本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Certificate Manager 公有憑證
<a name="gs-acm-request-public"></a>

請求公有憑證之後，您必須驗證網域擁有權，如中所述[驗證 AWS Certificate Manager 公有憑證的網域擁有權](domain-ownership-validation.md)。

公有 ACM 憑證遵循 X.509 標準，且受制於下列各項限制：
+ **名稱:**您必須使用符合 DNS 規範的主旨名稱。如需詳細資訊，請參閱[網域名稱](acm-concepts.md#concept-dn)。
+ **演算法：**針對加密，憑證私有金鑰演算法必須是 2048 位元 RSA、256 位元的 ECDSA 或 384 位元 ECDSA。
+ **過期：**每個憑證有效期為 198 天。
+ **續約：**ACM 會在過期前 45 天嘗試自動續約公有憑證。

**注意**  
公有 ACM 憑證可以安裝在連接到 [Nitro Enclave](acm-services.md#acm-nitro-enclave) 的 Amazon EC2 執行個體上。您也可以[匯出公有憑證](export-public-certificate.md)，以便在任何 Amazon EC2 執行個體上使用。如需了解如何在未連接至 Nitro Enclave 的 Amazon EC2 執行個體上設定獨立 Web 伺服器，請參閱[教學課程：在 Amazon Linux 2 上安裝 LAMP Web 伺服器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html)或[教學課程：使用 Amazon Linux AMI 安裝 LAMP Web 伺服器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)。

管理員可以使用 ACM [條件索引鍵政策](https://docs.aws.amazon.com/acm/latest/userguide/acm-conditions.html)，控制最終使用者發行新憑證的方式。透過這些條件索引鍵，您可對與憑證請求相關的網域、驗證方法和其他屬性設下限制。如果您在要求憑證時遇到問題，請參閱[對憑證請求進行故障診斷](troubleshooting-cert-requests.md)。

若要使用 請求私有 PKI 的憑證 AWS 私有 CA，請參閱 [在 中請求私有憑證 AWS Certificate Manager請求私有憑證](gs-acm-request-private.md)。

**Topics**
+ [AWS Certificate Manager 公有憑證特性和限制](acm-certificate-characteristics.md)
+ [在 中請求公有憑證 AWS Certificate Manager](acm-public-certificates.md)
+ [AWS Certificate Manager 可匯出的公有憑證](acm-exportable-certificates.md)
+ [驗證 AWS Certificate Manager 公有憑證的網域擁有權](domain-ownership-validation.md)

# AWS Certificate Manager 公有憑證特性和限制
<a name="acm-certificate-characteristics"></a>

ACM 提供的公有憑證具有下列特性和限制。這些僅適用於 ACM 提供的憑證。它們可能不適用於[匯入的憑證](import-certificate.md)。

**瀏覽器和應用程式信任**  <a name="trust-term"></a>
ACM 憑證受 Google Chrome、Microsoft Edge、Mozilla Firefox 和 Apple Safari 等所有主要瀏覽器信任。透過 TLS 使用 ACM 憑證連接到網站時，瀏覽器會顯示鎖定圖示。Java 也會信任 ACM 憑證。

**憑證授權單位和階層**  <a name="authority-term"></a>
透過 ACM 請求的公有憑證來自 [Amazon Trust Services](https://www.amazontrust.com/repository/)，Amazon 受管的公有[憑證授權機構 (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)。Amazon 根 CAs1 到 4 由 Starfield G2 根憑證授權機構 – G2 交叉簽署。Starfield 根在 Android （較舊的 Gingerbread 版本） 和 iOS (4.1 版以上） 上受信任。Amazon 根受 iOS 11\$1 信任。包括 Amazon 或 Starfield 根的瀏覽器、應用程式或OSes將信任 ACM 公有憑證。  
ACM 透過中繼 CAs 向客戶發行分葉或終端實體憑證，並根據憑證類型 (RSA 或 ECDSA) 隨機指派。由於此隨機選取，ACM 不提供中繼 CA 資訊。

**網域驗證 (DV)**  <a name="domain-validation-term"></a>
ACM 憑證經過網域驗證，僅識別網域名稱。請求 ACM 憑證時，您必須證明所有指定網域的擁有權或控制權。您可以使用電子郵件或 DNS 驗證所有權。如需詳細資訊，請參閱[AWS Certificate Manager 電子郵件驗證](email-validation.md)及[AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。

**HTTP 驗證**  <a name="http-validation-term"></a>
ACM 在發行可搭配 CloudFront 使用的公有 TLS 憑證時，支援用於網域擁有權驗證的 HTTP 驗證。此方法使用 HTTP 重新導向來證明網域擁有權，並提供類似於 DNS 驗證的自動續約。HTTP 驗證目前只能透過 CloudFront 分佈租用戶功能使用。

**HTTP 重新導向**  <a name="http-redirect-term"></a>
對於 HTTP 驗證，ACM 會提供 `RedirectFrom` URL 和 `RedirectTo` URL。您必須設定從 `RedirectFrom` 到 的重新導向`RedirectTo`，以示範網域控制。`RedirectFrom` URL 包含已驗證的網域，同時`RedirectTo`指向 CloudFront 基礎設施中包含唯一驗證字符的 ACM 控制位置。

**管理者**  <a name="managed-by-term"></a>
由其他 服務管理的 ACM 中的憑證會在 `ManagedBy` 欄位中顯示該服務的身分。對於搭配 CloudFront 使用 HTTP 驗證的憑證，此欄位會顯示 "CLOUDFRONT"。這些憑證只能透過 CloudFront 使用。`ManagedBy` 欄位會出現在 **DescribeCertificate**和 **ListCertificates** APIs 中，以及 ACM 主控台中的憑證庫存和詳細資訊頁面上。  
`ManagedBy` 欄位與「可與」屬性互斥。對於 CloudFront 受管憑證，您無法透過其他服務新增新的用量 AWS 。您只能透過 CloudFront API 將這些憑證與更多資源搭配使用。

**中繼和根 CA 輪換**  <a name="rotation-term"></a>
Amazon 可能會在不通知的情況下終止中繼 CA，以維護彈性憑證基礎設施。這些變更不會影響客戶。如需詳細資訊，請參閱[「Amazon 引進動態中繼憑證授權機構」](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/)。  
如果 Amazon 終止根 CA，變更將視需要快速發生。Amazon 將使用所有可用的方法來通知 AWS 客戶，包括 Health 儀板表、電子郵件和與技術客戶經理的聯絡。

**用於撤銷的防火牆存取**  <a name="revocation-term"></a>
已撤銷的終端實體憑證使用 OCSP 和 CRLs來驗證和發佈撤銷資訊。有些客戶防火牆可能需要額外的規則，才能允許這些機制。  
使用這些 URL 萬用字元模式來識別撤銷流量：  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
星號 (\$1) 代表一或多個英數字元，問號 (？) 代表單一英數字元，雜湊符號 (\$1) 代表數字。

**金鑰演算法**  <a name="algorithms-term"></a>
憑證必須指定演算法和金鑰大小。ACM 支援這些 RSA 和 ECDSA 公有金鑰演算法：  
+ RSA 1024 位元 (`RSA_1024`)
+ RSA 2048 位元 (`RSA_2048`)\$1
+ RSA 3072 位元 (`RSA_3072`)
+ RSA 4096 位元 (`RSA_4096`)
+ ECDSA 256 位元 (`EC_prime256v1`)\$1
+ ECDSA 384 位元 (`EC_secp384r1`)\$1
+ ECDSA 521 位元 (`EC_secp521r1`)
ACM 可以使用標記星號 (\$1) 的演算法來請求新憑證。其他演算法僅適用於[匯入](import-certificate.md)的憑證。  
對於由 AWS 私有 CA CA 簽署的私有 PKI 憑證，簽署演算法系列 (RSA 或 ECDSA) 必須符合 CA 的私密金鑰演算法系列。
ECDSA 金鑰比同等安全性的 RSA 金鑰更小且運算更有效率，但並非所有網路用戶端都支援 ECDSA。此資料表改編自 [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf)，比較 RSA 和 ECDSA 金鑰大小 （以位元為單位） 的同等安全強度：    
**比較演算法和金鑰的安全性**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/acm-certificate-characteristics.html)
安全強度為 2，與破壞加密所需的猜測次數相關。例如，3072 位元的 RSA 金鑰和 256 位元的 ECDSA 金鑰皆可在不超過 2128 次猜測的情況下擷取到。  
如需選擇演算法的協助，請參閱 AWS 部落格文章[如何評估和使用 ECDSA 憑證 AWS Certificate Manager](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)。  
[整合式服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)僅允許其資源支援的演算法和金鑰大小。支援會根據憑證是否匯入 IAM 或 ACM 而有所不同。如需詳細資訊，請參閱每個服務的文件：  
+ 針對 Elastic Load Balancing，請參閱 [Application Load Balancer 的 HTTPS 接聽程式)](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)。
+ 針對 CloudFront，請參閱[受支援的 SSL/TLS 協定和密碼](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html)。

**受管續約和部署**  <a name="renewal-term"></a>
ACM 會管理 ACM 憑證的續約和佈建。自動續約有助於防止停機時間設定錯誤、撤銷或過期的憑證。如需詳細資訊，請參閱[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md)。

**多個網域名稱**  <a name="multiple-domains-term"></a>
每個 ACM 憑證必須至少包含一個完整網域名稱 (FQDN)，並且可以包含其他名稱。例如， 的憑證`www.example.com`也可以包含 `www.example.net`。這也適用於裸機網域 （區域頂點或裸機網域）。您可以請求 www.example.com 的憑證，並包含 example.com。如需詳細資訊，請參閱[AWS Certificate Manager 公有憑證](gs-acm-request-public.md)。

**Punycode**  <a name="punycode-term"></a>
必須符合下列[國際化網域名稱](https://www.icann.org/resources/pages/idn-2012-02-25-en)的 [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) 要求：  

1. 以 "<character><character>--" 模式開頭的網域名稱必須匹配 "xn--"。

1. 以 "xn--" 開頭的網域名稱也必須是有效的國際化網域名稱。  
**Punycode 範例**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/acm-certificate-characteristics.html)

**有效期間**  <a name="validity-term"></a>
ACM 憑證的有效期為 198 天。

**萬用字元名稱**  <a name="wildcard-term"></a>
ACM 允許網域名稱中的星號 (\$1) 建立萬用字元憑證，以保護相同網域中的多個網站。例如，`*.example.com` 可保護 `www.example.com` 和 `images.example.com`。  
在萬用字元憑證中，星號 (`*`) 必須在網域名稱的最左邊，並僅保護一個子網域層級。例如， `*.example.com`會保護 `login.example.com`和 `test.example.com`，但不會保護 `test.login.example.com`。此外， *只會*`*.example.com`保護子網域，而不是裸機或頂點網域 (`example.com`)。您可以指定多個網域名稱，例如 `example.com`和 ，同時請求裸機網域及其子網域的憑證`*.example.com`。  
如果您使用 CloudFront，請注意 HTTP 驗證不支援萬用字元憑證。對於萬用字元憑證，您必須使用 DNS 驗證或電子郵件驗證。我們建議您進行 DNS 驗證，因為它支援自動憑證續約。

# 在 中請求公有憑證 AWS Certificate Manager
<a name="acm-public-certificates"></a>

您可以從 ACM 主控台 AWS CLI或 API 請求 AWS Certificate Manager 公有憑證。您可以將這些憑證與整合的 搭配使用， AWS 服務 或將其匯出以供 外部使用 AWS 雲端。

下列清單說明公有憑證和可匯出公有憑證之間的差異。

**公用憑證**  
將 ACM 公有憑證與 Elastic Load Balancing、Amazon CloudFront 和 Amazon API Gateway AWS 服務 等整合搭配使用。如需詳細資訊，請參閱[與 ACM 整合的服務](acm-services.md)。  
2025 年 6 月 17 日之前建立的 ACM 公有憑證無法匯出。

**可匯出的公有憑證**  
可匯出的公有憑證可與整合式 搭配使用 AWS 服務 ，也可以在外部使用 AWS 雲端。如需詳細資訊，請參閱[AWS Certificate Manager 可匯出的公有憑證](acm-exportable-certificates.md)及[與 ACM 整合的服務](acm-services.md)。您必須建立新的 ACM 公有憑證，並啟用可匯出功能，才能匯出公有憑證。

下列各節討論如何請求、匯出和撤銷公有 ACM 憑證。

**Topics**
+ [使用主控台請求公有憑證](#request-public-console)
+ [使用 CLI 請求公有憑證](#request-public-cli)

## 使用主控台請求公有憑證
<a name="request-public-console"></a>

**請求 ACM 公有憑證 (主控台)**

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home) 開啟 ACM 主控台。

   選擇 **Request a certificate (請求憑證)**。

1. 在 **Domain names（網域名稱）**部分，輸入您的網域名稱。

   您可以使用完整網域名稱 (FQDN)，例如 **www.example.com** 或 bare 或 apex 網域名稱，例如 **example.com**。您也可以在最左方使用星號 (**\$1**) 做為萬用字元，以保護相同網域中的多個網站名稱。例如，**\$1.example.com** 可保護 **corp.example.com** 和 **images.example.com**。萬用字元名稱會顯示在 ACM 憑證的**主旨**欄位和**主旨別名**延伸中。

   請求萬用字元憑證時，星號 (**\$1**) 必須在網域名稱的最左方，而且僅能保護一個子網域等級。例如，**\$1.example.com** 可以保護 **login.example.com** 和 **test.example.com**，但不能保護 **test.login.example.com**。另請注意，**\$1.example.com** *只*可以保護 **example.com** 的子網域，無法保護 bare 或 apex 網域 (**example.com**)。若要保護兩者，請參閱下一個步驟。
**注意**  
為遵循 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280)，您在此步驟中輸入的網域名稱 (技術上來說為「通用名稱」) 長不得超過 64 個八位元組 (字元)，包括句點在內。但您之後提供的每個主體別名 (SAN) 長度最高可達 253 個八位元，如同下個步驟所示。

   1. 若要新增其他名稱，請選擇 **Add another name to this certificate (將其他名稱新增至此憑證)**，然後在文字方塊中輸入名稱。若要同時保護 bare 或 apex 網域 (例如 **example.com**) 及其子網域 (例如 **\$1.example.com**)，此功能非常實用。

1. 如果您想要建立 ACM 匯出公有憑證，請選取**啟用匯出**選項。您將能夠存取憑證的私有金鑰，並在外部使用 AWS 雲端。如需詳細資訊，請參閱[AWS Certificate Manager 可匯出的公有憑證](acm-exportable-certificates.md)。

1. 根據您的需求，在 **Validation method** (驗證方法) 區段，選擇 **DNS validation – recommended** (DNS 驗證 – 建議) 或 **Email validation** (電子郵件驗證)。
**注意**  
如果您能編輯 DNS 組態，我們建議您使用 DNS 網域驗證，而不使用電子郵件驗證。與電子郵件驗證相比，DNS 驗證有多個優點。請參閱 [AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。

   ACM 發行憑證前，會先驗證您是否擁有或控制憑證請求中的網域名稱。您可以使用電子郵件驗證或 DNS 驗證。

   1. 如果您選擇電子郵件驗證，ACM 會將驗證電子郵件傳送至您在網域名稱欄位中指定的網域。如果您指定驗證網域，ACM 會改為將電子郵件傳送至該驗證網域。如需電子郵件驗證的詳細資訊，請參閱「[AWS Certificate Manager 電子郵件驗證](email-validation.md)」。

   1. 如果您使用 DNS 驗證，則只需將 ACM 提供的 CNAME 記錄新增至您的 DNS 組態。如需 DNS 驗證的詳細資訊，請參閱 [AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。

1. 在**金鑰演算法**區段中，選擇演算法。

1. 在 **Tags（標籤）**頁面上，您可以選擇標記您的憑證。標籤是鍵值對，可做為識別和組織 AWS 資源的中繼資料。如需 ACM 標籤參數清單以及如何在建立後將標籤新增至憑證的相關說明，請參閱「[標記 AWS Certificate Manager 資源](tags.md)」。

   完成新增標籤後，請選擇 **Request（請求）**。

1. 處理要求之後，主控台會將您返回憑證清單，其中會顯示新憑證相關的資訊。

   憑證被請求後會進入**待驗證**狀態，除非憑證請求因為出現「[憑證請求失敗](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed)」故障排除主題中列出的情況而失敗。ACM 會重複嘗試驗憑證 72 小時，然後逾時。如果憑證顯示**失敗**或者**驗證逾時**狀態，請刪除請求，修正 [DNS 驗證](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html)或者[電子郵件驗證](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html)問題，然後重試。如果驗證成功，憑證會進入**已發行**狀態。
**注意**  
視您排序清單的方式而定，您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。

## 使用 CLI 請求公有憑證
<a name="request-public-cli"></a>

在命令列中使用 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令來請求新的公有 ACM 憑證。驗證方法的可選值是 DNS 和 EMAIL (電子郵件)。金鑰演算法的選用值為 RSA\$12048 (若未明確提供參數，則為預設值)、EC\$1PRIME256v1 和 EC\$1secp384r1。

```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```

此命令會輸出新公有憑證的 Amazon Resource Name (ARN)。

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

# AWS Certificate Manager 可匯出的公有憑證
<a name="acm-exportable-certificates"></a>

AWS Certificate Manager 可匯出的公有憑證可讓您佈建、管理和部署 [SSL/TLS 憑證](acm-concepts.md#concept-sslcert)，包括 Amazon EC2 執行個體、容器和內部部署主機。此功能可將 ACM 發行的公有憑證延伸到整合之外 AWS 服務，讓您集中控制整個基礎設施的憑證。

## 優勢
<a name="acm-exportable-certificates-benefits"></a>

以下概述 ACM 匯出公有憑證的優點：
+ *簡化憑證管理*：使用 ACM 集中管理所有 資源的憑證。
+ *更快速的憑證發行*：在更短的時間內存取和使用憑證。
+ *自動化續約*：ACM 會自動處理憑證續約，並在新憑證準備好進行部署時通知您。如需詳細資訊，請參閱[ACM 的 Amazon EventBridge 支援](supported-events.md)。
+ *成本效益*：只需為您建立的可匯出公有憑證付費。
+ *彈性部署*：搭配支援標準 [SSL/TLS 憑證的任何伺服器或應用程式使用憑證](acm-concepts.md#concept-sslcert)。

## ACM 匯出公有憑證的運作方式
<a name="acm-exportable-certificates-how-it-works"></a>

以下概述 ACM 匯出公有憑證的運作方式：

1. 透過 ACM 為您的網域請求可匯出的憑證。

1. 使用 DNS 或電子郵件驗證來驗證網域擁有權。

1. 匯出憑證、私有金鑰和憑證鏈。

1. 將憑證部署到您的伺服器或應用程式。

1. ACM 會管理續約，並在有新憑證可用時傳送通知。

## 安全考量
<a name="acm-exportable-certificates-security"></a>

以下是使用 ACM 匯出公有憑證時的安全考量。如需詳細資訊，請參閱[中的資料保護 AWS Certificate Manager](data-protection.md)。
+ 使用安全儲存和存取控制保護匯出的私有金鑰。
+ 如果您懷疑金鑰遭到入侵，請使用 ACM 的撤銷功能。
+ 部署續約的憑證時，請實作適當的金鑰輪換程序。

## 限制
<a name="acm-exportable-certificates-limitations"></a>

以下是一些 ACM 憑證限制：
+ 憑證的有效期間為 198 天。
+ ACM 會續約設定為過期日期前 45 天的憑證。
+ 您必須管理匯出憑證的部署程序。

## 定價
<a name="acm-exportable-certificates-pricing"></a>

您需要為使用 建立的可匯出公有 SSL/TLS 憑證支付額外費用 AWS Certificate Manager。如需最新的 ACM 定價資訊，請參閱 AWS 網站上的[AWS Certificate Manager 服務定價](https://aws.amazon.com//certificate-manager/pricing/)頁面。

## 最佳實務
<a name="acm-exportable-certificates-best-practices"></a>

以下是使用 ACM 憑證時的一些最佳實務：
+ 憑證續約後，您應該立即開始使用它。
+ 測試和實作更新憑證的自動化部署程序。
+ 使用 [Amazon EventBridge 指標和警示](supported-events.md)監控憑證部署。

# 匯出 AWS Certificate Manager 公有憑證
<a name="export-public-certificate"></a>

下列程序會逐步解說如何在 ACM 主控台中匯出 ACM 公有憑證。或者，您可以使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html) AWS CLI 或 [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html) API 動作。

**注意**  
在 2025 年 6 月 17 日之前建立的 ACM 公有憑證無法匯出。

## 匯出公有憑證 （主控台）
<a name="console-procedures"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 的 ACM 主控台。

1. 選擇**列出憑證**，然後選取您要匯出之憑證的核取方塊。

   1. 或者，您可以選取憑證。在憑證詳細資訊頁面中，選取**匯出**。

1. 選擇**更多動作**，然後選擇**匯出**。

1. 輸入並確認私有金鑰的密碼短語。

1. 您可以下載或複製憑證檔案。
**注意**  
在 ACM 主控台中，您可以匯出 .pem 憑證檔案。您可以將 .pem 檔案轉換為其他檔案格式，例如 .ppk。如需詳細資訊，請參閱此 [re：Post 文章](https://repost.aws/knowledge-center/ec2-ppk-pem-conversion)。

## 匯出公有憑證 (AWS CLI)
<a name="cli-procedures"></a>

使用 [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI 命令或 [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html) API 動作匯出公有憑證和私有金鑰。執行命令時，您必須指定複雜密碼。為了增加安全性，請使用檔案編輯器將您的複雜密碼存放在檔案中，然後透過提供檔案來提供複雜密碼。這可防止將密碼短語存放在命令歷史記錄中，並防止其他人在您輸入時看到密碼短語。

**注意**  
包含複雜密碼的檔案不得以行結束字元結尾。您可以依如下方式檢查您的密碼檔案：

```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```

以下範例使用管道將命令輸出至 `jq`，以套用 PEM 格式。

```
[Windows/Linux]$ aws acm export-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
    --passphrase fileb://path-to-passphrase-file  \
    | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```

這個輸出是 base64 編碼、PEM 格式的憑證，也包含憑證鏈和加密私有金鑰，如下列縮短的範例所示。

```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```

若要將所有內容輸出到檔案，請將`>`重新導向附加到上一個範例，產生下列命令：

```
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt
```

# 使用 ACM 憑證保護 Kubernetes 工作負載
<a name="exportable-certificates-kubernetes"></a>

您可以搭配 AWS Controllers for Kubernetes (ACK) 使用可 AWS Certificate Manager 匯出的公有憑證，從 ACM 發行公有 TLS 憑證並將其匯出至您的 Kubernetes 工作負載。此整合可讓您保護 Amazon Elastic Kubernetes Service (Amazon EKS) Pod，並在 Kubernetes Ingress 終止 TLS。若要開始使用，請參閱 GitHub 上的[適用於 Kubernetes 的 ACM 控制器](https://github.com/aws-controllers-k8s/acm-controller)。

AWS Kubernetes (ACK) 的控制器擴展了 Kubernetes API，以使用原生 Kubernetes 資訊清單管理 AWS 資源。適用於 ACM 的 ACK 服務控制器可在 Kubernetes 工作流程內提供自動化憑證生命週期管理。當您在 Kubernetes 中建立 ACM 憑證資源時，ACK 控制器會執行下列動作：

1. 從產生憑證簽署請求 (CSR) 的 ACM 請求憑證。

1. 等待網域驗證完成，並讓 ACM 發出憑證。

1. 如果指定 `exportTo` 欄位， 會匯出發行的憑證和私有金鑰，並將其存放在您指定的 Kubernetes 秘密中。

1. 如果指定 `exportTo` 欄位且憑證符合續約資格， 會在過期前使用續約的憑證更新 Kubernetes Secret。

公開發行的憑證需要[網域驗證](https://docs.aws.amazon.com//acm/latest/userguide/dns-validation.html)，ACM 才能發行它們。您可以使用 [Amazon Route 53 的 ACK 服務控制器](https://github.com/aws-controllers-k8s/route53-controller)，在您的託管區域中自動建立所需的 DNS 驗證 CNAME 記錄。

## 憑證使用選項
<a name="kubernetes-ack-certificate-usage"></a>

您可以透過幾種方式搭配 Kubernetes 使用 ACM 憑證：

![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/images/kubernetes-acm.png)


1. *負載平衡器終止 （不含匯出）*：透過 ACK 發行憑證，並使用它們在 AWS 負載平衡器終止 TLS。憑證會保留在 ACM 中，並由[AWS Load Balancer控制器](https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.1/guide/ingress/cert_discovery/)自動探索。此方法不需要匯出憑證。

1. *傳入終止 （含匯出）*：從 ACM 匯出憑證，並將其存放在 Kubernetes Secrets 中，以在傳入層級進行 TLS 終止。這可讓您直接在 Kubernetes 工作負載中使用憑證。

**注意**  
如需需要私有憑證的使用案例，請參閱 [AWS Private CA Connector for Kubernetes](https://docs.aws.amazon.com//privateca/latest/userguide/PcaKubernetes-concepts.html)，這是一個 cert-manager 外掛程式。

## 先決條件
<a name="kubernetes-ack-prerequisites"></a>

安裝適用於 ACM 的 ACK 服務控制器之前，請確定您有下列項目：
+ Kubernetes 叢集。
+ 已安裝 Helm。
+ 設定好的 `kubectl`，以便與叢集通訊。
+ `eksctl` 安裝用於在 EKS 上設定 Pod 身分關聯。

## 安裝 ACM 的 ACK 服務控制器
<a name="kubernetes-ack-installation"></a>

使用 Helm 在 Amazon EKS 叢集中安裝 ACM 的 ACK 服務控制器。

1. 建立 ACK 控制器的命名空間。

   ```
   $ kubectl create namespace ack-system --dry-run=client -o yaml | kubectl apply -f -
   ```

1. 建立 ACK 控制器的 Pod 身分關聯。將 *CLUSTER\$1NAME* 取代為您的叢集名稱，並將 *REGION* 取代為您的 AWS 區域。

   ```
   $ eksctl create podidentityassociation --cluster CLUSTER_NAME --region REGION \
       --namespace ack-system \
       --create-service-account \
       --service-account-name ack-acm-controller \
       --permission-policy-arns arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess
   ```

1. 登入 Amazon ECR Public 登錄檔。

   ```
   $ aws ecr-public get-login-password --region us-east-1 | helm registry login --username AWS --password-stdin public.ecr.aws
   ```

1. 安裝 ACM 的 ACK 服務控制器。將 *REGION* 取代為您的 AWS 區域。

   ```
   $ helm install -n ack-system ack-acm-controller oci://public.ecr.aws/aws-controllers-k8s/acm-chart --set serviceAccount.create=false --set serviceAccount.name=ack-acm-controller --set aws.region=REGION
   ```

1. 驗證控制器是否正在執行。

   ```
   $ kubectl get pods -n ack-system
   ```

如需 Pod 身分關聯的詳細資訊，請參閱《*Amazon *[EKS 使用者指南》中的 EKS Pod 身分](https://docs.aws.amazon.com//eks/latest/userguide/pod-identities.html)。

## 範例：在傳入終止 TLS
<a name="kubernetes-ack-example"></a>

下列範例示範如何匯出 ACM 憑證，並使用它在 Kubernetes 傳入層級終止 TLS。此組態會建立 ACM 憑證，將其匯出至 Kubernetes Secret，並設定傳入資源以使用憑證進行 TLS 終止。

在此範例中：
+ 建立秘密以存放匯出的憑證 (`exported-cert-secret`)
+ ACK 憑證資源會為您的網域向 ACM 請求憑證，並將其匯出至`exported-cert-secret`秘密。
+ 傳入資源參考 `exported-cert-secret`來終止傳入流量的 TLS。

將 取代`${HOSTNAME}`為您的網域名稱。

```
apiVersion: v1
kind: Secret
type: kubernetes.io/tls
metadata:
  name: exported-cert-secret
  namespace: demo-app
data:
  tls.crt: ""
  tls.key: ""
---
apiVersion: acm.services.k8s.aws/v1alpha1
kind: Certificate
metadata:
  name: exportable-public-cert
  namespace: demo-app
spec:
  domainName: ${HOSTNAME}
  options:
    certificateTransparencyLoggingPreference: ENABLED
  exportTo: 
    namespace: demo-app
    name: exported-cert-secret
    key: tls.crt
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-traefik
  namespace: demo-app
spec:
  tls:
  - hosts:
    - ${HOSTNAME}
    secretName: exported-cert-secret
  ingressClassName: traefik
  rules:
  - host: ${HOSTNAME}
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: whoami
            port:
              number: 80
```

部署後，適用於 ACM 的 ACK 服務控制器會自動管理憑證生命週期，包括續約。當 ACM 續約憑證時，控制器會使用新憑證更新`exported-cert-secret`秘密，確保您的傳入繼續使用有效的憑證，而無需手動介入。

# 撤銷 AWS Certificate Manager 公有憑證
<a name="revoke-certificate"></a>

您可以使用 ACM 主控台 AWS CLI或 API 動作撤銷可 AWS Certificate Manager 匯出的公有憑證。

**警告**  
撤銷憑證之後，您就無法重複使用憑證。撤銷憑證是永久的。

您可能需要撤銷憑證，以符合組織的政策或緩解金鑰洩露。撤銷憑證時需要一個原因。可使用下列原因：
+ 未指定
+ 關聯已變更
+ 已取代
+ 停止操作

若要進一步了解，請參閱 [Amazon Trust Services 憑證訂閱者協議](https://www.amazontrust.com/repository/sa-1.3.pdf)和 [Amazon Trust Service](https://www.amazontrust.com/repository/)。

AWS 提供兩種檢查憑證撤銷的服務：線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單。使用 OCSP，用戶端會查詢授權撤銷資料庫，以即時傳回狀態。OCSP 取決於內嵌在憑證中的驗證資訊。

## 考量事項
<a name="revoke-considerations"></a>

以下是撤銷憑證前的考量事項：
+ 您只能撤銷先前匯出的憑證。
+ 您無法撤銷[不可匯出的公有憑證](acm-exportable-certificates.md)。如果您不再需要這些憑證，您應該改為[將其刪除](gs-acm-delete.md)。
+ 如果您不再需要憑證，您應該[刪除憑證](gs-acm-delete.md)，而不是撤銷憑證。
+ 憑證撤銷程序是全域的。您選擇撤銷的所有有效憑證都會與其相關聯的 ARNs一併撤銷。
+ 憑證撤銷是永久的。您無法擷取撤銷的憑證以重複使用。
+ 憑證撤銷最多可能需要 24 小時才會生效。

## 撤銷憑證 （主控台）
<a name="revoke-certificate-console"></a>

下列程序會逐步解說如何撤銷 ACM 公有或私有憑證。

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 開啟 ACM 主控台。

1. 選擇**列出憑證**，然後選取您要撤銷之憑證的核取方塊。

   1. 或者，您可以選取憑證。在憑證詳細資訊頁面中，選取**撤銷**。

1. 選擇**更多動作**，然後選擇**撤銷**。

1. 出現對話方塊，您必須提供撤銷原因，輸入 **revoke**，然後選擇**撤銷**。

## 撤銷憑證 (AWS CLI)
<a name="revoke-certificate-cli"></a>

使用 [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 命令或 [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html) API 動作來撤銷 ACM 公有或私有憑證。您可以呼叫 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)命令來擷取憑證的 ARN。

```
$ aws acm revoke-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
    --revocation-reason "UNSPECIFIED"
```

**警告**  
撤銷憑證之後，您就無法重複使用憑證。撤銷憑證是永久的。

以下是 `revoke-certificate`命令的輸出。

```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```

# 設定自動續約事件
<a name="configure-auto-renewals-events"></a>

透過可 AWS Certificate Manager 匯出的公有憑證和 Amazon EventBridge，您可以設定自動憑證續約事件。

1. 設定 Amazon EventBridge 事件以監控憑證續約。如需詳細資訊，請參閱 [ACM 的 Amazon EventBridge 支援](https://docs.aws.amazon.com//acm/latest/userguide/cloudwatch-events.html)。

1. 建立自動化以在續約時處理憑證部署。如需詳細資訊，請參閱[在 ACM 中使用 Amazon EventBridge 啟動動作](example-actions.md)。

1. 設定 EventBridge 事件，以提醒您任何續約或部署失敗。

# 強制憑證續約
<a name="force-certificate-renewal"></a>

您可以使用 ACM 主控台、[renew-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI或 [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) API 動作來續約 ACM 公有和私有憑證。您只能續約先前匯出的憑證。

**重要**  
當您續約 ACM 匯出公有憑證時，需支付額外費用。如需最新的 ACM 定價資訊，請參閱 AWS 網站上的[AWS Certificate Manager 服務定價](https://aws.amazon.com//certificate-manager/pricing/)頁面。

## 續約憑證 （主控台）
<a name="renew-certificate-console"></a>

下列程序會逐步解說如何強制續約 ACM 公有或私有憑證。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 的 ACM 主控台。

1. 選擇**列出憑證**，然後選取您要續約之憑證的核取方塊。

   1. 或者，您可以選取憑證。在憑證詳細資訊頁面中，選取**續約**。

1. 選擇**更多動作**，然後選擇**續約**。

1. 隨即出現對話方塊，您必須在其中輸入 **renew**，然後選擇**續約**。

## 續約憑證 (AWS CLI)
<a name="renew-certificate-cli"></a>

使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI 命令或 [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) API 動作來續約 ACM 公有或私有憑證。您可以呼叫 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html)命令來擷取憑證的 ARN。`renew-certificate` 命令不會傳回回應。

```
$ aws acm renew-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012
```

# 驗證 AWS Certificate Manager 公有憑證的網域擁有權
<a name="domain-ownership-validation"></a>

 AWS Certificate Manager (ACM) 必須證明您擁有或控制請求中指定的所有網域名稱，Amazon 憑證授權機構 (CA) 才能為您的網站發行憑證。當您請求憑證時，您可以選擇使用網域名稱系統 (DNS) 驗證、電子郵件驗證或 HTTP 驗證來證明擁有權。

**注意**  
驗證僅適用於 ACM 發行的公開信任憑證。ACM 不會為[匯入的憑證](import-certificate.md)或由私有 CA 簽署的憑證驗證網域所有權。ACM 無法驗證 Amazon VPC [私有託管區域](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones)或任何其他私有網域中的資源。如需詳細資訊，請參閱[對憑證驗證進行故障診斷](certificate-validation.md)。

我們建議您在電子郵件驗證時使用 DNS 驗證，原因如下：
+ 如果您使用 Amazon Route 53 管理您的公有 DNS 記錄，可以直接透過 ACM 更新您的記錄。
+ 只要憑證使用中，而且保有 CNAME 記錄，ACM 便會自動續約經 DNS 驗證的憑證。
+ 電子郵件驗證的憑證需要網域擁有者續約 動作。ACM 開始在過期前 45 天傳送續約通知。這些通知會前往網域的五個常見管理員地址中的一個或多個。通知中包含網域擁有者可點選的連結，方便進行續約。驗證所有列出的網域後，ACM 會發行具有相同 ARN 的續約憑證。

如果您無法編輯網域的 DNS 資料庫，則必須改用[電子郵件驗證](email-validation.md)。

HTTP 驗證適用於與 CloudFront 搭配使用的憑證。此方法使用 HTTP 重新導向來證明網域擁有權，並提供類似於 DNS 驗證的自動續約。

**注意**  
使用電子郵件驗證建立憑證之後，您無法切換為使用 DNS 進行驗證。若要使用 DNS 驗證，請刪除憑證，然後建立使用 DNS 驗證的新憑證。

**Topics**
+ [AWS Certificate Manager DNS 驗證](dns-validation.md)
+ [AWS Certificate Manager 電子郵件驗證](email-validation.md)
+ [AWS Certificate Manager HTTP 驗證](http-validation.md)

# AWS Certificate Manager DNS 驗證
<a name="dns-validation"></a>

網域名稱系統 (DNS) 是一個目錄服務，適用於連接到網路的資源。您的 DNS 供應商會維護一個資料庫，其中包含定義您網域的記錄。當您選擇 DNS 驗證，ACM 會提供一或多個 CNAME 記錄，這些記錄必須新增至此資料庫中。這些記錄包含唯一的鍵值組，可作為您控制網域的證明。

**注意**  
使用電子郵件驗證建立憑證之後，您無法切換為使用 DNS 進行驗證。若要使用 DNS 驗證，請刪除憑證，然後建立使用 DNS 驗證的新憑證。

例如，如果您為 `example.com` 網域請求憑證，並以 `www.example.com` 做為額外名稱，ACM 會為您建立兩筆 CNAME 記錄。每個專為您的網域和帳戶建立的記錄皆包含名稱和值。此值是指向 ACM 用來自動續約憑證的 AWS 網域的別名。必須將 CNAME 記錄新增到 DNS 資料庫一次。只要憑證使用中，而且保有 CNAME 記錄，ACM 便會自動續約憑證。

**重要**  
如果您不是使用 Amazon Route 53 來管理公有 DNS 記錄，請聯絡您的 DNS 供應商以了解如何新增記錄。如果您沒有編輯網域 DNS 資料庫的授權，則必須改用[電子郵件驗證](email-validation.md)。

無需重複驗證，只要保有 CNAME 記錄，您就可以為完整網域名稱 (FQDN) 請求額外的 ACM 憑證。也就是說，您可以建立具有相同網域名稱的替代憑證，或建立涵蓋不同子網域的憑證。由於 CNAME 驗證字符適用於任何 AWS 區域，因此您可以在多個區域中重新建立相同的憑證。您也可以取代已刪除的憑證。

您可以從 AWS 服務移除相關聯的憑證或刪除 CNAME 記錄，以停止自動續約。如果您的 DNS 供應商不是 Route 53，請聯絡您的供應商，了解如何刪除記錄。如果您的供應商是 Route 53，請參閱 *Route 53 開發人員指南*中的[刪除資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html)。如需受管的憑證續約的詳細資訊，請參閱「[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md)」。

**注意**  
如果您的 DNS 組態中有超過五個 CNAME 鏈結在一起，CNAME 解析將會失敗。如果您需要更長的鏈結，建議使用[電子郵件驗證](email-validation.md)。

## ACM 的 CNAME 記錄運作方式
<a name="cnames-overview"></a>

**注意**  
本節適用於採用 Route 53 做為 DNS 供應商的客戶。

如果您不是使用 Route 53 做為 DNS 供應商，則需要手動將 ACM 提供的 CNAME 記錄輸入供應商的資料庫 (通常是透過網站操作)。CNAME 記錄用於許多用途，包括重新引導機制以及供應商專屬中繼資料的容器。對 ACM 來說，有了這些記錄，才能進行初始網域所有權驗證和持續自動化憑證續約。

下表顯示六個網域名稱的 CNAME 記錄範例。每筆記錄的**記錄名稱**-**記錄值**配對用於驗證網域名稱所有權。

請注意，在表格中，前兩個**記錄名稱**-**記錄值**配對是相同的。這說明了對於萬用字元網域，例如 `*.example.com`，ACM 建立的字串與其基本網域 建立的字串相同`example.com`。若非如此，每個網域名稱的配對**記錄名稱**和**記錄值**會有所不同。


**CNAME 記錄範例**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/dns-validation.html)

底線 ( \$1 ) 後的 *xN* 值為 ACM 產生的長字串。例如：

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

代表產生的**記錄名稱**。相關聯的**記錄值**可能是

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

針對相同的 DNS 記錄。

**注意**  
如果您的 DNS 供應商不支援包含前置底線的 CNAME 值，請參閱[針對 DNS 驗證問題進行疑難排解](troubleshooting-DNS-validation.md)。

當您請求憑證並指定 DNS 驗證時，ACM 會以下列格式提供 CNAME 資訊：


****  

| 網域名稱 | 記錄名稱 | 記錄類型 | 記錄值 | 
| --- | --- | --- | --- | 
| example。com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com。 | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws。  | 

*網域名稱*是憑證的相關聯 FQDN。*記錄名稱*為鍵值組的索引鍵，能唯一識別記錄。*記錄值*為鍵值組的值。

這三個值 (*Domain Name* (網域名稱)、*Record Name* (記錄名稱) 和 *Record Value* (記錄值)) 都必須輸入 DNS 供應商 Web 介面上用於新增 DNS 記錄的適用欄位中。供應商處理記錄名稱 (或單純「名稱」) 欄位的做法不一致。在某些情況下，您應該提供整個字符串，如上所示。其他供應商會自動將網域名稱附加到您輸入的任何字串中，這表示 (在本例中) 您應該只輸入

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

到名稱欄位中。如果您猜錯了，並輸入包含網域名稱 (例如 *`.example.com`*） 的記錄名稱，最終可能會產生以下結果：

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

在這種情況下，驗證將會失敗。因此，您應該試著事先確定您的供應商所期望的輸入類型。

## 設定 DNS 驗證
<a name="setting-up-dns-validation"></a>

本節說明如何設定公有憑證以使用 DNS 驗證。<a name="dns-validation-console"></a>

**在主控台上設定 DNS 驗證**
**注意**  
此程序假設您已建立至少一個憑證，而且您正在建立憑證的 AWS 區域中工作。如果您嘗試開啟主控台並改為看到第一次使用畫面，或者您成功開啟主控台，但未在清單中看到您的憑證，請確認您已指定正確的區域。

1. 前往 [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 開啟 ACM 主控台。

1. 在憑證清單中，選擇具有您想要設定的 **Pending validation（待定驗證）**狀態的憑證之 **Certificate ID（憑證 ID）**。此動作會開啟憑證的詳細資料頁面。

1. 在 **Domains（網域）**部分中，完成下列兩個程序之一：

   1. (選用) 使用 Route 53 進行驗證。

      **Create records in Route 53（在 Route 53 中建立記錄）**按鈕會在符合以下情況時顯示：
      + 您使用 Route 53 做為 DNS 供應商。
      + 您擁有寫入 Route 53 託管區域的許可。
      + 您的 FQDN 未**經驗證。
**注意**  
如果您實際上使用 Route 53，但 ** Route 53 中的建立記錄**遺失或停用，請參閱 [ACM 主控台未顯示「在 Route 53 中建立記錄」按鈕](troubleshooting-DNS-validation.md#troubleshooting-route53-1)。

      選擇在 ** Route 53 中建立記錄**，然後選擇**建立記錄**。所以此 **Certificate status（憑證狀態）**頁面應該開啟並顯示狀態橫幅報告 **Successfully created DNS records（成功建立 DNS 記錄）**。

      您的新憑證可能會繼續顯示 **Pending validation（待定驗證）**狀態最多 30 分鐘。
**提示**  
您無法透過編寫程式的方式請求 ACM 自動在 Route 53 中建立記錄。不過，您可以對 Route 53 進行 AWS CLI 或 API 呼叫，以在 Route 53 DNS 資料庫中建立記錄。如需有關 Route 53 記錄集的詳細資訊，請參閱[使用 Route 53使用資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。

   1. (選用) 如果您不是使用 Route 53 做為 DNS 供應商，您必須擷取 CNAME 資訊並新增至 DNS 資料庫。在新憑證的詳細資訊頁面上，您可透過以下兩種方式執行此操作：
      + 複製顯示在 **Domains（網域）**部分的 CNAME 元件。這些資訊需手動新增至 DNS 資料庫。
      + 或者，選擇 **Export to CSV（匯出至 CSV）**。結果檔案中的資訊需手動新增至 DNS 資料庫。
**重要**  
為避免驗證問題，請先檢閱「[ACM 的 CNAME 記錄運作方式](#cnames-overview)」，再將資訊新增至您 DNS 供應商的資料庫。如果您遇到問題，請參閱「[針對 DNS 驗證問題進行疑難排解](troubleshooting-DNS-validation.md)」。

如果 ACM 無法在為您產生 CNAME 值後的 72 小時內驗證網域名稱，ACM 會將憑證狀態變更為 **Validation timed out (驗證逾時)**。此結果最有可能的原因是您未使用 ACM 產生的值成功更新 DNS 組態。若要修正此問題，您必須在檢閱 CNAME 指示之後請求新憑證。

# AWS Certificate Manager 電子郵件驗證
<a name="email-validation"></a>

 AWS Certificate Manager (ACM) 必須驗證您擁有或控制請求中指定的所有網域，Amazon 憑證授權機構 (CA) 才能為您的網站發行憑證。您可以使用電子郵件或 DNS 執行驗證。此主題討論電子郵件驗證。

如果您在使用電子郵件驗證時遇到問題，請參閱[針對電子郵件驗證問題進行疑難排解](troubleshooting-email-validation.md)。

## 電子郵件驗證的運作方式
<a name="how-email-validation-works"></a>

ACM 會為每個網域傳送驗證電子郵件訊息到以下五個常見的系統電子郵件。或者，如果您想要改為在該網域接收這些電子郵件，您可以將超級網域指定為驗證網域。最小網站地址之前的任何子網域都是有效的，並在 之後用作電子郵件地址的網域`@`。例如，如果您將 example.com 指定為 的驗證網域，則可能會收到 admin@example.com 的電子郵件 subdomain.example.com 。
+ administrator@your\$1domain\$1name
+ hostmaster@your\$1domain\$1name
+ postmaster@your\$1domain\$1name
+ webmaster@your\$1domain\$1name
+ admin@your\$1domain\$1name

若要證明您擁有網域，您必須選取這些電子郵件中包含的驗證連結。ACM 也會傳送驗證電子郵件到這些相同的地址，以在憑證過期後 45 天續約憑證。

使用 ACM API 或 CLI 對多網域憑證請求進行電子郵件驗證，會導致每個請求的網域傳送電子郵件訊息，即使請求包含請求中其他網域的子網域。網域擁有者必須先驗證每個網域的電子郵件訊息，ACM 才能發行憑證。

**此程序的例外情況**  
如果您為開頭為 **www**或萬用字元星號 (**\$1**) 的網域名稱請求 ACM 憑證，ACM 會移除前置**www**或星號，並傳送電子郵件到管理地址。這些地址的形成方式是在網域名稱的剩餘部分加上 admin@、admin@、hostmaster@、postmaster@ 和 webmaster@。例如，如果您為 www.example.com 請求 ACM 憑證，則電子郵件會傳送到 admin@example.com，而非 admin@www.example.com。同樣地，如果您為 \$1.test.example.com 請求 ACM 憑證，則電子郵件會傳送到 admin@test.example.com。其餘的常用管理地址也是以類似方式形成。

**重要**  
ACM 不再支援新憑證或續約的 WHOIS 電子郵件驗證。常用系統地址仍受支援。如需詳細資訊，請參閱[部落格文章](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/)。

## 考量事項
<a name="certificate-considerations"></a>

請遵循以下有關電子郵件驗證的注意事項。
+ 您需要在您的網域中註冊一個有效的電子郵件地址，才能使用電子郵件驗證。設定電子郵件地址的程序不在本指南的說明範圍內。
+ 驗證僅適用於 ACM 發行的公開信任憑證。ACM 不會為[匯入的憑證](import-certificate.md)或由私有 CA 簽署的憑證驗證網域所有權。ACM 無法驗證 Amazon VPC [私有託管區域](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones)或任何其他私有網域中的資源。如需詳細資訊，請參閱[對憑證驗證進行故障診斷](certificate-validation.md)。
+ 使用電子郵件驗證建立憑證之後，您無法切換為使用 DNS 進行驗證。若要使用 DNS 驗證，請刪除憑證，然後建立使用 DNS 驗證的新憑證。

## 憑證過期日期和續約
<a name="renewal"></a>

ACM 憑證的有效期為 198 天。續約憑證需要網域擁有者執行動作。ACM 會在過期前 45 天開始將續約通知傳送至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下以進行續約的連結。驗證所有列出的網域後，ACM 會發行具有相同 ARN 的續約憑證。

## （選用） 重新傳送驗證電子郵件
<a name="gs-acm-resend"></a>

每封驗證電子郵件皆包含符記，可用於核准憑證要求。不過，因為核准流程所需的驗證電子郵件可能會遭垃圾郵件篩選器封鎖，或在傳輸中遺失，因此符記會在 72 小時後自動過期。如果您沒有收到原始電子郵件或符記已過期，您可以要求重新傳送電子郵件。如需如何重新傳送驗證電子郵件的資訊，請參閱 [重新傳送驗證電子郵件](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

若電子郵件驗證持續發生問題，請參閱[對 的問題進行故障診斷 AWS Certificate Manager](troubleshooting.md)中的[針對電子郵件驗證問題進行疑難排解](troubleshooting-email-validation.md)一節。

# 自動化 AWS Certificate Manager 電子郵件驗證
<a name="email-automation"></a>

透過電子郵件驗證的 ACM 憑證通常需要網域擁有者手動操作。組織如需處理大量透過電子郵件驗證的憑證，可能會偏好建立可自動執行所需回應的剖析器。為了協助客戶使用電子郵件驗證，本節中的資訊說明用於網域驗證電子郵件訊息範本，以及完成驗證程序所涉及的工作流程。

## 驗證電子郵件範本
<a name="validation-email-template"></a>

驗證電子郵件訊息具有下列兩種格式之一，具體取決於要求新憑證還是續約現有憑證。反白顯示字串的內容應取代為待驗證網域的專屬值。

### 驗證新憑證
<a name="new-template"></a>

電子郵件範本文字：

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### 驗證憑證以進行續約
<a name="renewal-template"></a>

電子郵件範本文字：

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

一旦您收到來自 的新驗證訊息 AWS，我們建議您將其用作剖析器up-to-date和授權範本。客戶若使用 2020 年 11 月之前設計的訊息剖析器，應注意可能已對範本進行下列變更：
+ 電子郵件主旨行現在為「`Certificate request for domain name`」而不是「`"Certificate approval for domain name`」。
+ `AWS account ID` 現在會以不含破折號或連字號的形式呈現。 
+ `Certificate Identifier` 現在呈現了整個憑證 ARN 而不是縮短的形式，例如，`arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` 而不是 `3b4d78e1-0882-4f51-954a-298ee44ff369`。
+ 憑證核准 URL 現在包含 `acm-certificates.amazon.com` 而不是 `certificates.amazon.com`。
+ 按一下憑證核准 URL 所開啟的核准表單現在包含核准按鈕。核准按鈕 div 的名稱現在是 `approve-button` 而不是 `approval_button`。
+ 新請求的憑證和續約憑證的驗證訊息使用相同的電子郵件格式。

## 驗證工作流程
<a name="validation-workflow"></a>

本節提供電子郵件驗證憑證的續約工作流程的相關資訊。
+ 當 ACM 主控台處理多網域憑證請求時，它會傳送驗證電子郵件訊息到您請求公有憑證時指定的網域名稱或驗證網域。網域擁有者必須先驗證每個網域的電子郵件訊息，ACM 才能發行憑證。如需詳細資訊，請參閱[使用電子郵件驗證網域所有權](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html)。
+ 使用 ACM API 或 CLI 對多網域憑證請求進行電子郵件驗證，會導致每個請求的網域傳送電子郵件訊息，即使請求包含請求中其他網域的子網域。網域擁有者必須先驗證每個網域的電子郵件訊息，ACM 才能發行憑證。

  如果您透過 ACM 主控台重新傳送電子郵件給現有憑證，電子郵件會傳送至原始憑證請求中指定的驗證網域，如果未指定驗證網域，則會傳送至確切的網域。若要在不同的網域接收驗證電子郵件，您可以請求新的憑證，指定要用於驗證的驗證網域。或者，您可以使用 API、 SDK 或 CLI 使用 `ValidationDomain` 參數呼叫 [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)。不過，`ResendValidationEmail`請求中指定的驗證網域僅用於該呼叫，不會儲存到憑證 Amazon Resource Name (ARN) 以供未來驗證電子郵件使用。每次您想要以原始憑證請求中未指定的網域名稱接收驗證電子郵件`ResendValidationEmail`時，都必須呼叫 。
**注意**  
在 2020 年 11 月之前，客戶只需要驗證頂層網域，ACM 就會發行同樣涵蓋任何子網域的憑證。在該時間之前設計訊息剖析器的客戶，應注意電子郵件驗證工作流程有所變更。
+ 使用 ACM API 或 CLI 時，您可以強制將多網域憑證請求的所有驗證電子郵件訊息傳送至頂層網域。在 API 中，使用 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 動作的 `DomainValidationOptions` 參數來指定 `ValidationDomain` 的值，其為 [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html) 類型的成員。在 CLI 中，使用 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令的 **--domain-validation-options** 參數來指定 `ValidationDomain` 的值。

# AWS Certificate Manager HTTP 驗證
<a name="http-validation"></a>

超文字傳輸通訊協定 (HTTP) 是全球資訊網上資料通訊的基礎通訊協定。當您為與 CloudFront 搭配使用的憑證選擇 HTTP 驗證時，ACM 會利用此通訊協定來驗證您的網域擁有權。ACM 可與 CloudFront 搭配使用，為您提供特定的 URL 和唯一的權杖，該權杖必須在網域上的該 URL 上進行存取。此字符可做為您控制網域的證明。透過設定從網域重新導向至 CloudFront 基礎設施內的 ACM 控制位置，您可以示範修改網域上內容的能力，藉此驗證您的擁有權。ACM 和 CloudFront 之間的無縫整合可簡化憑證發行程序，尤其是 CloudFront 分發。

**重要**  
HTTP 驗證不支援萬用字元網域憑證 （例如 \$1.example.com)。對於萬用字元憑證，您必須改用 DNS 驗證或電子郵件驗證。

例如，如果您使用 CloudFront 為 `example.com` 網域請求憑證`www.example.com`作為額外的名稱，ACM 會為您提供兩組 URLs以進行 HTTP 驗證。每個集合都包含 `redirectFrom` URL 和 `redirectTo` URL，專為您的網域和 AWS 帳戶建立。`redirectFrom` URL 是您網域上需要設定的路徑 （例如 `http://example.com/.well-known/pki-validation/example.txt`)。`redirectTo` URL 指向 CloudFront 基礎設施中存放唯一驗證字符的 ACM 控制位置。您只需要設定這些重新導向一次。當憑證授權機構嘗試驗證您的網域擁有權時，它會從 `redirectFrom` URL 請求檔案，CloudFront 會將該 URL 重新導向至 `redirectTo` URL，以允許存取驗證字符。只要憑證與 CloudFront 搭配使用，且您的重新導向仍然存在，ACM 就會自動續約您的憑證。

使用 CloudFront 為完整網域名稱 (FQDN) 設定 HTTP 驗證後，您可以為該 FQDN 請求額外的 ACM 憑證，而無需重複驗證程序，只要 HTTP 重新導向仍然存在。這表示您可以使用相同的網域名稱建立替代憑證。如果重新導向仍處於作用中狀態，您也可以取代已刪除的憑證，而無需再次進行驗證程序。

若要停止 HTTP 驗證憑證的自動續約，您有兩個選項。您可以從與其相關聯的 CloudFront 分佈中移除憑證，也可以刪除您設定用於驗證的 HTTP 重新導向。如果您使用 CloudFront 以外的內容交付網路 (CDN) 或 Web 伺服器來管理重新導向，請參閱其文件以了解如何移除重新導向。如果您使用 CloudFront 來管理重新導向，您可以透過更新分佈的組態來移除重新導向。如需受管的憑證續約的詳細資訊，請參閱「[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md)」。請記住，停止自動續約可能會導致憑證過期，這可能會中斷您的 HTTPS 流量。

## ACM 的 HTTP 重新導向如何運作
<a name="http-redirects-overview"></a>

**注意**  
本節適用於使用 CloudFront 進行內容交付和 ACM 進行 SSL/TLS 憑證管理的客戶。

搭配 ACM 和 CloudFront 使用 HTTP 驗證時，您需要設定 HTTP 重新導向。這些重新導向可讓 ACM 驗證您的網域擁有權，以進行初始憑證發行和持續自動續約。重新導向機制的運作方式是將網域上的特定 URL 指向 CloudFront 基礎設施中存放唯一驗證字符的 ACM 控制位置。

下表顯示網域名稱的重新導向組態範例。請注意，HTTP 驗證不支援萬用字元網域 （例如 \$1.example.com)。每個組態的**重新導向自****重新導向至** 對都可用來驗證網域名稱擁有權。


**HTTP 重新導向組態範例**  

| 網域名稱 | 從 重新導向 | 重新導向至 | Comment | 
| --- | --- | --- | --- | 
| example。com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  唯一  | 
| www.example.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  唯一  | 
| host.example.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  唯一  | 
| subdomain.example.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  唯一  | 
| host.subdomain.example.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  唯一  | 

檔案名稱中的 *xN* 值和 ACM 控制網域中的 *yN* 值是 ACM 產生的唯一識別符。例如 

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

代表產生的**重新導向來源** URL。關聯的**重新導向至** URL 可能是

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

相同的驗證記錄。

**注意**  
如果您的 Web 伺服器或內容交付網路不支援在指定路徑設定重新導向，請參閱[對 HTTP 驗證問題進行故障診斷](troubleshooting-HTTP-validation.md)。

當您請求憑證並指定 HTTP 驗證時，ACM 會以下列格式提供重新導向資訊：


****  

| 網域名稱 | 從 重新導向 | 重新導向至 | 
| --- | --- | --- | 
| example。com | http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt | 

*網域名稱*是憑證的相關聯 FQDN。*Redirect From* 是您網域上的 URL，ACM 會在其中尋找驗證檔案。*重新導向至* 是託管實際驗證檔案的 ACM 控制 URL。

您需要設定 Web 伺服器或 CloudFront 分佈，將請求從*重新導向自 URL *重新導向至*重新導向至* URL。設定此重新導向的確切方法取決於您的 Web 伺服器軟體或 CloudFront 組態。確保正確設定重新導向，以允許 ACM 驗證您的網域擁有權，並發行或續約您的憑證。

## 設定 HTTP 驗證
<a name="setting-up-http-validation"></a>

ACM 在發行公有 SSL/TLS 憑證以搭配 CloudFront 使用時，會使用 HTTP 驗證來驗證您的網域擁有權。本節說明如何設定公有憑證以使用 HTTP 驗證。<a name="http-validation-console"></a>

**在主控台中設定 HTTP 驗證**
**注意**  
此程序假設您已透過 CloudFront 請求憑證，而且您正在建立憑證的 AWS 區域中工作。HTTP 驗證只能透過 CloudFront 分佈租用戶功能使用。

1. 前往 [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/) 開啟 ACM 主控台。

1. 在憑證清單中，選擇具有您想要設定的 **Pending validation（待定驗證）**狀態的憑證之 **Certificate ID（憑證 ID）**。此動作會開啟憑證的詳細資料頁面。

1. 在**網域**區段中，您可以查看憑證請求中每個網域的**重新導向來源**和**重新導向至**值。

1. 對於每個網域，設定從 **URL 重新導向**至 URL 的 HTTP **重新導向**。您可以透過 CloudFront 分佈組態執行此操作。

1. 設定您的 CloudFront 分佈，將請求從**重新導向自 URL **重新導向至**重新導向至** URL。設定此重新導向的方法取決於您的 CloudFront 組態。

1. 設定重新導向之後，ACM 會自動嘗試驗證您的網域擁有權。此程序最多需要 30 分鐘的時間。

如果 ACM 無法在為您產生重新導向值的 72 小時內驗證網域名稱，ACM 會將憑證狀態變更為**驗證逾時**。此結果最可能的原因是您未成功設定 HTTP 重新導向。若要修正此問題，您必須在檢閱重新導向指示後請求新的憑證。

**重要**  
為了避免驗證問題，請確定**重新導向來源**位置的內容與**重新導向至**位置的內容相符。如果您遇到問題，請參閱[故障診斷 HTTP 驗證問題](troubleshooting-HTTP-validation.md)。

**注意**  
與 DNS 驗證不同，您無法以程式設計方式請求 ACM 自動建立 HTTP 重新導向。您必須透過 CloudFront 分佈設定來設定這些重新導向。

如需 HTTP 驗證如何運作的詳細資訊，請參閱 [ACM 的 HTTP 重新導向如何運作](#http-redirects-overview)。