Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Sertifikat pribadi di AWS Certificate Manager
Jika Anda memiliki akses ke CA pribadi yang ada yang dibuat oleh AWS Private CA, AWS Certificate Manager (ACM) dapat meminta sertifikat yang cocok untuk digunakan dalam infrastruktur kunci pribadi (PKI) Anda. CA dapat berada di akun Anda atau dibagikan dengan Anda oleh akun lain. Untuk informasi tentang membuat CA pribadi, lihat [Membuat Otoritas Sertifikat Pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html).
Sertifikat yang ditandatangani oleh CA pribadi tidak dipercaya secara default, dan ACM tidak mendukung segala bentuk validasi untuk mereka. Akibatnya, administrator harus mengambil tindakan untuk menginstalnya di toko kepercayaan klien organisasi Anda.
Sertifikat ACM pribadi mengikuti standar X.509 dan tunduk pada batasan berikut:
+ **Nama:** Anda harus menggunakan nama subjek yang sesuai dengan DNS. Untuk informasi selengkapnya, lihat [Nama Domain](acm-concepts.md#concept-dn).
+ **Algoritma:** Untuk enkripsi, algoritma kunci privat sertifikat harus berupa RSA 2048-bit, ECDSA 256-bit, atau ECDSA 384-bit.
**catatan**
Keluarga algoritma penandatanganan yang ditentukan (RSA atau ECDSA) harus cocok dengan keluarga algoritma kunci rahasia CA.
+ **Kedaluwarsa:** Setiap sertifikat pribadi berlaku selama 13 bulan (395 hari). Tanggal akhir sertifikat CA penandatanganan harus melebihi tanggal akhir sertifikat yang diminta, atau permintaan sertifikat akan gagal.
**catatan**
Sertifikat privat memiliki masa berlaku yang lebih lama daripada sertifikat publik. Sertifikat ACM publik berlaku selama 198 hari. Untuk informasi selengkapnya tentang sertifikat publik, lihat[Minta sertifikat publik di AWS Certificate Manager](acm-public-certificates.md).
+ **Perpanjangan:** ACM mencoba memperbarui sertifikat pribadi secara otomatis setelah 11 bulan.
CA pribadi yang digunakan untuk menandatangani sertifikat entitas akhir tunduk pada batasannya sendiri:
+ CA harus memiliki status Aktif.
**catatan**
Tidak seperti sertifikat yang dipercaya publik, sertifikat yang ditandatangani oleh CA pribadi tidak memerlukan validasi.
**Topics**
+ [Ketentuan penggunaan AWS Private CA untuk menandatangani sertifikat pribadi ACM](ca-access.md)
+ [Minta sertifikat pribadi di AWS Certificate Manager](gs-acm-request-private.md)
+ [Ekspor sertifikat AWS Certificate Manager pribadi](export-private.md)
# Ketentuan penggunaan AWS Private CA untuk menandatangani sertifikat pribadi ACM
Anda dapat menggunakan AWS Private CA untuk menandatangani sertifikat ACM Anda dalam salah satu dari dua kasus:
+ **Akun tunggal**: CA penandatanganan dan sertifikat AWS Certificate Manager (ACM) yang dikeluarkan berada di akun yang sama AWS .
Agar penerbitan dan perpanjangan akun tunggal diaktifkan, AWS Private CA administrator harus memberikan izin kepada kepala layanan ACM untuk membuat, mengambil, dan membuat daftar sertifikat. Ini dilakukan dengan menggunakan tindakan AWS Private CA API [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)atau AWS CLI perintah [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html). Pemilik akun memberikan izin ini kepada pengguna, grup, atau peran IAM yang bertanggung jawab untuk menerbitkan sertifikat.
+ **Cross-account**: CA penandatanganan dan sertifikat ACM yang dikeluarkan berada di AWS akun yang berbeda, dan akses ke CA telah diberikan ke akun tempat sertifikat berada.
[Untuk mengaktifkan penerbitan dan perpanjangan lintas akun, AWS Private CA administrator harus melampirkan kebijakan berbasis sumber daya ke CA menggunakan tindakan API atau kebijakan put-perintah. AWS Private CA[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) Kebijakan ini menetapkan prinsipal di akun lain yang diizinkan akses terbatas ke CA. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Berbasis Sumber Daya dengan ACM Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html).
Skenario lintas akun juga mengharuskan ACM untuk menyiapkan peran terkait layanan (SLR) untuk berinteraksi sebagai prinsipal dengan kebijakan PCA. ACM membuat SLR secara otomatis saat mengeluarkan sertifikat pertama.
ACM mungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika `iam:GetRole` izin yang diperlukan telah diberikan kepada ACM SLR untuk akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. Jika berulang, Anda atau administrator akun Anda mungkin perlu memberikan `iam:GetRole` izin ke ACM, atau mengaitkan akun Anda dengan kebijakan yang dikelola ACM. `AWSCertificateManagerFullAccess`
Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan dengan ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).
**penting**
Sertifikat ACM Anda harus secara aktif dikaitkan dengan AWS layanan yang didukung sebelum dapat diperpanjang secara otomatis. Untuk informasi tentang sumber daya yang didukung ACM, lihat[Layanan terintegrasi dengan ACM](acm-services.md).
# Minta sertifikat pribadi di AWS Certificate Manager
## Minta sertifikat pribadi (konsol)
1. Masuk ke Konsol AWS Manajemen dan buka konsol ACM di [https://console.aws.amazon.com/acm/rumah](https://console.aws.amazon.com/acm/home).
Pilih **Minta sertifikat**.
1. Pada halaman **Permintaan sertifikat**, pilih **Minta sertifikat pribadi** dan **Berikutnya** untuk melanjutkan.
1. Di bagian **Detail otoritas sertifikat**, pilih menu **Otoritas sertifikat** dan pilih salah satu privat yang tersedia CAs. Jika CA dibagikan dari akun lain, ARN diawali dengan informasi kepemilikan.
Detail tentang CA ditampilkan untuk membantu Anda memverifikasi bahwa Anda telah memilih yang benar:
+ **Pemilik**
+ **Jenis**
+ **Nama umum (CN)**
+ **Organisasi (O)**
+ **Unit organisasi (OU)**
+ **Nama negara (C)**
+ **Negara bagian atau provinsi**
+ **Nama lokalitas**
1. Di bagian **Nama domain**, ketikkan nama domain Anda. Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), seperti**www.example.com**, atau nama domain telanjang atau puncak seperti. **example.com** Anda juga dapat menggunakan tanda bintang (**\$1**) sebagai kartu liar di posisi paling kiri untuk melindungi beberapa nama situs di domain yang sama. Misalnya, **\$1.example.com** melindungi**corp.example.com**, dan**images.example.com**. Nama wildcard akan muncul di bidang **Subjek** dan di ekstensi **Nama Alternatif Subjek** dari sertifikat ACM.
**catatan**
Saat Anda meminta sertifikat wildcard, tanda bintang (**\$1**) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, **\$1.example.com** dapat melindungi**login.example.com**, dan**test.example.com**, tetapi tidak dapat melindungi**test.login.example.com**. Perhatikan juga bahwa **\$1.example.com** melindungi *hanya* subdomain dari**example.com**, itu tidak melindungi domain telanjang atau apex (). **example.com** Untuk melindungi keduanya, lihat langkah selanjutnya
Secara opsional, pilih **Tambahkan nama lain ke sertifikat ini** dan ketikkan nama di kotak teks. Ini berguna untuk mengautentikasi domain telanjang atau apex (seperti**example.com**) dan subdomainnya seperti). **\$1.example.com**
1. Di bagian **Algoritma kunci**, pilih algoritma.
Untuk informasi yang membantu Anda memilih algoritme, lihat posting AWS blog [Cara mengevaluasi dan menggunakan sertifikat ECDSA di](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager
1. Di bagian **Tag**, Anda dapat menandai sertifikat Anda secara opsional. Tag adalah pasangan nilai kunci yang berfungsi sebagai metadata untuk mengidentifikasi dan mengatur sumber daya. AWS Untuk daftar parameter tag ACM dan petunjuk tentang cara menambahkan tag ke sertifikat setelah pembuatan, lihat[AWS Certificate Manager Sumber daya tag](tags.md).
1. Di bagian **Izin perpanjangan sertifikat, akui pemberitahuan tentang izin** perpanjangan sertifikat. Izin ini memungkinkan perpanjangan otomatis sertifikat PKI pribadi yang Anda tandatangani dengan CA yang dipilih. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan dengan ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).
1. Setelah memberikan semua informasi yang diperlukan, pilih **Permintaan**. Konsol mengembalikan Anda ke daftar sertifikat, tempat Anda dapat melihat sertifikat baru Anda.
**catatan**
Bergantung pada bagaimana Anda memesan daftar, sertifikat yang Anda cari mungkin tidak segera terlihat. Anda dapat mengklik segitiga hitam di sebelah kanan untuk mengubah urutan. Anda juga dapat menavigasi melalui beberapa halaman sertifikat menggunakan nomor halaman di kanan atas.
## Minta sertifikat pribadi (CLI)
Gunakan perintah [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) untuk meminta sertifikat pribadi di ACM.
**catatan**
Saat Anda meminta sertifikat PKI pribadi yang ditandatangani oleh CA dari AWS Private CA, keluarga algoritma penandatanganan yang ditentukan (RSA atau ECDSA) harus cocok dengan keluarga algoritme kunci rahasia CA.
```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID
```
Perintah ini mengeluarkan Nama Sumber Daya Amazon (ARN) dari sertifikat pribadi baru Anda.
```
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```
Dalam kebanyakan kasus, ACM secara otomatis melampirkan peran terkait layanan (SLR) ke akun Anda saat pertama kali Anda menggunakan CA bersama. SLR memungkinkan perpanjangan otomatis sertifikat entitas akhir yang Anda terbitkan. Untuk memeriksa apakah SLR hadir, Anda dapat melakukan kueri IAM dengan perintah berikut:
```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```
Jika SLR hadir, output perintah harus menyerupai yang berikut:
```
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}
```
Jika SLR hilang, lihat [Menggunakan Peran Tertaut Layanan dengan ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).
# Ekspor sertifikat AWS Certificate Manager pribadi
Anda dapat mengekspor sertifikat yang dikeluarkan oleh AWS Private CA untuk digunakan di mana saja di lingkungan PKI pribadi Anda. File yang diekspor berisi sertifikat, rantai sertifikat, dan kunci pribadi terenkripsi. File ini harus disimpan dengan aman. Untuk informasi selengkapnya AWS Private CA, lihat [Panduan AWS Private Certificate Authority Pengguna](https://docs.aws.amazon.com/privateca/latest/userguide/).
**catatan**
Jika Anda ingin mengekspor sertifikat publik yang diterbitkan melalui ACM, lihat sertifikat publik yang dapat [diekspor ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-exportable-certificates.html).
**Topics**
+ [Ekspor sertifikat pribadi (konsol)](#export-console)
+ [Ekspor sertifikat pribadi (CLI)](#export-cli)
## Ekspor sertifikat pribadi (konsol)
1. Masuk ke Konsol AWS Manajemen dan buka konsol ACM di [https://console.aws.amazon.com/acm/rumah](https://console.aws.amazon.com/acm/home).
1. Pilih **Certificate Manager**
1. Pilih tautan sertifikat yang ingin Anda ekspor.
1. Pilih **Ekspor**.
1. Masukkan dan konfirmasikan frasa sandi untuk kunci pribadi.
**catatan**
Saat membuat frasa sandi Anda, Anda dapat menggunakan karakter ASCII apa pun kecuali \$1, \$1, atau%.
1. Pilih **Hasilkan Pengkodean PEM**.
1. Anda dapat menyalin sertifikat, rantai sertifikat, dan kunci terenkripsi ke memori atau memilih **Ekspor ke file untuk masing-masing file**.
1. Pilih **Selesai**.
## Ekspor sertifikat pribadi (CLI)
Gunakan perintah [ekspor-sertifikat](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) untuk mengekspor sertifikat pribadi dan kunci pribadi. Anda harus menetapkan frasa sandi ketika Anda menjalankan perintah. Untuk keamanan tambahan, gunakan editor file untuk menyimpan frasa sandi Anda dalam file, lalu berikan frasa sandi dengan memasok file. Ini mencegah frasa sandi Anda disimpan dalam riwayat perintah dan mencegah orang lain melihat frasa sandi saat Anda mengetiknya.
**catatan**
File yang berisi frasa sandi tidak boleh diakhiri dengan terminator baris. Anda dapat memeriksa file kata sandi Anda seperti ini:
```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```
Contoh berikut menyalurkan output perintah `jq` untuk menerapkan pemformatan PEM.
```
[Windows/Linux]
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID \
--passphrase fileb://path-to-passphrase-file \
| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```
Ini menghasilkan sertifikat format PEM yang dikodekan oleh base64, juga berisi rantai sertifikat dan kunci pribadi terenkripsi, seperti pada contoh singkat berikut.
```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```
Untuk menampilkan semuanya ke file, tambahkan `>` pengalihan ke contoh sebelumnya, menghasilkan yang berikut.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID \
--passphrase fileb://path-to-passphrase-file \
| jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
> /tmp/export.txt
```