本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置为使用 AWS Certificate Manager
<a name="setup"></a>

使用 AWS Certificate Manager (ACM)，您可以为 AWS 基于您的网站和应用程序配置和管理 SSL/TLS 证书。您可以使用 ACM 创建或导入证书，然后加以管理。您必须使用其他 AWS 服务将证书部署到您的网站或应用程序。有关与 ACM 集成的服务的更多信息，请参阅 [与 ACM 集成的服务](acm-services.md)。以下章节介绍在使用 ACM 之前需要执行的步骤。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [注册 ACM 的域名](#setup-domain)
+ [（可选）配置 CAA 记录](#setup-caa)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

首先 AWS，你需要一个 AWS 账户。有关创建的信息 AWS 账户，请参阅《*AWS 账户管理 参考指南》 AWS 账户中的[入门](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)指南*。

## 注册 ACM 的域名
<a name="setup-domain"></a>

完全限定域名 (FQDN) 是 Internet 上的组织或个人的唯一名称并在后面跟有一个顶级域扩展名，例如 `.com ` 或 `.org`。如果您还没有注册域名，则可以通过 Amazon Route 53 或许多其他商业注册商注册一个域名。通常，您可以转到注册商的网站，请求一个域名。域名注册通常会有一个规定的有效期（例如一年或两年），然后必须进行续订。

有关使用 Amazon Route 53 注册域名的更多信息，请参阅 *Amazon Route 53 开发人员指南*中的[使用 Amazon Route 53 注册域名](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。

## （可选）配置 CAA 记录
<a name="setup-caa"></a>

CAA 记录指定允许哪些证书颁发机构 (CA) 为域或子域颁发证书。创建一条 CAA 记录以与 ACM 结合使用，有助于防止错误的 CA 为您的域颁发证书。CAA 记录不能替代由您的证书颁发机构指定的安全要求，例如验证您是域所有者的要求。

ACM 在证书请求过程中验证域之后，将会检查是否存在 CAA 记录以确保 ACM 能够为您颁发证书。配置 CAA 记录是可选的。

配置 CAA 记录时，请使用以下值：

**flags**  
指定 ACM 是否支持 **tag** 字段的值。将此值设置为 **0**。

**标签**  
**tag** 字段可以为以下值之一。请注意，**iodef** 字段目前已被忽略。    
**issue**  
指示您在 **value** 字段中指定的 ACM CA 已被授权为您的域或子域颁发证书。  
**issuewild**  
指示您在 **value** 字段中指定的 ACM CA 已被授权为您的域或子域颁发通配符证书。通配符证书适用于该域或子域及其所有子域。请注意，如果您计划使用 HTTP 验证，则此设置将不适用，因为 HTTP 验证不支持通配符证书。对于通配符证书，请改用 DNS 或电子邮件验证。

**值**  
此字段的值取决于 **tag** 字段的值。您必须用引号 ("") 将此值括起来。    
当 **tag** 为 **issue** 时  
**value** 字段包含 CA 域名称。此字段可能包含 Amazon CA 以外的 CA 的名称。但是，如果您没有指定以下四个 Amazon CA 之一的 CAA 记录，ACM 将无法向您的域或子域颁发证书：  
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
**value** 字段也可以包含分号 (;)，指示不应允许任何 CA 为您的域或子域颁发证书。如果您在某个时候决定您不再需要为某个特定的域颁发的证书，请使用此字段。  
当 **tag** 是 **issuewild** 时  
**value** 字段与 **tag** 为 **issue** 时的相同，只是它适用于通配符证书。  
当存在不包含 ACM CA 值的 **issuewild** CAA 记录时，ACM 不能颁发任何通配符证书。如果没有 **issuewild**，但对于 ACM 有一个 **issue** CAA 记录，则 ACM 可以颁发通配符证书。

**Example CAA 记录示例**  
在以下示例中，首先是您的域名，然后是记录类型 (CAA)。**flags** 字段始终为 0。**tags** 字段可以是 **issue** 或 **issuewild**。如果字段为 **issue** 且您在 **value** 字段中键入 CA 服务器的域名称，则 CAA 记录指示您指定的服务器已被允许颁发您请求的证书。如果您在 **value** 字段中键入分号“;”，则 CAA 记录指示不允许任何 CA 颁发证书。CAA 记录的配置因 DNS 提供商而异。  
如果您计划将 HTTP 验证与一起使用 CloudFront，则无需配置 **issuewild** 记录，因为 HTTP 验证不支持通配符证书。对于通配符证书，请改用 DNS 或电子邮件验证。

```
Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"
```

有关如何添加或修改 DNS 记录的更多信息，请与您的 DNS 提供商核实。Route 53 支持 CAA 记录。如果 Route 53 是您的 DNS 提供商，请参阅 [CAA 格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#CAAFormat)以了解有关创建记录的更多信息。