Domande frequenti su AWS Certificate Manager

Domande generali

Gestione certificati AWS (ACM) è un servizio che semplifica il provisioning, la gestione e la distribuzione di certificati Secure Sockets Layer/Transport Layer Security (SSL/TLS) pubblici e privati per l'uso con servizi AWS e risorse connesse interne. I certificati SSL/TLS sono utilizzati per rendere sicure le comunicazioni di rete e stabilire l'identità di siti Web su Internet e di risorse su reti private. ACM rimuove il lungo processo manuale di acquisto, caricamento e rinnovo dei certificati SSL/TLS. Con AWS Certificate Manager, puoi richiedere con la massima rapidità un certificato, distribuirlo sulle risorse AWS, ad esempio sistemi di bilanciamento del carico di Elastic Load Balancer, distribuzioni Amazon CloudFront o API nel gateway API, e consentire ad ACM di gestirne il rinnovo. Il servizio, inoltre, permette di creare certificati privati per le risorse interne e di gestirne il ciclo di vita in modo centralizzato. I certificati SSL/TLS pubblici e privati creati con ACM e utilizzati esclusivamente con i servizi integrati con ACM, ad esempio Elastic Load Balancing, Amazon CloudFront e il Gateway Amazon API, sono gratuiti. I prezzi sono calcolati in base alle risorse AWS che vengono create per eseguire l'applicazione. È prevista una tariffa mensile per il funzionamento di ciascuna CA privata finché non la cancelli e per i certificati privati emessi che non siano utilizzati esclusivamente con servizi integrati con ACM.

I certificati SSL/TLS consentono ai browser Web di identificare e stabilire connessioni di rete criptate per i siti Web che utilizzano il protocollo Sockets Layer/Transport Layer Security (SSL/TLS). I certificati vengono utilizzati all'interno di un sistema crittografico noto come infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). L'infrastruttura a chiave pubblica fornisce a una parte un modo per stabilire l'identità di una seconda parte mediante i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. Per ulteriori informazioni e definizioni, consulta l’argomento Concetti della guida per l’utente di ACM.

I certificati privati identificano le risorse interne a un'azienda, ad esempio applicazioni, servizi, dispositivi e utenti. Stabilendo un canale di comunicazione crittografato sicuro, ciascun endpoint usa un certificato e una tecnica di crittografia per provare la propria identità all'altro endpoint. Endpoint di API interni, server Web, utenti VPN, dispositivi IoT e molte altre applicazioni utilizzando certificati privati per stabilire canali di comunicazione crittografati necessari per la sicurezza.

Entrambi i tipi di certificati, pubblici e privati, aiutano i clienti a identificare le risorse in rete e a stabilire comunicazioni sicure tra tali risorse. I certificati pubblici identificano le risorse su connessioni Internet pubbliche, mentre i certificati privati eseguono le stesse operazioni su reti private. Una differenza importante è che le applicazioni e i browser ritengono affidabili i certificati pubblici automaticamente, mentre per ottenere lo stesso risultato con dei certificati privati è necessario configurare esplicitamente le applicazioni. Le autorità di certificazione pubblica, ovvero le entità che emettono certificati pubblici, devono seguire regole molto severe, offrire visibilità sulle proprie operazioni e soddisfare gli standard di sicurezza imposti produttori di browser e sistemi operativi, i quali decidono quali CA i propri prodotti riterranno affidabili. Le CA private sono gestite da aziende private; i loro amministratori possono creare regole personalizzate per l'emissione di certificati privati, ad esempio decidendo prassi di emissione e informazioni da includere. 

ACM semplifica l'implementazione della protezione SSL/TLS in un sito Web o un'applicazione sulla piattaforma AWS. ACM elimina molti dei processi manuali precedentemente associati all'utilizzo di e alla gestione dei certificati SSL/TLS. ACM contribuisce inoltre a evitare i tempi di fermo dovuti a una configurazione errata, alla revoca o alla scadenza di certificati attraverso la gestione dei rinnovi. È così possibile ottenere protezione SSL/TLS e gestire i certificati in modo più semplice. L'utilizzo dei protocolli SSL/TLS su siti Web pubblicati su Internet può contribuire a migliorarne il posizionamento nei motori di ricerca e a soddisfare i requisiti di conformità normativa per la crittografia dei dati in transito.

Utilizzando ACM per gestire i certificati, le relative chiavi private vengono protette e archiviate mediante best practice di gestione delle chiavi e crittografia avanzata. Con ACM, è possibile utilizzare Console di gestione AWS, interfaccia a riga di comando e API ACM per gestire in modo centralizzato tutti i certificati SSL/TLS di ACM in una regione AWS. ACM è integrato in altri servizi AWS, perciò è possibile richiedere un certificato SSL/TLS ed effettuarne il provisioning con sistemi di bilanciamento del carico Elastic Load Balancing o distribuzioni Amazon CloudFront utilizzando Console di gestione AWS, interfaccia a riga di comando o chiamate API.

ACM permette di gestire il ciclo di vita di certificati pubblici e privati. Le funzionalità di ACM dipendono da diversi fattori: se il certificato è privato o pubblico, come è stato ottenuto e dove sarà distribuito.

Certificati pubblici: puoi richiedere certificati pubblici emessi da Amazon in ACM. ACM gestisce il rinnovo e l'implementazione dei certificati pubblici utilizzati con servizi integrati con ACM, ad esempio Amazon CloudFront, Elastic Load Balancing e Gateway Amazon API.

Certificati privati: puoi scegliere di delegare la gestione dei certificati privati ad ACM. Impiegando questo metodo, ACM rinnova e distribuisce automaticamente i certificati utilizzati con servizi integrati con ACM, ad esempio Amazon CloudFront, Elastic Load Balancing e nel Gateway Amazon API. Questi certificati privati possono essere distribuiti con la massima facilità tramite Console di gestione AWS, API e interfaccia a riga di comando. È possibile esportare i certificati privati da ACM e utilizzarli con istanze EC2, container, server on-premise e dispositivi IoT. AWS Private CA rinnova automaticamente questi certificati e invia una notifica di Amazon CloudWatch quando il rinnovo è stato completato. È possibile scrivere codice lato client per scaricare certificati rinnovati e chiavi private e distribuirli con le applicazioni.

Certificati importati: per utilizzare un certificato di terze parti con Amazon CloudFront, Elastic Load Balancing o nel Gateway Amazon API, è necessario importarlo in ACM utilizzando Console di gestione AWS, interfaccia a riga di comando o API ACM. ACM non può rinnovare i certificati importati, ma può aiutarti a gestire il processo di rinnovo. Sarà pertanto l'utente a dover tenere sotto controllo la data di scadenza di questi certificati e a rinnovarli tempestivamente. Puoi utilizzare le metriche ACM CloudWatch per monitorare le date di scadenza di certificati importati e importare un nuovo certificato di terzi per sostituire quello in scadenza.

Per cominciare a usare ACM, apri la Console di gestione AWS e scegli Gestione certificati, quindi avvia la procedura guidata per richiedere un certificato SSL/TLS. Se è già stata creata una CA privata, è possibile decidere di creare un certificato pubblico o privato e quindi inserire il nome del proprio sito. In alternativa, è possibile richiedere un certificato tramite l'interfaccia a riga di comando o l'API AWS. Una volta emesso il certificato, è possibile utilizzarlo con altri servizi AWS che si integrano con ACM. Per ogni servizio integrato, sarà sufficiente selezionare il certificato SSL/TLS richiesto da un elenco a discesa all'interno della Console di gestione AWS. In alternativa, puoi eseguire un comando della CLI di AWS o richiamare un'API per associare il certificato alla risorsa desiderata. Il servizio integrato distribuisce quindi il certificato alla risorsa da te selezionata.  Per ulteriori informazioni sulla richiesta e l'utilizzo dei certificati forniti da ACM, scopri di più nella Guida per l'utente ACM. Oltre a utilizzare i certificati privati con i servizi integrati con ACM, puoi anche esportare i certificati privati per utilizzarli su istanze EC2, su container ECS o ovunque.

• Elastic Load Balancing: consulta la documentazione di Elastic Load Balancing
• Amazon CloudFront: consulta la documentazione di CloudFront
• Gateway Amazon API: consulta la documentazione di Gateway API
• AWS CloudFormation: il supporto è al momento limitato ai certificati emessi da ACM pubblici e privati. Consulta la documentazione di AWS CloudFormation 
• AWS Elastic Beanstalk: consulta la documentazione di AWS Elastic Beanstalk
• AWS Nitro Enclaves: consulta la documentazione di AWS Nitro Enclaves

Visita le pagine Infrastruttura globale AWS per conoscere la disponibilità nella Regione corrente dei servizi AWS. Per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiederlo o importarlo nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione che sono associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per quella distribuzione.

Certificati ACM

ACM è in grado di gestire certificati pubblici, privati e importati. Scopri di più sulle funzionalità di ACM nella documentazione relativa all'Emissione e gestione dei certificati.

Sì. Ciascun certificato deve includere almeno un nome di dominio, inoltre puoi aggiungere nomi aggiuntivi al certificato se necessario. Ad esempio, puoi aggiungere il nome "www.esempio.net" a un certificato per "www.example.com" se gli utenti possono raggiungere il tuo sito utilizzando entrambi i nomi. Devi possedere o controllare tutti i nomi inclusi nella tua richiesta di certificato. 

Un nome di dominio con caratteri jolly corrisponde a qualsiasi dominio secondario di primo livello o nome host in un dominio. Un dominio secondario di primo livello è un'etichetta di nome di dominio singolo che non contiene un punto. Ad esempio, puoi utilizzare il nome *.example.com per proteggere www.example.com, immagini.example.com e qualsiasi altro nome host o dominio secondario di primo livello che termini con .example.com. Scopri di più nella Guida per l’utente di ACM.

Sì.

No.

No.

No.

I certificati emessi utilizzando ACM sono validi per 13 mesi (395 giorni). Se si emettono certificati privati direttamente da una CA privata e si gestiscono chiavi e certificati senza utilizzare ACM per la gestione dei certificati, è possibile scegliere un periodo di validità personalizzato, indicando una data di scadenza specifica o un periodo successivo all'emissione nell'ordine di giorni, mesi o anni.

Per impostazione predefinita, i certificati gestiti in ACM utilizzano chiavi RSA con modulo a 2048 bit e SHA-256. Inoltre, puoi richiedere i certificati Elliptic Curve Digital Signature Algorithm (ECDSA) con P-256 o P-384. Scopri di più sugli algoritmi nella Guida per l'utente di ACM.

Per richiedere ad ACM la revoca di un certificato pubblico, è necessario accedere al Centro di Supporto AWS e aprire un ticket. Per revocare un certificato privato emesso da un'autorità di certificazione privata di AWS, consulta il documento AWS Private CA User Guide.

No. I certificati ACM devono trovarsi nella stessa regione della risorsa in cui vengono utilizzati. L'unica eccezione è Amazon CloudFront, un servizio globale che richiede certificati nella regione Stati Uniti orientali (Virginia settentrionale). I certificati ACM in questa regione che sono associati a una distribuzione CloudFront sono distribuiti in tutte le aree geografiche configurate per quella distribuzione.

Sì.

È possibile utilizzare i certificati privati emessi con CA privata su istanze EC2, container e sui server personali. Al momento, i certificati ACM pubblici possono essere utilizzati solo con determinati servizi AWS tra cui AWS Nitro Enclaves. Consulta la sezione Integrazioni di servizi ACM.

ACM non consente l'uso di caratteri nella lingua locale con codifica Unicode, tuttavia, ACM consente l'inserimento di caratteri nella lingua locale con codifica ASCII per i nomi di dominio.

ACM consente solo il formato ASCII con codifica UTF-8, incluse le etichette contenenti "xn–", detto anche Punycode per i nomi di dominio. ACM non accetta l'immissione Unicode (u-labels) per i nomi di dominio.

Sì. Se desideri utilizzare un certificato di terze parti con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, devi importarlo in ACM utilizzando la Console di gestione AWS, la CLI AWS o le API ACM. ACM non gestisce il processo di rinnovo per i certificati importati. Per monitorare la scadenza di certificati importati e importare eventuali sostituti quando la data si avvicina, è possibile utilizzare la Console di gestione AWS.

Certificati ACM pubblici

Entrambi i tipi di certificati, pubblici e privati, aiutano i clienti a identificare le risorse in rete e a stabilire comunicazioni sicure tra tali risorse. I certificati pubblici identificano le risorse su Internet.

ACM fornisce certificati pubblici con convalida di dominio (Domain Validated, DV) da utilizzare con siti Web e applicazioni che terminano con SSL/TLS. Per ulteriori informazioni sui certificati ACM, consulta Caratteristiche dei certificati.

I certificati pubblici ACM pubblici sono ritenuti affidabili dai browser, dai sistemi operativi e dai dispositivi mobili più moderni. I certificati forniti da ACM presentano un'ubiquità del 99% tra browser e sistemi operativi, inclusi Windows XP SP3 e Java 6 e versioni successive.

Alcuni browser che ritengono affidabili i certificati ACM mostrano un'icona a forma di lucchetto e non emettono avvisi sui certificati durante la connessione a siti che usano certificati ACM tramite SSL/TLS, ad esempio con il protocollo HTTPS.

I certificati ACM pubblici sono verificati dall'autorità di certificazione di Amazon. Qualsiasi browser, applicazione o sistema operativo che includa Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2 ritiene affidabile i certificati ACM. Per ulteriori informazioni sulle CA root, visita l'Amazon Trust Services Repository.

No.

Sono descritte nei documenti Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulta il repository di Amazon Trust Services per le versioni più recenti.

No. Se desideri ottenere un riferimento al tuo sito mediante entrambi i nomi di dominio (www.example.com e example.com) devi richiedere un certificato che li includa entrambi.

L'utilizzo di ACM contribuisce a soddisfare i requisiti normativi perché semplifica la creazione di connessioni sicure, un requisito comune in molti programmi di conformità, come PCI, FedRAMP e HIPAA. Per informazioni specifiche sulla conformità, consulta la pagina http://aws.amazon.com/compliance.

No, ACM non offre un SLA.

Se desideri disporre di un logo da mostrare sul sito, puoi ottenerne da fornitori di terze parti. Ti consigliamo di scegliere un fornitore che offra valutazioni sulla sicurezza del sito o sulle prassi aziendali (o su entrambe).

No. Loghi e simboli di questo tipo possono essere copiati da altri siti che non utilizzano il servizio ACM e quindi essere impiegati in modo improprio per dare una falsa impressione di affidabilità. Per proteggere i nostri clienti e la reputazione di Amazon, non consentiamo l'utilizzo del nostro logo per questo scopo.

Provisioning di certificati di pubblici

È possibile utilizzare Console di gestione AWS, interfaccia a riga di comando o API e kit SDK ACM. Nella Console di gestione AWS, individua Certificate Manager, seleziona Request a certificate, quindi Request a public certificate e indica il nome di dominio del sito; infine segui le istruzioni per completare l'operazione. Nel caso in cui gli utenti possano raggiungere il tuo sito utilizzando altri nomi, puoi aggiungere ulteriori nomi di dominio alla tua richiesta. Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, scrivi un record nella configurazione pubblica DNS per il tuo dominio per stabilire che detieni il possesso o il controllo del dominio. Dopo aver usato una volta la convalida DNS per stabilire il controllo del tuo dominio, puoi ottenere altri certificati e chiedere che ACM rinnovi quelli esistenti per il dominio a condizione che il record esista e che i certificati siano in uso. Non devi convalidare di nuovo il controllo del dominio. Se scegli la convalida e-mail al posto di quella DNS, al proprietario del dominio vengono inviate e-mail con cui si richiede l'approvazione per l'emissione del certificato. Una volta convalidato il tuo possesso o il tuo controllo di ogni nome di dominio presente nella tua richiesta, il certificato viene emesso ed è pronto per essere fornito con altri servizi AWS, come Elastic Load Balancing o Amazon CloudFront. Consulta la documentazione di ACM per maggiori dettagli.

I certificati sono usati per stabilire l'identità del tuo sito e proteggere le connessioni tra i browser e le applicazioni e il tuo sito. Per emettere un certificato considerato pubblicamente attendibile, Amazon deve verificare che il richiedente del certificato abbia il controllo sul nome di dominio riportato nella richiesta di certificato.

Prima di emettere un certificato, ACM convalida il tuo possesso o il tuo controllo dei nomi di dominio presenti nella tua richiesta di certificato. Quando richiedi un certificato, puoi scegliere tra la convalida DNS e la convalida e-mail. Con la convalida DNS, puoi convalidare la proprietà del dominio aggiungendo un record CNAME nella tua configurazione DNS. Consulta la sezione Convalida DNS per ulteriori dettagli. Se non puoi scrivere record nella configurazione DNS pubblica per il tuo dominio, invece della convalida DNS puoi usare quella e-mail. Con la convalida e-mail, ACM invia e-mail al proprietario del dominio registrato e il proprietario o un rappresentante autorizzato può approvare il rilascio per ogni nome di dominio riportato nella richiesta di certificato. Consulta la sezione Convalida e-mail per ulteriori dettagli.

Ti consigliamo di usare la convalida DNS se puoi cambiare la configurazione DNS per il tuo dominio. I clienti che non possono ricevere e-mail di convalida da ACM e quelli che usano un registrar di dominio che non pubblica le informazioni di contatto dell'e-mail del proprietario in WHOIS dovrebbero usare la convalida DNS. Se non puoi modificare la tua configurazione DNS, dovresti usare la convalida e-mail.

No, ma è possibile richiedere un nuovo certificato gratuito ad ACM e scegliere per esso la convalida DNS.

Una volta convalidati tutti i nomi di dominio presenti in una richiesta, l'emissione del relativo certificato può richiedere diverse ore.

Al momento della richiesta, ACM proverà a convalidare la proprietà o il controllo di ciascun nome di dominio presente in essa, secondo il metodo di convalida scelto (DNS o e-mail). Lo stato della richiesta di certificato sarà In attesa di convalida mentre ACM tenta di convalidare il tuo possesso o il tuo controllo del dominio. Consulta le sezioni Convalida DNS e Convalida e-mail di eseguito per ulteriori informazioni sul processo di convalida. Una volta convalidati tutti i nomi di dominio presenti in una richiesta, l'emissione del relativo certificato può richiedere diverse ore. Quando il certificato viene emesso, lo stato della richiesta diventa Issued e può essere utilizzato con gli altri servizi AWS integrati con ACM.

Sì. I record DNS Certificate Authority Authorization (CAA) permettono ai proprietari dei domini di specificare quali autorità di certificazione sono autorizzate ad emettere certificati per tale dominio. Quando viene richiesto un certificato ACM, AWS Certificate Manager cerca un record CAA nella configurazione di zona DNS del dominio. Se non è presente alcun record CAA, Amazon emetterà un certificato per tale dominio. La maggior parte dei clienti ricade in questa categoria.

Se la configurazione DNS contiene un record CAA, per consentire ad Amazon di emettere un certificato deve specificare una delle seguenti autorità di certificazione: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Per ulteriori informazioni, consulta le sezioni Configurazione di un record CAA o Risoluzione dei problemi relativi a CAA nella Guida per l’utente di Gestione certificati AWS.

No, al momento no.

Convalida DNS

Con la convalida DNS, puoi convalidare la proprietà di un dominio aggiungendo un record CNAME nella tua configurazione DNS. Con la convalida DNS è per te facile stabilire che sei il proprietario di un dominio quando richiedi certificati SSL/TLS pubblici ad ACM.

Con la convalida DNS è per te facile convalidare la proprietà o il controllo di un dominio per poter così ottenere un certificato SSL/TLS. Con la convalida DNS, scrivi semplicemente un record CNAME nella tua configurazione DNS per stabilire il controllo del nome del tuo dominio. Per semplificare il processo di convalida DNS, la console di gestione ACM può configurare i record DNS al tuo posto, se gestisci i tuoi record DNS con Amazon Route 53. Ciò rende facile stabilire il controllo del nome del tuo dominio con pochi clic del mouse. Una volta configurato il record CNAME, ACM rinnova automaticamente i certificati che sono in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS. I rinnovi sono completamente automatici e non richiedono immissioni da parte dell'utente.

Chiunque richieda un certificato tramite ACM e possa cambiare la configurazione DNS per il dominio che sta richiedendo dovrebbe prendere in considerazione l'uso della convalida DNS.

Sì. ACM continua a supportare la convalida e-mail per i clienti che non possono cambiare la propria configurazione DNS.

Devi aggiungere un record CNAME per il dominio che vuoi convalidare. Ad esempio per convalidare il nome www.example.com, aggiungi un record CNAME alla zona per example.com. Il record che aggiungi contiene un token unico che ACM genera espressamente per il tuo dominio e il tuo account AWS. Puoi ottenere le due parti del record CNAME (nome ed etichetta) da ACM. Per ulteriori istruzioni, consulta la Guida per l'utente di ACM.

Per maggiori informazioni su come aggiungere o modificare record DNS, rivolgiti al tuo provider DNS. La documentazione DNS relativa ad Amazon Route 53 offre ulteriori informazioni per i clienti che usano il sistema DNS Amazon Route 53.

Sì. Per i clienti che usano DNS Amazon Route 53 per gestire record DNS, la console ACM può aggiungere record alla loro configurazione DNS quando richiedono un certificato. La tua hosted zone con DNS Route 53 per il tuo dominio deve essere configurata nello stesso account AWS da cui stai facendo la richiesta e devi disporre di permessi sufficienti per cambiare la tua configurazione di Amazon Route 53. Per ulteriori istruzioni, consulta la ACM User Guide.

Puoi usare la convalida DNS con qualsiasi provider DNS a condizione che il provider ti permetta di aggiungere un record CNAME alla tua configurazione DNS.

Uno. È possibile ottenere più certificati per lo stesso nome di dominio nello stesso account AWS utilizzando un record CNAME. Ad esempio, se presenti 2 richieste di certificato dallo stesso account AWS per lo stesso nome di dominio, ti serve solo 1 record CNAME DNS.

Ogni nome di dominio deve avere un record CNAME esclusivo.

Sì.

I record CNAME DNS hanno due componenti: un nome e un'etichetta. La componente nome di un CNAME generato da ACM è costituita da un carattere trattino basso (_) seguito da un token, che è una stringa esclusiva legata al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token al nome del tuo dominio per costruire la componente nome. ACM costruisce l'etichetta da un carattere trattino basso anteposto a un diverso token anch'esso legato al tuo account AWS e al nome del tuo dominio. ACM antepone il trattino basso e il token a un nome di dominio DNS usato da AWS per le convalide: acm-validations.aws. I seguenti esempi mostrano la formattazione di CNAME per www.example.com, sottodominio.example.com ed *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.sottodominio.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Tenere presente che ACM rimuove l'etichetta carattere jolly (*) quando genera record CNAME per nomi con caratteri jolly. Di conseguenza, il record CNAME generato da ACM per un nome con caratteri jolly (come *.example.com) è lo stesso record restituito per il nome di dominio senza l'etichetta carattere jolly (example.com).

No. Ogni nome di dominio, inclusi quelli host e di sottodomini, deve essere convalidato separatamente e avere un record CNAME esclusivo.

L'uso di un record CNAME consente ad ACM di rinnovare i certificati a condizione che il record CNAME esista. Il record CNAME rimanda a un record TXT in un dominio AWS (acm-validations.aws) che ACM può aggiornare come necessario per convalidare o riconvalidare un nome di dominio, senza che tu debba fare nulla.

Sì. Puoi creare un record CNAME DNS e usarlo per ottenere certificati nello stesso account AWS in qualsiasi regione AWS in cui venga offerto ACM. Configura il record CNAME una volta e puoi ottenere i certificati rilasciati e rinnovati da ACM per quel nome senza creare un altro record.

No. Ogni certificato può avere un solo metodo di convalida.

ACM rinnova automaticamente i certificati in uso (associati ad altre risorse AWS) a condizione che esista il record della convalida DNS.

Sì. Basta rimuovere il record CNAME. ACM non rilascia o rinnova certificati per il tuo dominio utilizzando la convalida DNS dopo che hai rimosso il record CNAME e dopo che la modifica è stata distribuita tramite DNS. Il tempo di propagazione per rimuovere il record dipende dal tuo provider DNS.

ACM non può rilasciare o rinnovare certificati per il tuo dominio utilizzando la convalida DNS se rimuovi il record CNAME.

Convalida e-mail

Con la convalida e-mail, al proprietario del dominio registrato viene inviata una richiesta approvata per ogni nome di dominio riportato nella richiesta di certificato. Il proprietario del dominio o un rappresentante autorizzato (approvatore) può approvare la richiesta di certificato seguendo le istruzioni contenute nell'e-mail. Le istruzioni richiedono all'approvatore di navigare nel sito Web approvato e di fare clic sul collegamento nell'e-mail o di incollare il collegamento dall'e-mail in un browser, al fine di navigare nel sito Web da approvare. L'approvatore conferma le informazioni associate alla richiesta di certificato, come il nome di dominio, l'ID certificato (ARN) e l'ID account AWS che inizializza la richiesta, dopodiché la approva qualora le informazioni risultino accurate.

Quando richiedi un certificato utilizzando la convalida e-mail, viene utilizzata una ricerca WHOIS per ciascun nome di dominio nella richiesta di certificato, al fine di recuperare le informazioni di contatto per il dominio. Viene inviata un'e-mail al registrante del dominio, al contatto amministrativo e al contatto tecnico elencato per il dominio. L'e-mail viene inviata anche a cinque indirizzi e-mail speciali, ai quali viene anteposto admin@, administrator@, hostmaster@, webmaster@ e postmaster@ al nome di dominio che si sta richiedendo. Ad esempio, se si richiede un certificato per server.example.com, viene inviata un'e-mail al registrante del dominio, al contatto tecnico e al contatto amministrativo utilizzando le informazioni di contatto restituite da una query WHOIS per il dominio example.com, oltre a admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com e webmaster@server.example.com.

Questi cinque indirizzi e-mail speciali vengono creati in modo diverso a seconda di come inizia il nome di dominio, con "www" oppure con nomi con metacaratteri che iniziano con l'asterisco (*). ACM rimuove il prefisso "www" o l'asterisco; l'e-mail viene così inviata agli indirizzi di amministrazione formati con i prefissi admin@, administrator@, hostmaster@, postmaster@ e webmaster@ uniti alla parte rimanente del nome di dominio. Ad esempio, se richiedi un certificato per www.example.com, l'e-mail viene inviata ai contatti WHOIS secondo quanto descritto in precedenza, più ad admin@example.com, non ad admin@www.example.com. Anche gli altri quattro indirizzi speciali vengono composti secondo la stessa regola.

Dopo aver richiesto un certificato, puoi visualizzare l'elenco degli indirizzi e-mail a cui è stata inviata l'e-mail per ciascun dominio, utilizzando la console ACM, CLI AWS o le API.

No, ma puoi configurare il nome di dominio base a cui desideri che venga inviata l'e-mail di convalida. Il nome di dominio base deve essere un dominio superiore del nome dominio indicato nella richiesta di certificato. Ad esempio, se richiedi un certificato per server.dominio.example.com ma desideri che sia admin@domain.example.com a ricevere l'e-mail di approvazione, puoi farlo utilizzando la CLI o l'API AWS. Consulta Riferimento CLI ACM e Riferimento API ACM per ulteriori dettagli.

Sì, tuttavia la consegna delle e-mail potrebbe essere ritardata a causa del proxy. Un'e-mail inviata attraverso un proxy potrebbe finire nella cartella dello spam. Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

No. Le procedure e le policy per la convalida dell'identità del proprietario del dominio sono molto restrittive e determinate dal Forum CA/Browser, che imposta gli standard delle policy per le autorità di certificazione considerate pubblicamente attendibili. Per ulteriori informazioni, fai riferimento alla più recente Amazon Trust Services Certification Practices Statement contenuta nell'Amazon Trust Services Repository.

Consulta il documento ACM User Guide per suggerimenti sulla risoluzione dei problemi.

Protezione chiavi private

Viene creata una coppia di chiavi per ogni certificato fornito da ACM. ACM è progettato per proteggere e gestire le chiavi private utilizzate con i certificati SSL/TLS. Per la protezione e l'archiviazione delle chiavi private vengono utilizzate le best practice per la crittografia e la gestione delle chiavi avanzate.

No. La chiave privata di ciascun certificato ACM viene archiviata nella Regione in cui si richiede il certificato. Ad esempio, quando si ottiene un nuovo certificato nella Regione degli Stati Uniti orientali (Virginia settentrionale), ACM archivia la chiave privata nella Regione Virginia settentrionale. I certificati ACM vengono copiati solo tra le Regioni se il certificato viene associato a una distribuzione CloudFront. In tale caso, CloudFront distribuisce il certificato ACM alle posizioni geografiche configurate per la tua distribuzione.

Rinnovo e distribuzione gestiti

Il rinnovo e la distribuzione gestiti da ACM consentono di gestire il processo di rinnovo dei certificati SSL/TLS di ACM, così come la distribuzione dei certificati dopo il loro rinnovo.

ACM gestisce automaticamente rinnovo e distribuzione di certificati SSL/TLS. ACM effettua la configurazione e la manutenzione SSL/TLS per un servizio Web sicuro o un'applicazione più solidi dal punto di vista operativo rispetto a processi manuali potenzialmente soggetti a errori. Il rinnovo e la distribuzione gestiti possono aiutarti a evitare i tempi di fermo dovuti alla scadenza dei certificati. ACM è in grado di integrarsi con altri servizi AWS. Ciò significa che puoi gestire e distribuire centralmente i certificati sulla piattaforma AWS utilizzando la Console di gestione AWS, la CLI o le API AWS. Grazie alla CA privata, è possibile creare ed esportare certificati privati. ACM rinnova i certificati esportati e permette così al codice di automazione lato client di scaricarli ed implementarli.

Certificati pubblici

ACM può rinnovare e distribuire certificati ACM pubblici senza alcuna ulteriore convalida dal proprietario del dominio. Se non è possibile rinnovare un certificato senza una convalida aggiuntiva, ACM gestisce il processo di rinnovo convalidando la proprietà o il controllo del dominio per ogni nome di dominio presente nel certificato. Una volta convalidato ciascun nome di dominio nel certificato, ACM rinnova il certificato e lo distribuisce automaticamente con le tue risorse AWS. Se ACM non può convalidare la proprietà del dominio, ti informeremo (in quanto proprietario dell'account AWS).

Se scegli la convalida DNS nella tua richiesta di certificato, ACM può rinnovare a tempo indefinito il tuo certificato senza che tu debba far altro, a condizione che il certificato sia in uso (associato con altre risorse AWS) e che esista il tuo record CNAME. Se hai selezionato la convalida e-mail al momento della richiesta di un certificato, per migliorare la capacità di ACM di rinnovare e distribuire automaticamente i certificati ACM, assicurati che il certificato sia in uso e che tutti i nomi di dominio inclusi nel certificato possano essere risolti verso il tuo sito e siano raggiungibili da Internet.

Certificati privati

ACM offre due opzioni per la gestione di certificati privati emessi con CA privata AWS. Sono disponibili diverse funzionalità di rinnovo a seconda delle modalità di gestione. Per ciascun certificato privato emesso, è possibile scegliere l'opzione di gestione più appropriata.

1) ACM può automatizzare rinnovo e implementazione di certificati privati emessi con le CA private AWS e utilizzati con i servizi integrati con ACM, ad esempio Elastic Load Balancing e Gateway API. ACM potrà inoltre rinnovare e implementare i certificati privati emessi tramite ACM finché lo stato della CA privata che ha emesso il certificato rimane Active (Attivo).
2) Per i certificati privati esportati da ACM per l'uso con risorse on-premise, istanze EC2 e dispositivi IoT, ACM rinnova il certificato automaticamente. L'individuazione del nuovo certificato e della chiave privata, nonché la loro distribuzione con l'applicazione, dovranno essere gestite manualmente.

ACM inizia il processo di rinnovo fino a 60 giorni prima della data di scadenza del certificato. Il periodo di validità per i certificati ACM corrisponde attualmente a 13 mesi (395 giorni). Per ulteriori informazioni sul rinnovo gestito, consulta la Guida per l'utente di ACM.

No. ACM può rinnovare o emettere una nuova chiave per il certificato e sostituire il precedente senza previo avviso.

Se scegli la convalida DNS nella richiesta di certificato pubblico, ACM potrà rinnovare il certificato senza alcun intervento manuale, a condizione che il certificato sia in uso (ovvero sia associato con altre risorse AWS) e che esista il record CNAME.

Se hai selezionato la convalida e-mail al momento della richiesta di certificato pubblico con un dominio senza "www", assicurati che la ricerca DNS di tale dominio si risolva con la risorsa AWS associata al certificato. Risolvere questo tipo di dominio per una risorsa AWS può risultare complicato, a meno di utilizzare Route 53 o un altro provider DNS che supporti record di risorse di alias (o il rispettivo equivalente) per la mappatura i domini alle risorse AWS. Per ulteriori informazioni, fai riferimento alla Guida per sviluppatori di Route 53.

No, le connessioni stabilite dopo l'implementazione del nuovo certificato utilizzano quest'ultimo, mentre le connessioni esistenti non subiscono variazioni.

Sì.

Sì, ma potrebbe essere più semplice utilizzare la CA privata AWS per emettere certificati privati rinnovabili da ACM senza convalida. Per conoscere i dettagli sul modo in cui ACM gestisce i rinnovi dei certificati pubblici non raggiungibili dalla rete Internet e da certificati privati, consulta la sezione Rinnovo e implementazione gestiti.

Registrazione

Sì. Utilizzando AWS CloudTrail puoi rivedere i registri che ti segnaleranno quando è stata usata la chiave privata per il certificato.

Puoi identificare quali utenti e account hanno richiamato le API AWS per i servizi che supportano AWS CloudTrail, l'indirizzo IP sorgente da cui sono state effettuate le chiamate e quando sono avvenute. Ad esempio, puoi identificare quale utente ha effettuato una chiamata API per associare un certificato fornito da ACM a un Elastic Load Balancer, così come quando il servizio Elastic Load Balancing ha decrittato la chiave con una chiamata API KMS.

Fatturazione

I certificati pubblici e privati creati con Gestione certificati AWS per l'uso con i servizi integrati con ACM, ad esempio Elastic Load Balancing, Amazon CloudFront e Gateway Amazon API, sono gratuiti. I prezzi sono calcolati in base alle risorse AWS che vengono create per eseguire l'applicazione. La CA privata AWS prevede pagamenti in base al consumo; visita la pagina dei prezzi della CA privata AWS per maggiori dettagli ed esempi.

Autorità privata per la gestione del certificato AWS

Se hai domande sull'uso della CA privata AWS, consulta le domande frequenti sulla CA privata AWS.