本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中請求公有憑證 AWS Certificate Manager
您可以從 ACM 主控台 AWS CLI或 API 請求 AWS Certificate Manager 公有憑證。您可以將這些憑證與整合的 搭配使用, AWS 服務 或將其匯出以供 外部使用 AWS 雲端。
下列清單說明公有憑證和可匯出公有憑證之間的差異。
**公用憑證**
將 ACM 公有憑證與 Elastic Load Balancing、Amazon CloudFront 和 Amazon API Gateway AWS 服務 等整合搭配使用。如需詳細資訊,請參閱[與 ACM 整合的服務](acm-services.md)。
2025 年 6 月 17 日之前建立的 ACM 公有憑證無法匯出。
**可匯出的公有憑證**
可匯出的公有憑證可與整合式 搭配使用 AWS 服務 ,也可以在外部使用 AWS 雲端。如需詳細資訊,請參閱[AWS Certificate Manager 可匯出的公有憑證](acm-exportable-certificates.md)及[與 ACM 整合的服務](acm-services.md)。您必須建立新的 ACM 公有憑證,並啟用可匯出功能,才能匯出公有憑證。
下列各節討論如何請求、匯出和撤銷公有 ACM 憑證。
**Topics**
+ [使用主控台請求公有憑證](#request-public-console)
+ [使用 CLI 請求公有憑證](#request-public-cli)
## 使用主控台請求公有憑證
**請求 ACM 公有憑證 (主控台)**
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home) 開啟 ACM 主控台。
選擇 **Request a certificate (請求憑證)**。
1. 在 **Domain names(網域名稱)**部分,輸入您的網域名稱。
您可以使用完整網域名稱 (FQDN),例如 **www.example.com** 或 bare 或 apex 網域名稱,例如 **example.com**。您也可以在最左方使用星號 (**\$1**) 做為萬用字元,以保護相同網域中的多個網站名稱。例如,**\$1.example.com** 可保護 **corp.example.com** 和 **images.example.com**。萬用字元名稱會顯示在 ACM 憑證的**主旨**欄位和**主旨別名**延伸中。
請求萬用字元憑證時,星號 (**\$1**) 必須在網域名稱的最左方,而且僅能保護一個子網域等級。例如,**\$1.example.com** 可以保護 **login.example.com** 和 **test.example.com**,但不能保護 **test.login.example.com**。另請注意,**\$1.example.com** *只*可以保護 **example.com** 的子網域,無法保護 bare 或 apex 網域 (**example.com**)。若要保護兩者,請參閱下一個步驟。
**注意**
為遵循 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280),您在此步驟中輸入的網域名稱 (技術上來說為「通用名稱」) 長不得超過 64 個八位元組 (字元),包括句點在內。但您之後提供的每個主體別名 (SAN) 長度最高可達 253 個八位元,如同下個步驟所示。
1. 若要新增其他名稱,請選擇 **Add another name to this certificate (將其他名稱新增至此憑證)**,然後在文字方塊中輸入名稱。若要同時保護 bare 或 apex 網域 (例如 **example.com**) 及其子網域 (例如 **\$1.example.com**),此功能非常實用。
1. 如果您想要建立 ACM 匯出公有憑證,請選取**啟用匯出**選項。您將能夠存取憑證的私有金鑰,並在外部使用 AWS 雲端。如需詳細資訊,請參閱[AWS Certificate Manager 可匯出的公有憑證](acm-exportable-certificates.md)。
1. 根據您的需求,在 **Validation method** (驗證方法) 區段,選擇 **DNS validation – recommended** (DNS 驗證 – 建議) 或 **Email validation** (電子郵件驗證)。
**注意**
如果您能編輯 DNS 組態,我們建議您使用 DNS 網域驗證,而不使用電子郵件驗證。與電子郵件驗證相比,DNS 驗證有多個優點。請參閱 [AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。
ACM 發行憑證前,會先驗證您是否擁有或控制憑證請求中的網域名稱。您可以使用電子郵件驗證或 DNS 驗證。
1. 如果您選擇電子郵件驗證,ACM 會將驗證電子郵件傳送至您在網域名稱欄位中指定的網域。如果您指定驗證網域,ACM 會改為將電子郵件傳送至該驗證網域。如需電子郵件驗證的詳細資訊,請參閱「[AWS Certificate Manager 電子郵件驗證](email-validation.md)」。
1. 如果您使用 DNS 驗證,則只需將 ACM 提供的 CNAME 記錄新增至您的 DNS 組態。如需 DNS 驗證的詳細資訊,請參閱 [AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。
1. 在**金鑰演算法**區段中,選擇演算法。
1. 在 **Tags(標籤)**頁面上,您可以選擇標記您的憑證。標籤是鍵值對,可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明,請參閱「[標記 AWS Certificate Manager 資源](tags.md)」。
完成新增標籤後,請選擇 **Request(請求)**。
1. 處理要求之後,主控台會將您返回憑證清單,其中會顯示新憑證相關的資訊。
憑證被請求後會進入**待驗證**狀態,除非憑證請求因為出現「[憑證請求失敗](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed)」故障排除主題中列出的情況而失敗。ACM 會重複嘗試驗憑證 72 小時,然後逾時。如果憑證顯示**失敗**或者**驗證逾時**狀態,請刪除請求,修正 [DNS 驗證](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html)或者[電子郵件驗證](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html)問題,然後重試。如果驗證成功,憑證會進入**已發行**狀態。
**注意**
視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。
## 使用 CLI 請求公有憑證
在命令列中使用 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令來請求新的公有 ACM 憑證。驗證方法的可選值是 DNS 和 EMAIL (電子郵件)。金鑰演算法的選用值為 RSA\$12048 (若未明確提供參數,則為預設值)、EC\$1PRIME256v1 和 EC\$1secp384r1。
```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```
此命令會輸出新公有憑證的 Amazon Resource Name (ARN)。
```
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```