本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 匯入 ACM 憑證的先決條件 若要將自我簽署的 SSL/TLS 憑證匯入 ACM,您必須提供憑證及其私有金鑰兩者皆需要。若要匯入非 AWS  憑證授權機構 (CA) 簽署的憑證,您還必須納入憑證的私有和公有金鑰。您的憑證必須滿足此主題中所描述的所有條件。 對所有匯入的憑證,您必須指定密碼編譯演算法和金鑰大小。ACM 支援下列演算法 (括號中為 API 名稱): + RSA 1024 位元 (`RSA_1024`) + RSA 2048 位元 (`RSA_2048`) + RSA 3072 位元 (`RSA_3072`) + RSA 4096 位元 (`RSA_4096`) + ECDSA 256 位元 (`EC_prime256v1`) + ECDSA 384 位元 (`EC_secp384r1`) + ECDSA 521 位元 (`EC_secp521r1`) 另請注意以下額外要求: + 請注意,ACM [整合服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)僅允許支援的演算法和金鑰大小與其資源建立關聯。例如,CloudFront 僅支援 1024 位元 RSA、2048 位元 RSA、3072 位元 RSA、4096 位元 RSA 和 Elliptic Prime Curve 256 位元金鑰,而 Application Load Balancer 支援 ACM 提供的所有演算法。如需詳細資訊,請參閱您所使用服務的說明文件。 + 憑證必須是 SSL/TLS X.509 版本 3 憑證。憑證必須包含公開金鑰、網站的完整網域名稱 (FQDN) 或 IP 位址,以及發行者的相關資訊。 + 憑證可以由您擁有的私有金鑰自行簽署,或由核發 CA 的私有金鑰簽署。您必須提供不超過 5 KB (5,120 個位元組) 的私有金鑰,且必須未加密。 + 若憑證是由 CA 簽署,且您選擇提供憑證鏈,則憑證鏈必須採用 PEM 編碼。 + 憑證在匯入時必須有效。您無法在憑證有效期間開始前或過期後匯入憑證。`NotBefore` 憑證欄位包含有效期間開始日期和包含結束日期的 `NotAfter` 欄位。 + 所有要求的憑證材料(憑證、私有金鑰和憑證鏈)都必須採用 PEM 編碼。上傳 DER 編碼的材料會導致錯誤。如需詳細資訊和範例,請參閱 [用於匯入的憑證和金鑰格式](import-certificate-format.md)。 + 當您續約 (重新匯入) 憑證時,如果先前匯入的憑證中沒有`ExtendedKeyUsage`延伸模組,則無法新增 `KeyUsage`或 延伸模組 **例外狀況:**與先前的憑證相比,您可以重新匯入缺少 Client Authentication ExtendedKeyUsage 的憑證。這可因應憑證授權單位不再向 ClientAuth EKU 發行憑證以符合 Chrome 根程式要求的產業變更。 **重要** 如果您需要用戶端身分驗證功能,您必須在您的 端實作其他驗證,因為 ACM 不支援轉返至先前匯入的憑證。 + AWS CloudFormation 不支援將憑證匯入 ACM。