本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Certificate Manager 公共证书的特征和限制
<a name="acm-certificate-characteristics"></a>

ACM 提供的公有证书具有以下特点和限制。这些仅适用于 ACM 提供的证书。这些特点和限制可能不适用于[导入的证书](import-certificate.md)。

**浏览器和应用程序信任**  <a name="trust-term"></a>
包括 Google Chrome、Microsoft Edge、Mozilla Firefox 和 Apple Safari 在内的所有主要浏览器均信任 ACM 证书。通过 TLS 连接到使用 ACM 证书的站点时，浏览器会显示锁定图标。Java 也信任 ACM 证书。

**证书颁发机构和层次结构**  <a name="authority-term"></a>
您通过 ACM 申请的公有证书是从 [Amazon Trust Services](https://www.amazontrust.com/repository/) 获得的，这是 Amazon 管理的公有[证书颁发机构 (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)。Amazon 根 CAs 1 到 4 由 Starfield G2 根证书颁发机构 — G2 交叉签名。Starfield 根在 Android（较高的 Gingerbread 版本）和 iOS（版本 4.1 以上）上受到信任。Amazon 根在 iOS 11 以上受到信任。浏览器、应用程序或包 OSes 含 Amazon 或 Starfield 根目录将信任 ACM 公共证书。  
ACM 通过根据证书类型（RSA 或 ECDSA）随机分配的中间 CAs实体证书向客户颁发叶子或终端实体证书。由于这种随机选择，ACM 不提供中间 CA 信息。

**域名验证 (DV)**  <a name="domain-validation-term"></a>
ACM 证书经过域验证，只能识别域名。申请 ACM 证书时，必须证明所有指定域的所有权或控制权。您可以使用电子邮件或 DNS 来验证所有权。有关更多信息，请参阅[AWS Certificate Manager 电子邮件验证](email-validation.md)和[AWS Certificate Manager 域名系统验证DNS 验证](dns-validation.md)。

**HTTP 验证**  <a name="http-validation-term"></a>
在颁发用于的公共 TLS 证书时，ACM 支持通过 CloudFront HTTP验证进行域所有权验证。此方法使用 HTTP 重定向来证明域所有权，并提供类似于 DNS 验证的自动续订。HTTP 验证目前只能通过 “ CloudFront分发租户” 功能进行。

**HTTP 重定向**  <a name="http-redirect-term"></a>
对于 HTTP 验证，ACM 提供了 `RedirectFrom` 网址和 `RedirectTo` 网址。您必须设置从 `RedirectFrom` 到 `RedirectTo` 的重定向才能证明域控制权。`RedirectFrom`URL 包括经过验证的域，而`RedirectTo`指向 CloudFront 基础设施中 ACM 控制的位置，其中包含唯一的验证令牌。

**由... 管理**  <a name="managed-by-term"></a>
由其他服务管理的 ACM 中的证书在 `ManagedBy` 字段显示该服务的身份。对于使用 HTTP 验证的证书 CloudFront，此字段显示 “CLOUDFRONT”。这些证书只能通过使用 CloudFront。该`ManagedBy`字段出现在**DescribeCertificate**和**ListCertificates** APIs、ACM 控制台的证书清单和详细信息页面上。  
`ManagedBy` 字段与“可用于”属性相互排斥。对于 CloudFront托管证书，您无法通过其他 AWS 服务添加新的用法。您只能通过 CloudFront API 将这些证书与更多资源一起使用。

**中间和根 CA 轮换**  <a name="rotation-term"></a>
为了保持弹性的证书基础设施，Amazon 可以终止中间 CA，恕不另行通知。这些变化不会影响客户。有关更多信息，请参阅 ["Amazon introduces dynamic intermediate certificate authorities"](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/)（Amazon 引入动态中间证书颁发机构）。  
如果 Amazon 终止根 CA，则将在需要时尽快执行此类变更。Amazon 将使用所有可用的方法通知 AWS 客户 Health Dashboard，包括发送电子邮件和联系技术客户经理。

**用于撤销的防火墙访问权限**  <a name="revocation-term"></a>
已吊销的最终实体证书使用 OCSP 和 CRLs 来验证和发布吊销信息。某些客户防火墙可能需要额外的规则才能使这些机制发挥作用。  
使用以下 URL 通配符模式来识别吊销流量：  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
星号 (\$1) 代表一个或多个字母数字字符，问号 (?) 代表单个字母数字字符，哈希标记 (\$1) 代表数字。

**密钥算法**  <a name="algorithms-term"></a>
证书必须指定算法和密钥大小。ACM 支持以下 RSA 和 ECDSA 公有密钥算法：  
+ RSA 1024 位 (`RSA_1024`)
+ RSA 2048 位 (`RSA_2048`)\$1
+ RSA 3072 位 (`RSA_3072`)
+ RSA 4096 位 (`RSA_4096`)
+ ECDSA 256 位 (`EC_prime256v1`)\$1
+ ECDSA 384 位 (`EC_secp384r1`)\$1
+ ECDSA 521 位 (`EC_secp521r1`)
ACM 可以使用标有星号 (\$1) 的算法请求新证书。其余算法仅适用于[导入的](import-certificate.md)证书。  
对于由 AWS 私有 CA CA 签名的私有 PKI 证书，签名算法系列（RSA 或 ECDSA）必须与 CA 的密钥算法系列相匹配。
ECDSA 密钥比具有同等安全性的 RSA 密钥更小，计算效率更高，但并非所有网络客户端都支持 ECDSA。此表改编自 [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf)，比较了 RSA 和 ECDSA 密钥大小（以位为单位）以获得同等安全优势：    
**比较算法和密钥的安全性**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/acm/latest/userguide/acm-certificate-characteristics.html)
安全强度为 2 的幂，与破解加密所需的猜测次数有关。例如，3072 位 RSA 密钥和 256 位 ECDSA 密钥都可以通过不超过 2128 次猜测来检索。  
有关选择算法的帮助，请参阅中的 AWS 博客文章《[如何评估和使用 ECDSA 证书](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)》。 AWS Certificate Manager  
[集成服务](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)仅允许将支持的算法和密钥大小用于其资源。支持情况因证书是导入到 IAM 还是 ACM 而有所差别。有关详细信息，请参阅每个服务的文档：  
+ 对于 Elastic Load Balancing，请参阅 [Application Load Balancer 的 HTTPS 侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)。
+ 有关 CloudFront信息，请参阅[支持的 SSL/TLS 协议和密码](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html)。

**托管续订和部署**  <a name="renewal-term"></a>
ACM 管理 ACM 证书的续订和预置。自动续订可以帮助避免因证书配置错误、吊销或过期而导致的停机。有关更多信息，请参阅 [中的托管证书续订 AWS Certificate Manager](managed-renewal.md)。

**多个域名**  <a name="multiple-domains-term"></a>
每个 ACM 证书必须至少包括一个完全限定域名 (FQDN)，并且可以包括其他名称。例如，`www.example.com` 的证书也可以包括 `www.example.net`。这也适用于裸域（机构根网域或裸域）。您可以为 www.example.com 请求证书并包括 example.com。有关更多信息，请参阅 [AWS Certificate Manager 公共证书](gs-acm-request-public.md)。

**punycode**  <a name="punycode-term"></a>
必须满足以下与[国际化域名](https://www.icann.org/resources/pages/idn-2012-02-25-en)有关的 [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) 要求：  

1. 以“<character><character>--”模式开头的域名必须与“xn--”一致。

1. 以“xn--”开头的域名也必须是有效的国际化域名。  
**Punycode 示例**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/acm/latest/userguide/acm-certificate-characteristics.html)

**有效期**  <a name="validity-term"></a>
ACM 证书的有效期为 198 天。

**通配符名称**  <a name="wildcard-term"></a>
ACM 允许在域名中使用星号 (\$1) 来创建通配符证书，该证书可以保护同一个域中的多个站点。例如，`*.example.com` 可以保护 `www.example.com` 和 `images.example.com`。  
在通配符证书中，星号 (`*`) 必须位于域名的最左侧，而且只保护一个子域级别。例如，`*.example.com` 保护 `login.example.com` 和 `test.example.com`，但不保护 `test.login.example.com`。此外，`*.example.com` 仅*保护*子域，而不保护裸域或顶点域 (`example.com`)。您可以通过指定多个域名（例如 `example.com` 和 `*.example.com`）为裸域及其子域申请证书。  
如果您使用 CloudFront，请注意 HTTP 验证不支持通配符证书。对于通配符证书，必须使用 DNS 验证或电子邮件验证。我们建议 DNS 验证，因为它支持自动续订证书。