本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中請求私有憑證 AWS Certificate Manager
## 請求私有憑證 (主控台)
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home) 開啟 ACM 主控台。
選擇 **Request a certificate (請求憑證)**。
1. 在 **Request certificate(請求憑證)**頁面上,選擇 **Request a private certificate(請求私有憑證)**,然後選擇 **Next(下一步)**以繼續進行。
1. 在**憑證授權機構詳細資訊**區段中,選取**憑證授權機構**選單,然後選擇其中一個可用的私有 CAs。如果 CA 是從另一個帳戶共用,ARN 前面會加上所有權資訊。
系統隨即會顯示 CA 相關詳細資訊,協助您驗證是否已選擇正確者:
+ **擁有者**
+ **類型**
+ **Common name (CN) (通用名稱 (CN))**
+ **Organization (O) (組織 (O))**
+ **Organization unit (OU) (組織單位 (OU))**
+ **Country name (C) (國家/地區名稱 (C))**
+ **State or province (州或省)**
+ **Locality name (地區名稱)**
1. 在 **Domain names(網域名稱)**部分,輸入您的網域名稱。您可以使用完整網域名稱 (FQDN),例如 **www.example.com** 或 bare 或 apex 網域名稱,例如 **example.com**。您也可以在最左方使用星號 (**\$1**) 做為萬用字元,以保護相同網域中的多個網站名稱。例如,**\$1.example.com** 可保護 **corp.example.com** 和 **images.example.com**。萬用字元名稱會顯示在 ACM 憑證的**主旨**欄位和**主旨別名**延伸中。
**注意**
請求萬用字元憑證時,星號 (**\$1**) 必須在網域名稱的最左方,而且僅能保護一個子網域等級。例如,**\$1.example.com** 可以保護 **login.example.com** 和 **test.example.com**,但不能保護 **test.login.example.com**。另請注意,**\$1.example.com** *只*可以保護 **example.com** 的子網域,無法保護 bare 或 apex 網域 (**example.com**)。若要保護兩者,請參閱下一個步驟
或者,請選擇 **Add another name to this certificate** (將其他名稱新增至此憑證),然後在文字方塊中輸入名稱。若要同時驗證 bare 或 apex 網域 (例如 **example.com**) 及其子網域 (例如 **\$1.example.com**),此功能非常實用。
1. 在**金鑰演算法**區段中,選擇演算法。
如需協助您選擇演算法的資訊,請參閱 AWS 部落格文章[如何評估和使用 中的 ECDSA 憑證 AWS Certificate Manager](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)。
1. 在 **Tags(標籤)**部分,您可以選擇標記您的憑證。標籤是鍵值對,可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明,請參閱「[標記 AWS Certificate Manager 資源](tags.md)」。
1. 在 **Certificate renewal permissions(憑證續約權限)**部分中,確認有關憑證更新權限的通知。這些權限允許自動更新您使用所選 CA 簽署的私有 PKI 憑證。如需詳細資訊,請參閱[搭配 ACM 使用服務連結角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。
1. 在提供所有必要資訊後,選擇 **Request(請求)**。主控台會傳回憑證清單給您,讓您檢視新的憑證。
**注意**
視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。
## 請求私有憑證 (CLI)
使用 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令在 ACM 中請求私有憑證。
**注意**
當您請求由 CA 簽署的私有 PKI 憑證時 AWS 私有 CA,指定的簽署演算法系列 (RSA 或 ECDSA) 必須符合 CA 私密金鑰的演算法系列。
```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID
```
此命令會輸出新私有憑證的 Amazon Resource Name (ARN)。
```
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```
在大多數情況下,ACM 會在您第一次使用共用 CA 時,自動將服務連結角色 (SLR) 連接至您的帳戶。SLR 會為您發行的終端實體憑證啟用自動續約功能。若要檢查 SLR 是否存在,您可以使用以下命令查詢 IAM:
```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```
如果 SLR 存在,命令輸出應類似以下內容:
```
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}
```
如果缺少 SLR,請參閱[搭配 ACM 使用服務連結角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。