本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Certificate Manager 公有憑證特性和限制
<a name="acm-certificate-characteristics"></a>

ACM 提供的公有憑證具有下列特性和限制。這些僅適用於 ACM 提供的憑證。它們可能不適用於[匯入的憑證](import-certificate.md)。

**瀏覽器和應用程式信任**  <a name="trust-term"></a>
ACM 憑證受 Google Chrome、Microsoft Edge、Mozilla Firefox 和 Apple Safari 等所有主要瀏覽器信任。透過 TLS 使用 ACM 憑證連接到網站時，瀏覽器會顯示鎖定圖示。Java 也會信任 ACM 憑證。

**憑證授權單位和階層**  <a name="authority-term"></a>
透過 ACM 請求的公有憑證來自 [Amazon Trust Services](https://www.amazontrust.com/repository/)，Amazon 受管的公有[憑證授權機構 (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)。Amazon 根 CAs1 到 4 由 Starfield G2 根憑證授權機構 – G2 交叉簽署。Starfield 根在 Android （較舊的 Gingerbread 版本） 和 iOS (4.1 版以上） 上受信任。Amazon 根受 iOS 11\$1 信任。包括 Amazon 或 Starfield 根的瀏覽器、應用程式或OSes將信任 ACM 公有憑證。  
ACM 透過中繼 CAs 向客戶發行分葉或終端實體憑證，並根據憑證類型 (RSA 或 ECDSA) 隨機指派。由於此隨機選取，ACM 不提供中繼 CA 資訊。

**網域驗證 (DV)**  <a name="domain-validation-term"></a>
ACM 憑證經過網域驗證，僅識別網域名稱。請求 ACM 憑證時，您必須證明所有指定網域的擁有權或控制權。您可以使用電子郵件或 DNS 驗證所有權。如需詳細資訊，請參閱[AWS Certificate Manager 電子郵件驗證](email-validation.md)及[AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。

**HTTP 驗證**  <a name="http-validation-term"></a>
ACM 在發行可搭配 CloudFront 使用的公有 TLS 憑證時，支援用於網域擁有權驗證的 HTTP 驗證。此方法使用 HTTP 重新導向來證明網域擁有權，並提供類似於 DNS 驗證的自動續約。HTTP 驗證目前只能透過 CloudFront 分佈租用戶功能使用。

**HTTP 重新導向**  <a name="http-redirect-term"></a>
對於 HTTP 驗證，ACM 會提供 `RedirectFrom` URL 和 `RedirectTo` URL。您必須設定從 `RedirectFrom` 到 的重新導向`RedirectTo`，以示範網域控制。`RedirectFrom` URL 包含已驗證的網域，同時`RedirectTo`指向 CloudFront 基礎設施中包含唯一驗證字符的 ACM 控制位置。

**管理者**  <a name="managed-by-term"></a>
由其他 服務管理的 ACM 中的憑證會在 `ManagedBy` 欄位中顯示該服務的身分。對於搭配 CloudFront 使用 HTTP 驗證的憑證，此欄位會顯示 "CLOUDFRONT"。這些憑證只能透過 CloudFront 使用。`ManagedBy` 欄位會出現在 **DescribeCertificate**和 **ListCertificates** APIs 中，以及 ACM 主控台中的憑證庫存和詳細資訊頁面上。  
`ManagedBy` 欄位與「可與」屬性互斥。對於 CloudFront 受管憑證，您無法透過其他服務新增新的用量 AWS 。您只能透過 CloudFront API 將這些憑證與更多資源搭配使用。

**中繼和根 CA 輪換**  <a name="rotation-term"></a>
Amazon 可能會在不通知的情況下終止中繼 CA，以維護彈性憑證基礎設施。這些變更不會影響客戶。如需詳細資訊，請參閱[「Amazon 引進動態中繼憑證授權機構」](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/)。  
如果 Amazon 終止根 CA，變更將視需要快速發生。Amazon 將使用所有可用的方法來通知 AWS 客戶，包括 Health 儀板表、電子郵件和與技術客戶經理的聯絡。

**用於撤銷的防火牆存取**  <a name="revocation-term"></a>
已撤銷的終端實體憑證使用 OCSP 和 CRLs來驗證和發佈撤銷資訊。有些客戶防火牆可能需要額外的規則，才能允許這些機制。  
使用這些 URL 萬用字元模式來識別撤銷流量：  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
星號 (\$1) 代表一或多個英數字元，問號 (？) 代表單一英數字元，雜湊符號 (\$1) 代表數字。

**金鑰演算法**  <a name="algorithms-term"></a>
憑證必須指定演算法和金鑰大小。ACM 支援這些 RSA 和 ECDSA 公有金鑰演算法：  
+ RSA 1024 位元 (`RSA_1024`)
+ RSA 2048 位元 (`RSA_2048`)\$1
+ RSA 3072 位元 (`RSA_3072`)
+ RSA 4096 位元 (`RSA_4096`)
+ ECDSA 256 位元 (`EC_prime256v1`)\$1
+ ECDSA 384 位元 (`EC_secp384r1`)\$1
+ ECDSA 521 位元 (`EC_secp521r1`)
ACM 可以使用標記星號 (\$1) 的演算法來請求新憑證。其他演算法僅適用於[匯入](import-certificate.md)的憑證。  
對於由 AWS 私有 CA CA 簽署的私有 PKI 憑證，簽署演算法系列 (RSA 或 ECDSA) 必須符合 CA 的私密金鑰演算法系列。
ECDSA 金鑰比同等安全性的 RSA 金鑰更小且運算更有效率，但並非所有網路用戶端都支援 ECDSA。此資料表改編自 [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf)，比較 RSA 和 ECDSA 金鑰大小 （以位元為單位） 的同等安全強度：    
**比較演算法和金鑰的安全性**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/acm-certificate-characteristics.html)
安全強度為 2，與破壞加密所需的猜測次數相關。例如，3072 位元的 RSA 金鑰和 256 位元的 ECDSA 金鑰皆可在不超過 2128 次猜測的情況下擷取到。  
如需選擇演算法的協助，請參閱 AWS 部落格文章[如何評估和使用 ECDSA 憑證 AWS Certificate Manager](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)。  
[整合式服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)僅允許其資源支援的演算法和金鑰大小。支援會根據憑證是否匯入 IAM 或 ACM 而有所不同。如需詳細資訊，請參閱每個服務的文件：  
+ 針對 Elastic Load Balancing，請參閱 [Application Load Balancer 的 HTTPS 接聽程式)](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)。
+ 針對 CloudFront，請參閱[受支援的 SSL/TLS 協定和密碼](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html)。

**受管續約和部署**  <a name="renewal-term"></a>
ACM 會管理 ACM 憑證的續約和佈建。自動續約有助於防止停機時間設定錯誤、撤銷或過期的憑證。如需詳細資訊，請參閱[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md)。

**多個網域名稱**  <a name="multiple-domains-term"></a>
每個 ACM 憑證必須至少包含一個完整網域名稱 (FQDN)，並且可以包含其他名稱。例如， 的憑證`www.example.com`也可以包含 `www.example.net`。這也適用於裸機網域 （區域頂點或裸機網域）。您可以請求 www.example.com 的憑證，並包含 example.com。如需詳細資訊，請參閱[AWS Certificate Manager 公有憑證](gs-acm-request-public.md)。

**Punycode**  <a name="punycode-term"></a>
必須符合下列[國際化網域名稱](https://www.icann.org/resources/pages/idn-2012-02-25-en)的 [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) 要求：  

1. 以 "<character><character>--" 模式開頭的網域名稱必須匹配 "xn--"。

1. 以 "xn--" 開頭的網域名稱也必須是有效的國際化網域名稱。  
**Punycode 範例**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/acm-certificate-characteristics.html)

**有效期間**  <a name="validity-term"></a>
ACM 憑證的有效期為 198 天。

**萬用字元名稱**  <a name="wildcard-term"></a>
ACM 允許網域名稱中的星號 (\$1) 建立萬用字元憑證，以保護相同網域中的多個網站。例如，`*.example.com` 可保護 `www.example.com` 和 `images.example.com`。  
在萬用字元憑證中，星號 (`*`) 必須在網域名稱的最左邊，並僅保護一個子網域層級。例如， `*.example.com`會保護 `login.example.com`和 `test.example.com`，但不會保護 `test.login.example.com`。此外， *只會*`*.example.com`保護子網域，而不是裸機或頂點網域 (`example.com`)。您可以指定多個網域名稱，例如 `example.com`和 ，同時請求裸機網域及其子網域的憑證`*.example.com`。  
如果您使用 CloudFront，請注意 HTTP 驗證不支援萬用字元憑證。對於萬用字元憑證，您必須使用 DNS 驗證或電子郵件驗證。我們建議您進行 DNS 驗證，因為它支援自動憑證續約。