本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 中的私有证书 AWS Certificate Manager 如果您有权访问由创建的现有私有 CA AWS 私有 CA, AWS Certificate Manager (ACM) 可以申请适合在您的私钥基础设施 (PKI) 中使用的证书。CA 可能位于您的账户中,也可能由其他账户与您共享。有关创建私有证书颁发机构的信息,请参阅[创建私有证书颁发机构](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html)。 默认情况下,私有 CA 签署的证书不受信任,ACM 不支持对这些证书进行任何形式的验证。因此,管理员必须采取措施,将证书安装到您组织的客户端信任存储中。 私有 ACM 证书遵循 X.509 标准,并具有以下限制: + **名称:**必须使用符合 DNS 的主题名称。有关更多信息,请参阅 [域名](acm-concepts.md#concept-dn)。 + **算法:**对于加密,证书私有密钥算法必须是 2048 位 RSA、256 位 ECDSA 或 384 位 ECDSA。 **注意** 指定的签名算法系列(RSA 或 ECDSA)必须与 CA 密钥的算法系列匹配。 + **过期:**每个私有证书的有效期为 13 个月(395 天)。签署的私有证书颁发机构证书的结束日期必须晚于请求的证书结束日期,否则证书请求将失败。 **注意** 私有证书的有效期比公有证书长。公共 ACM 证书的有效期为 198 天。有关公共证书的更多信息,请参阅[在中申请公共证书 AWS Certificate Manager](acm-public-certificates.md)。 + **续订:**ACM 会在 11 个月后尝试自动续订私有证书。 用于签署终端实体证书的私有证书颁发机构受其自身限制: + 证书颁发机构的状态必须为“活跃”。 **注意** 与公开受信任的证书不同,由私有 CA 签署的证书不需要验证。 **Topics** + [用于签署 ACM 私有证书的条件 AWS 私有 CA](ca-access.md) + [在中申请私有证书 AWS Certificate Manager](gs-acm-request-private.md) + [导出 AWS Certificate Manager 私有证书](export-private.md)