situs Anda, AWS Certificate Manager (ACM) harus memverifikasi bahwa Anda memiliki atau mengontrol semua domain yang Anda tentukan dalam permintaan Anda. Anda dapat melakukan verifikasi menggunakan email atau DNS. Topik ini membahas validasi email.

Jika Anda mengalami masalah dalam menggunakan validasi email, lihat[Memecahkan masalah validasi email](troubleshooting-email-validation.md).

## Cara kerja validasi email
<a name="how-email-validation-works"></a>

ACM mengirimkan pesan email validasi ke lima email sistem umum berikut untuk setiap domain. Atau, Anda dapat menentukan superdomain sebagai domain validasi jika Anda ingin menerima email ini di domain itu sebagai gantinya. Subdomain apa pun hingga alamat situs web minimal valid, dan digunakan sebagai domain untuk alamat email sebagai akhiran setelahnya. `@` Misalnya, Anda dapat menerima email ke admin@example.com jika Anda menentukan example.com sebagai domain validasi untuk subdomain.example.com.
+ administrator @your\$1domain\$1name
+ tuan rumah @your\$1domain\$1name
+ kepala pos @your\$1domain\$1name
+ webmaster @your\$1domain\$1name
+ admin @your\$1domain\$1name

Untuk membuktikan bahwa Anda memiliki domain, Anda harus memilih tautan validasi yang disertakan dalam email ini. ACM juga mengirimkan email validasi ke alamat yang sama untuk memperbarui sertifikat ketika sertifikat 45 hari dari kedaluwarsa.

Validasi email untuk permintaan sertifikat multi-domain menggunakan ACM API atau CLI menghasilkan pesan email yang dikirim oleh setiap domain yang diminta, bahkan jika permintaan tersebut menyertakan subdomain domain lain dalam permintaan. Pemilik domain perlu memvalidasi pesan email untuk masing-masing domain ini sebelum ACM dapat mengeluarkan sertifikat.

**Pengecualian untuk proses ini**  
Jika Anda meminta sertifikat ACM untuk nama domain yang dimulai dengan **www** atau tanda bintang wildcard (**\$1**), ACM menghapus tanda depan **www** atau tanda bintang dan mengirimkan email ke alamat administratif. Alamat ini dibentuk oleh admin@, administrator@, hostmaster@, postmaster@, dan webmaster@ yang tertunda ke bagian sisa nama domain. Misalnya, jika Anda meminta sertifikat ACM untuk www.example.com, email dikirim ke admin@example.com dan bukan ke admin@www.example.com. Demikian juga, jika Anda meminta sertifikat ACM untuk \$1.test.example.com, email dikirim ke admin@test.example.com. Alamat administrasi umum yang tersisa dibentuk dengan cara yang sama.

**penting**  
ACM tidak lagi mendukung validasi email WHOIS untuk sertifikat atau pembaruan baru. Alamat sistem umum tetap didukung. Untuk detailnya, lihat [posting blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Pertimbangan-pertimbangan
<a name="certificate-considerations"></a>

Perhatikan pertimbangan berikut tentang validasi email.
+ Anda memerlukan alamat email yang berfungsi yang terdaftar di domain Anda untuk menggunakan validasi email. Prosedur untuk menyiapkan alamat email berada di luar cakupan panduan ini.
+ Validasi hanya berlaku untuk sertifikat terpercaya publik yang dikeluarkan oleh ACM. ACM tidak memvalidasi kepemilikan domain untuk [sertifikat yang diimpor](import-certificate.md) atau untuk sertifikat yang ditandatangani oleh CA pribadi. ACM tidak dapat memvalidasi sumber daya di [zona host pribadi VPC Amazon atau domain pribadi](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) lainnya. Untuk informasi selengkapnya, lihat [Memecahkan masalah validasi sertifikat](certificate-validation.md).
+ Setelah Anda membuat sertifikat dengan validasi email, Anda tidak dapat beralih untuk memvalidasinya dengan DNS. Untuk menggunakan validasi DNS, hapus sertifikat dan kemudian buat yang baru yang menggunakan validasi DNS.

## Kedaluwarsa dan pembaruan sertifikat
<a name="renewal"></a>

Sertifikat ACM berlaku selama 198 hari. Memperpanjang sertifikat memerlukan tindakan oleh pemilik domain. ACM mulai mengirimkan pemberitahuan perpanjangan ke alamat email yang terkait dengan domain 45 hari sebelum kedaluwarsa. Notifikasi berisi tautan yang dapat diklik pemilik domain untuk perpanjangan. Setelah semua domain yang terdaftar divalidasi, ACM mengeluarkan sertifikat yang diperbarui dengan ARN yang sama.

## (Opsional) Kirim ulang email validasi
<a name="gs-acm-resend"></a>

Setiap email validasi berisi token yang dapat Anda gunakan untuk menyetujui permintaan sertifikat. Namun, karena email validasi yang diperlukan untuk proses persetujuan dapat diblokir oleh filter spam atau hilang saat transit, token secara otomatis kedaluwarsa setelah 72 jam. Jika Anda tidak menerima email asli atau token telah kedaluwarsa, Anda dapat meminta agar email tersebut di-resent. Untuk informasi tentang cara mengirim ulang email validasi, lihat [Kirim ulang email validasi](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

Untuk masalah terus-menerus dengan validasi email, lihat [Memecahkan masalah validasi email](troubleshooting-email-validation.md) bagian di[Memecahkan masalah dengan AWS Certificate Manager](troubleshooting.md).

# Mengotomatiskan AWS Certificate Manager validasi email
<a name="email-automation"></a>

Sertifikat ACM yang divalidasi email biasanya memerlukan tindakan manual oleh pemilik domain. Organizations yang berurusan dengan sejumlah besar sertifikat email yang divalidasi mungkin lebih memilih untuk membuat parser yang dapat mengotomatiskan tanggapan yang diperlukan. Untuk membantu pelanggan menggunakan validasi email, informasi di bagian ini menjelaskan template yang digunakan untuk pesan email validasi domain dan alur kerja yang terlibat dalam menyelesaikan proses validasi. 

## Templat email validasi
<a name="validation-email-template"></a>

Pesan email validasi memiliki salah satu dari dua format berikut, tergantung pada apakah sertifikat baru diminta atau sertifikat yang ada sedang diperbarui. Konten string yang disorot harus diganti dengan nilai yang spesifik untuk domain yang divalidasi.

### Memvalidasi sertifikat baru
<a name="new-template"></a>

Teks templat email:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Memvalidasi sertifikat untuk perpanjangan
<a name="renewal-template"></a>

Teks templat email:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Setelah Anda menerima pesan validasi baru dari AWS, kami sarankan Anda menggunakannya sebagai template yang paling up-to-date dan otoritatif untuk parser Anda. Pelanggan dengan pengurai pesan yang dirancang sebelum November 2020, harus mencatat perubahan berikut yang mungkin telah dilakukan pada templat:
+ Baris subjek email sekarang berbunyi `Certificate request for domain name` "" bukannya`"Certificate approval for domain name`”.
+ Sekarang `AWS account ID` disajikan tanpa tanda hubung atau tanda hubung. 
+ `Certificate Identifier`Sekarang menyajikan seluruh sertifikat ARN bukan formulir singkat, misalnya, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` bukan. `3b4d78e1-0882-4f51-954a-298ee44ff369`
+ URL persetujuan sertifikat sekarang berisi `acm-certificates.amazon.com` alih-alih`certificates.amazon.com`.
+ Formulir persetujuan dibuka dengan mengklik URL persetujuan sertifikat sekarang berisi tombol persetujuan. Nama tombol persetujuan div sekarang `approve-button` bukan. `approval_button`
+ Pesan validasi untuk sertifikat yang baru diminta dan sertifikat pembaruan memiliki format email yang sama.

## Alur kerja validasi
<a name="validation-workflow"></a>

Bagian ini memberikan informasi tentang alur kerja pembaruan untuk sertifikat yang divalidasi email. 
+ Saat konsol ACM memproses permintaan sertifikat multi-domain, konsol akan mengirimkan pesan email validasi ke nama domain atau domain validasi yang Anda tentukan saat meminta sertifikat publik. Pemilik domain perlu memvalidasi pesan email untuk setiap domain sebelum ACM dapat mengeluarkan sertifikat. Untuk informasi selengkapnya, lihat [Menggunakan Email untuk Memvalidasi Kepemilikan Domain](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ Validasi email untuk permintaan sertifikat multi-domain menggunakan ACM API atau CLI menghasilkan pesan email yang dikirim oleh setiap domain yang diminta, bahkan jika permintaan tersebut menyertakan subdomain domain lain dalam permintaan. Pemilik domain perlu memvalidasi pesan email untuk masing-masing domain ini sebelum ACM dapat mengeluarkan sertifikat.

  Jika Anda mengirim ulang email untuk sertifikat yang ada melalui konsol ACM, email akan dikirim ke domain validasi yang ditentukan dalam permintaan sertifikat asli, atau domain yang tepat jika tidak ada domain validasi yang ditentukan. Untuk menerima email validasi di domain yang berbeda, Anda dapat meminta sertifikat baru, menentukan domain validasi yang ingin Anda gunakan untuk validasi. Atau, Anda dapat memanggil [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)dengan `ValidationDomain` parameter menggunakan API, SDK, atau CLI. Namun, domain validasi yang ditentukan dalam `ResendValidationEmail` permintaan hanya digunakan untuk panggilan itu dan tidak disimpan ke sertifikat Amazon Resource Name (ARN) untuk email validasi future. Anda harus menelepon `ResendValidationEmail` setiap kali Anda ingin menerima email validasi pada nama domain yang tidak ditentukan dalam permintaan sertifikat asli.
**catatan**  
Sebelum November 2020, pelanggan hanya perlu memvalidasi domain apex dan ACM akan mengeluarkan sertifikat yang juga mencakup subdomain apa pun. Pelanggan dengan pengurai pesan yang dirancang sebelum waktu itu harus mencatat perubahan pada alur kerja validasi email.
+ Dengan ACM API atau CLI, Anda dapat memaksa semua pesan email validasi agar permintaan sertifikat multi-domain dikirim ke domain apex. Di API, gunakan `DomainValidationOptions` parameter [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)tindakan untuk menentukan nilai untuk`ValidationDomain`, yang merupakan anggota dari [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html)tipe tersebut. Di CLI, gunakan **--domain-validation-options** parameter perintah [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) untuk menentukan nilai untuk. `ValidationDomain`

# AWS Certificate Manager Validasi HTTP
<a name="http-validation"></a>

Hypertext Transfer Protocol (HTTP) adalah protokol dasar untuk komunikasi data di World Wide Web. Saat Anda memilih validasi HTTP untuk sertifikat yang digunakan CloudFront, ACM memanfaatkan protokol ini untuk memverifikasi kepemilikan domain Anda. ACM bekerja sama dengan CloudFront untuk memberi Anda URL tertentu dan token unik yang harus dapat diakses di URL tersebut di domain Anda. Token ini berfungsi sebagai bukti bahwa Anda mengontrol domain. Dengan menyiapkan pengalihan dari domain Anda ke lokasi yang dikendalikan ACM dalam CloudFront infrastruktur, Anda menunjukkan kemampuan Anda untuk memodifikasi konten pada domain, sehingga memvalidasi kepemilikan Anda. Integrasi yang mulus antara ACM dan CloudFront menyederhanakan proses penerbitan sertifikat, terutama untuk distribusi. CloudFront 

**penting**  
Validasi HTTP tidak mendukung sertifikat domain wildcard (seperti\$1.example.com). Untuk sertifikat wildcard, Anda harus menggunakan validasi DNS atau validasi email sebagai gantinya.

Misalnya, jika Anda meminta sertifikat untuk `example.com` domain `www.example.com` sebagai nama tambahan menggunakan CloudFront, ACM memberi Anda dua set URLs untuk validasi HTTP. Setiap set berisi `redirectFrom` URL dan `redirectTo` URL, dibuat khusus untuk domain dan AWS akun Anda. `redirectFrom`URL adalah jalur pada domain Anda (misalnya,`http://example.com/.well-known/pki-validation/example.txt`) yang perlu Anda konfigurasikan. `redirectTo`URL menunjuk ke lokasi yang dikendalikan ACM dalam CloudFront infrastruktur tempat token validasi unik disimpan. Anda perlu mengatur pengalihan ini hanya sekali. Ketika otoritas sertifikat mencoba untuk memvalidasi kepemilikan domain Anda, ia akan meminta file dari `redirectFrom` URL, yang CloudFront mengalihkan ke `redirectTo` URL, memungkinkan akses ke token validasi. ACM secara otomatis memperbarui sertifikat Anda selama sertifikat digunakan CloudFront dan pengalihan Anda tetap berlaku.

Setelah Anda menyiapkan validasi HTTP untuk nama domain yang sepenuhnya memenuhi syarat (FQDN) CloudFront, Anda dapat meminta sertifikat ACM tambahan untuk FQDN tersebut tanpa mengulangi proses validasi, selama pengalihan HTTP tetap ada. Ini berarti Anda dapat membuat sertifikat pengganti dengan nama domain yang sama. Anda juga dapat mengganti sertifikat yang dihapus tanpa melalui proses validasi lagi, asalkan pengalihan masih aktif.

Untuk menghentikan perpanjangan otomatis sertifikat yang divalidasi HTTP Anda, Anda memiliki dua opsi. Anda dapat menghapus sertifikat dari CloudFront distribusi yang terkait dengannya, atau Anda dapat menghapus pengalihan HTTP yang Anda siapkan untuk validasi. Jika Anda menggunakan jaringan pengiriman konten (CDN) atau server web selain CloudFront untuk mengelola pengalihan, lihat dokumentasi mereka untuk mempelajari cara menghapus pengalihan. Jika Anda menggunakan CloudFront untuk mengelola pengalihan, Anda dapat menghapus pengalihan dengan memperbarui konfigurasi distribusi Anda. Untuk informasi selengkapnya tentang perpanjangan sertifikat terkelola, lihat[Perpanjangan sertifikat terkelola di AWS Certificate Manager](managed-renewal.md). Ingatlah bahwa menghentikan perpanjangan otomatis dapat menyebabkan kedaluwarsa sertifikat, yang dapat mengganggu lalu lintas HTTPS Anda.

## Bagaimana pengalihan HTTP untuk ACM bekerja
<a name="http-redirects-overview"></a>

**catatan**  
Bagian ini untuk pelanggan yang menggunakan CloudFront untuk pengiriman konten dan ACM untuk manajemen SSL/TLS sertifikat.

Saat menggunakan validasi HTTP dengan ACM dan CloudFront, Anda perlu mengatur pengalihan HTTP. Pengalihan ini memungkinkan ACM memverifikasi kepemilikan domain Anda untuk penerbitan sertifikat awal dan perpanjangan otomatis yang sedang berlangsung. Mekanisme pengalihan bekerja dengan mengarahkan URL tertentu pada domain Anda ke lokasi yang dikendalikan ACM dalam CloudFront infrastruktur tempat token validasi unik disimpan.

Tabel berikut menunjukkan contoh konfigurasi pengalihan untuk nama domain. Perhatikan bahwa validasi HTTP tidak mendukung domain wildcard (seperti\$1.example.com). Setiap konfigurasi Redirect **From - Redirect** **To pair berfungsi untuk mengautentikasi** kepemilikan nama domain.


**Contoh konfigurasi pengalihan HTTP**  

| Nama domain | Redirect Dari | Redirect ke | Komentar | 
| --- | --- | --- | --- | 
| contoh.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Unik  | 
| www.example.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Unik  | 
| host.example.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Unik  | 
| subdomain.contoh.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Unik  | 
| host.subdomain.example.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Unik  | 

*xN*Nilai dalam nama file dan *yN* nilai dalam domain yang dikendalikan ACM adalah pengidentifikasi unik yang dihasilkan oleh ACM. Misalnya, 

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

mewakili URL **Redirect From** yang dihasilkan. URL **Redirect To yang** terkait mungkin

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

untuk catatan validasi yang sama.

**catatan**  
Jika server web atau jaringan pengiriman konten Anda tidak mendukung pengaturan pengalihan di jalur yang ditentukan, lihat [Memecahkan Masalah](troubleshooting-HTTP-validation.md) Validasi HTTP.

Saat Anda meminta sertifikat dan menentukan validasi HTTP, ACM menyediakan informasi pengalihan dalam format berikut:


****  

| Nama Domain | Redirect Dari | Redirect ke | 
| --- | --- | --- | 
| contoh.com | http://example.com/.well - known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation. region.acm-validations.aws/ a424c7224e9b /.well-known/pki-validation/ .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

*Nama Domain* adalah FQDN yang terkait dengan sertifikat. *Redirect From* adalah URL pada domain Anda di mana ACM akan mencari file validasi. *Redirect* To adalah URL yang dikendalikan ACM tempat file validasi sebenarnya di-host.

Anda perlu mengonfigurasi server web atau CloudFront distribusi untuk mengalihkan permintaan dari URL Redirect *From* ke URL *Redirect* To. Metode yang tepat untuk mengatur pengalihan ini tergantung pada perangkat lunak atau CloudFront konfigurasi server web Anda. Pastikan bahwa pengalihan diatur dengan benar untuk memungkinkan ACM memvalidasi kepemilikan domain Anda dan menerbitkan atau memperbarui sertifikat Anda.

## Menyiapkan validasi HTTP
<a name="setting-up-http-validation"></a>

ACM menggunakan validasi HTTP untuk memverifikasi kepemilikan domain Anda saat menerbitkan SSL/TLS sertifikat publik untuk digunakan. CloudFront Bagian ini menjelaskan cara mengkonfigurasi sertifikat publik untuk menggunakan validasi HTTP.<a name="http-validation-console"></a>

**Untuk mengatur validasi HTTP di konsol**
**catatan**  
Prosedur ini mengasumsikan bahwa Anda telah meminta sertifikat melalui CloudFront dan bahwa Anda bekerja di AWS Wilayah tempat Anda membuatnya. Validasi HTTP hanya tersedia melalui fitur Penyewa CloudFront Distribusi.

1. Buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Dalam daftar sertifikat, pilih **ID Sertifikat sertifikat** dengan status **Validasi tertunda** yang ingin Anda konfigurasi. Ini membuka halaman detail untuk sertifikat.

1. Di bagian **Domain**, Anda dapat melihat nilai **Redirect From** dan **Redirect To untuk** setiap domain dalam permintaan sertifikat Anda.

1. Untuk setiap domain, siapkan pengalihan HTTP dari URL Redirect **From** ke URL **Redirect** To. Anda dapat melakukan ini melalui konfigurasi CloudFront distribusi Anda.

1. Konfigurasikan CloudFront distribusi Anda untuk mengalihkan permintaan dari URL **Redirect From** ke URL **Redirect** To. Metode untuk mengatur pengalihan ini tergantung pada CloudFront konfigurasi Anda.

1. Setelah mengatur pengalihan, ACM secara otomatis mencoba memvalidasi kepemilikan domain Anda. Proses ini dapat memakan waktu hingga 30 menit.

**Jika ACM tidak dapat memvalidasi nama domain dalam waktu 72 jam sejak menghasilkan nilai pengalihan untuk Anda, ACM mengubah status sertifikat menjadi Validasi yang telah habis waktunya.** Alasan yang paling mungkin untuk hasil ini adalah bahwa Anda tidak berhasil mengatur pengalihan HTTP. Untuk memperbaiki masalah ini, Anda harus meminta sertifikat baru setelah meninjau instruksi pengalihan.

**penting**  
Untuk menghindari masalah validasi, pastikan konten di lokasi **Redirect From** cocok dengan konten di lokasi **Redirect** To. Jika Anda menemukan masalah, lihat [Memecahkan masalah validasi HTTP](troubleshooting-HTTP-validation.md).

**catatan**  
Tidak seperti validasi DNS, Anda tidak dapat meminta secara terprogram agar ACM secara otomatis membuat pengalihan HTTP Anda. Anda harus mengonfigurasi pengalihan ini melalui pengaturan CloudFront distribusi Anda.

Untuk informasi selengkapnya tentang cara kerja validasi HTTP, lihat[Bagaimana pengalihan HTTP untuk ACM bekerja](#http-redirects-overview).