Nguồn: AWS Certificate Manager now supports exporting public certificates | AWS Security Blog

Bởi Pravin Nair, Chandan Kundapur, và Santosh Vallurupalli vào ngày 30 tháng 6 năm 2025 trong các lĩnh vực: AWS Certificate Manager, Expert (400), Bảo mật, Danh tính & Tuân thủ, Technical How-to

Ngày 2 tháng 7, 2025: Chúng tôi đã cập nhật bài viết này để bao gồm phần FAQ ở cuối. Phần này bao gồm phản hồi của chúng tôi về việc thay đổi các thời gian hiệu lực và mức giá liên quan đến chứng chỉ.

---

AWS Certificate Manager (ACM) giúp đơn giản hóa việc cấp phát, quản lý và triển khai các chứng chỉ TLS công khai và riêng tư cho các dịch vụ của AWS cũng như cho các ứng dụng tại chỗ (on-premises) và ứng dụng lai (hybrid) của bạn. Để nâng cao hơn nữa tính linh hoạt của ACM cho các loại hình workload (tải công việc) đa dạng, chúng tôi xin giới thiệu một khả năng mới mạnh mẽ: chứng chỉ công khai có thể xuất được từ ACM (ACM exportable public certificates). Bạn có thể sử dụng khả năng này để xuất các chứng chỉ TLS công khai và khóa riêng tư (private keys) tương ứng từ ACM. Các chứng chỉ này sau đó có thể được dùng để bảo mật cho các workload trên các máy chủ ảo Amazon Elastic Compute Cloud (Amazon EC2), các pod Amazon Elastic Kubernetes Service (Amazon EKS), các máy chủ tại chỗ, hoặc các máy chủ được lưu trữ trên các nhà cung cấp đám mây khác.

Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách tự động hóa việc xuất và phân phối các chứng chỉ công khai có thể xuất được trên một hạ tầng đa dạng. Chúng tôi sẽ chỉ cho bạn từng bước cách tạo ra các luồng công việc (workflows) để tự động gửi chứng chỉ đến nhiều đích khác nhau, bao gồm các máy chủ ảo EC2 và các máy ảo trong môi trường lai (hybrid environments). Chúng tôi sẽ khám phá cách thức hoạt động của quy trình tự động hóa này, lợi ích của nó, và cung cấp một hướng dẫn chi tiết để bạn bắt đầu. Ngoài ra, chúng tôi cũng sẽ khám phá cách bạn có thể sử dụng việc tích hợp với Amazon EventBridge để kích hoạt việc xuất chứng chỉ tự động ngay khi chúng được cấp phát hoặc gia hạn. Điều này giúp tinh gọn quy trình triển khai chứng chỉ trên các môi trường không đồng nhất (heterogeneous environments) và giảm thiểu đáng kể chi phí quản lý (management overhead).

Bối cảnh: ACM và quản lý chứng chỉ

ACM là một dịch vụ được quản lý (managed service) giúp loại bỏ sự phức tạp trong việc mua, tải lên và gia hạn chứng chỉ TLS. Dịch vụ này cung cấp các chứng chỉ công khai mà không tính thêm chi phí cho các dịch vụ AWS được tích hợp với ACM như Elastic Load Balancing (ELB), Amazon CloudFront, và Amazon API Gateway. ACM cũng hỗ trợ nhập (import) các chứng chỉ công khai của bên thứ ba và cấp phát chứng chỉ riêng tư thông qua AWS Private Certificate Authority.

Trước khi có bản cập nhật này, các chứng chỉ công khai của ACM được thiết kế để sử dụng với các dịch vụ AWS được tích hợp với ACM như CloudFront, nhằm cung cấp khả năng mã hóa TLS một cách liền mạch cho các dịch-vụ-đó. Đối với các trường hợp sử dụng liên quan đến các mạng phân phối nội dung (CDNs) của bên thứ ba hoặc các workload mà kết nối TLS được chấm dứt (terminating TLS) ngay trên máy chủ ảo EC2, khách hàng thường phải lấy chứng chỉ từ các nhà cung cấp khác hoặc nhập chúng vào ACM để quản lý tập trung.

Khách hàng đã cho chúng tôi biết rằng họ muốn sử dụng ACM cho cả những trường hợp này, nhằm mở rộng sự đơn giản và khả năng mở rộng của nó ra một phạm vi môi trường rộng lớn hơn.

Khả năng xuất chứng chỉ công khai mới của ACM đã đáp ứng nhu cầu này, cho phép bạn xuất các chứng chỉ công khai do ACM quản lý để sử dụng với các workload tùy chỉnh của mình, trong khi vẫn duy trì được việc quản lý tập trung và gia hạn tự động.

Với ACM, giờ đây bạn có thể yêu cầu một chứng chỉ công khai, xác thực quyền sở hữu miền, và xuất khẩu chứng chỉ để sử dụng với phần mềm kết thúc TLS như Apache, NGINX, hoặc Microsoft IIS. ACM sẽ xử lý việc gia hạn chứng chỉ, giảm thiểu rủi ro hết hạn có thể gây gián đoạn ứng dụng của bạn.

Cách thức hoạt động: Cấp phát và gia hạn chứng chỉ công khai ACM
Để sử dụng các chứng chỉ công khai có thể xuất khẩu của ACM, bạn cần hiểu cách tự động hóa quản lý chứng chỉ thông qua các quy trình cấp phát và gia hạn. Trong phần này, chúng tôi sẽ mô tả các quy trình này và khả năng tự động hóa của chúng, những yếu tố quan trọng trong việc triển khai và duy trì chứng chỉ.

Cấp phát chứng chỉ công khai ACM

Việc cấp phát một chứng chỉ công khai ACM bao gồm các bước sau:

1. Yêu cầu chứng chỉ: Trong AWS Management Console cho ACM, hoặc thông qua AWS Command Line Interface (CLI) hoặc API, khởi tạo yêu cầu chứng chỉ bằng cách chỉ định các tên miền mà bạn muốn bảo mật (ví dụ: example.com hoặc *.example.com).
2. Xác thực quyền sở hữu miền: ACM yêu cầu bạn chứng minh quyền kiểm soát đối với miền. Nếu miền được lưu trữ trên Amazon Route 53, bạn có thể yêu cầu ACM xác thực quyền sở hữu miền. Đối với các miền được lưu trữ ngoài AWS, bạn có thể sử dụng xác thực DNS (thêm bản ghi CNAME) hoặc xác thực qua email (trả lời các email gửi đến liên hệ miền).
3. Cấp phát chứng chỉ: Sau khi quyền sở hữu miền được xác thực, ACM cấp phát chứng chỉ, bao gồm khóa công khai, khóa riêng và chuỗi chứng chỉ.
4. Gắn kết chứng chỉ với dịch vụ AWS tích hợp: Xem Các dịch vụ tích hợp với ACM để biết thông tin về cách gắn kết chứng chỉ với dịch vụ AWS tích hợp.
5. Xuất chứng chỉ: Với khả năng mới, bạn có thể xuất khẩu chứng chỉ công khai, khóa riêng và chuỗi chứng chỉ thông qua ACM console, AWS CLI, hoặc API để sử dụng trên các máy chủ không được tích hợp với ACM.
6. Gắn kết vào ứng dụng: Cài đặt chứng chỉ đã xuất khẩu trên máy chủ của bạn (ví dụ, Apache hoặc NGINX) để kích hoạt việc kết thúc TLS.

Với việc ra mắt khả năng mới này, giờ đây bạn có thể kiểm soát khả năng xuất khẩu trong tương lai của các chứng chỉ công khai mà bạn tạo ra trong ACM.

Để tạo một chứng chỉ công khai có thể xuất được, hãy sử dụng Bảng điều khiển ACM (ACM console) để tạo một chứng chỉ công khai mới. Để bắt đầu, chọn “Request certificate” trong Bảng điều khiển ACM. Trên trang “Request public certificate”, tại mục “Allow export”, hãy chọn “Enable export” (Cho phép xuất). Nếu bạn chọn “Disable export” (Tắt xuất), khóa riêng tư (private key) của chứng chỉ này sẽ không được phép xuất ra khỏi ACM, và thiết lập này sẽ không thể thay đổi sau khi chứng chỉ đã được cấp phát (certificate issuance).

Hình 1: Yêu cầu một chứng chỉ công khai và bật xuất khẩu
Sau khi bạn đã tạo chứng chỉ với tùy chọn “Enable export” (Cho phép xuất) được chọn và hoàn thành việc xác thực quyền sở hữu tên miền (domain ownership validation), bạn có thể tiến hành quy trình xuất, như được minh họa trong Hình 2. 

Để xuất chứng chỉ của bạn, hãy chọn nó từ danh sách các chứng chỉ, sau đó chọn “More actions” (Hành động khác), và chọn “Export” (Xuất).

Hình 2: Gia hạn chứng chỉ công khai ACM

ACM tự động hóa quá trình gia hạn chứng chỉ, bao gồm các bước sau:

1. Khởi tạo gia hạn: ACM tự động khởi tạo gia hạn 60 ngày trước khi chứng chỉ hết hạn.
2. Xác thực lại quyền sở hữu miền: ACM xác thực lại quyền sở hữu miền sử dụng phương pháp giống như khi cấp phát chứng chỉ lần đầu (DNS hoặc email).
3. Cập nhật chứng chỉ: Sau khi xác thực lại thành công, ACM cấp phát chứng chỉ mới với cùng Amazon Resource Name (ARN) và cập nhật ngày hiệu lực.
4. Khi một chứng chỉ được gia hạn trong ACM, dịch vụ tự động gửi một sự kiện EventBridge để thông báo rằng chứng chỉ mới đã có sẵn. Nếu gia hạn không thành công, ACM sẽ gửi thông báo đến cả AWS Health Dashboard và EventBridge. Để luôn được cập nhật về các sự kiện chứng chỉ này, bạn có thể tạo các quy tắc EventBridge để giám sát các sự kiện liên quan đến chứng chỉ cụ thể. Bạn có thể cấu hình các quy tắc này để gửi thông báo đến một Amazon Simple Notification Service (SNS) topic, giúp các bên quan tâm nhận được thông báo kịp thời về trạng thái chứng chỉ của họ.

Các trường mới trong EventBridge schema: Sau khi ACM gia hạn chứng chỉ thành công, sự kiện ACM Certificate Available giờ đây bao gồm một trường exportable cho biết với giá trị TRUE|FALSE liệu chứng chỉ công khai có sẵn để xuất khẩu hay không.

{

    “version”: “0”,

    “id”: “id”, 

    “detail-type”: “ACM Certificate Available”,

    “source”: “aws.acm”,

    “account”: “account”,

    “time”: “2019-12-22T18:43:48Z”,

    “region”: “region”,

    “resources”: [

        “arn:aws:acm:region:account:certificate/certificate_ID”

    ],

    “detail”: {

       “Action” : “ISSUANCE” | “RENEWAL” | “IMPORT” | “REIMPORT”,

       “CertificateType” : “AMAZON_ISSUED” | “PRIVATE” | “IMPORTED”,    

       “CommonName”: “example.com”,     

       “DomainValidationMethod” : “EMAIL” | “DNS”,    

       “CertificateCreatedDate” : “2019-12-22T18:43:48Z”,

       “CertificateExpirationDate” : “2019-12-22T18:43:48Z”,

       “DaysToExpiry” : 395,

       “InUse” : TRUE | FALSE,    

       “Exported” : TRUE | FALSE,

       “Exportable” : TRUE | FALSE   <== New     

     }

}

5. Xuất khẩu và cập nhật: Xuất và cập nhật (Export and update): Bạn có thể xuất chứng chỉ đã được gia hạn và cập nhật nó trên các máy chủ của mình một cách thủ công, hoặc sử dụng các đích của EventBridge (EventBridge targets) như các tài liệu AWS Systems Manager Automation được kích hoạt bởi các quy tắc EventBridge (EventBridge rules).

Để biết thêm thông tin, hãy xem mục Event bus targets in Amazon EventBridge.

Bạn có thể sử dụng các quy tắc EventBridge để giám sát các sự kiện cụ thể và chuyển chúng đến một hoặc nhiều mục tiêu (chẳng hạn như Amazon SNS topics, AWS Lambda functions, hoặc các dịch vụ AWS khác) để xử lý. Ví dụ, khi việc xác thực miền thất bại vì vấn đề cấu hình DNS, ACM sẽ tạo ra sự kiện ACM Certificate Renewal Action Required EventBridge. Bằng cách tạo một quy tắc EventBridge có mục tiêu là một SNS topic, bạn có thể đăng ký nhận thông báo qua email và thực hiện các hành động sửa chữa cần thiết.

---

Tự động triển khai chứng chỉ đã gia hạn sử dụng EventBridge
Quá trình gia hạn chứng chỉ giúp đảm bảo rằng các chứng chỉ TLS của bạn vẫn còn hiệu lực mà không cần can thiệp thủ công, nhưng việc cập nhật chứng chỉ trên các môi trường đa dạng vẫn có thể yêu cầu nỗ lực. Khi ACM gia hạn chứng chỉ, nó tạo ra một sự kiện EventBridge. Bạn có thể cấu hình các quy tắc EventBridge để kích hoạt các mục tiêu dựa trên sự kiện này, chẳng hạn như:

• Gửi thông báo: Chuyển sự kiện đến Amazon SNS để gửi thông báo qua email hoặc SMS cho các quản trị viên.
• Tự động triển khai chứng chỉ: Kích hoạt các hàm Lambda hoặc tài liệu Systems Manager Automation để lấy chứng chỉ đã gia hạn bằng cách sử dụng ACM API và cập nhật nó trên các máy chủ của bạn.
• Giám sát thất bại gia hạn: Cấu hình cảnh báo dựa trên sự kiện thất bại gia hạn chứng chỉ ACM. Những sự kiện này có thể được chuyển trực tiếp đến các kênh thông báo để thông báo cho bạn về các vấn đề như lỗi xác thực miền.

Để thiết lập điều này, hãy tạo một quy tắc EventBridge để phù hợp với sự kiện gia hạn ACM, chỉ định một mục tiêu (chẳng hạn như một SNS topic hoặc Lambda function). Quá trình tự động hóa này giúp giảm thiểu sự can thiệp thủ công, giúp việc cập nhật chứng chỉ liền mạch trên cơ sở hạ tầng của bạn.

Tổng quan giải pháp
Trong phần này, chúng tôi mô tả hai quy trình công việc. Quy trình đầu tiên trình bày một quá trình tự động để xuất khẩu các chứng chỉ công khai ACM hiện có và cài đặt chúng trên các EC2 instances hoặc máy ảo mục tiêu. Quy trình thứ hai được kích hoạt khi các chứng chỉ công khai được ACM tự động gia hạn khi chúng có sẵn trong ACM, sau đó cập nhật các chứng chỉ này trên các EC2 instances và máy ảo hạ nguồn. Mặc dù giải pháp này sử dụng EC2 instances và máy ảo làm hệ thống mục tiêu, nhưng các phương pháp tương tự có thể được áp dụng để làm mới các chứng chỉ công khai ở quy mô lớn trên nhiều loại hệ thống khác nhau.

---

Yêu cầu trước khi triển khai

1. Để mở rộng quy trình xuất khẩu và cập nhật chứng chỉ công khai tự động này:
   a. Đăng ký EC2 instances: Làm theo hướng dẫn trong Managing EC2 instances with Systems Manager.
   b. Đăng ký máy ảo trên các môi trường tại chỗ và đám mây khác: Làm theo hướng dẫn trong Managing nodes in hybrid and multicloud environments with Systems Manager.
2. Thêm thẻ TargetTagKey vào EC2 instances và máy ảo nơi bạn muốn triển khai chứng chỉ đã gia hạn. Quá trình tự động này sử dụng các thẻ này để xác định các mục tiêu.
3. API ExportCertificate yêu cầu một mật khẩu chứng chỉ để hoạt động. Để duy trì các nguyên tắc bảo mật tốt nhất, chúng tôi khuyến nghị lưu trữ mật khẩu ở dạng mã hóa sử dụng các kho mật khẩu thay vì lưu trữ dưới dạng văn bản thuần túy. Triển khai của chúng tôi sử dụng AWS Secrets Manager để lưu trữ bảo mật các thông tin xác thực nhạy cảm này. Giải pháp này cũng sử dụng Amazon DynamoDB để duy trì siêu dữ liệu của chứng chỉ, bao gồm tham chiếu đến tên bí mật tương ứng được lưu trữ trong Secrets Manager. Để tăng cường bảo mật, dữ liệu trong bảng DynamoDB được mã hóa tự động khi lưu trữ bằng AWS Key Management Service (AWS KMS).

ACM certificate export

Figure 3: ACM certificate issuance and export workflow

The workflow shown in Figure 3 demonstrates an automated process for exporting existing public ACM certificates through an API-driven process and deploying them to downstream systems.

Xuất chứng chỉ ACM
Hình 3: Quy trình cấp phát và xuất chứng chỉ ACM
Quy trình được hiển thị trong Hình 3 minh họa một quy trình tự động để xuất khẩu các chứng chỉ công khai ACM hiện có thông qua một quy trình dựa trên API và triển khai chúng lên các hệ thống hạ nguồn.

1. Quá trình bắt đầu khi người dùng gửi yêu cầu đến một điểm cuối API Gateway, cung cấp các tham số cần thiết, bao gồm CertificateArn để xác định chứng chỉ mà bạn muốn xuất khẩu, CertName để nhận diện chứng chỉ, và TargetTagKey và TargetTagValue để xác định các EC2 instances mục tiêu mà bạn muốn cài đặt chứng chỉ này. Dưới đây là ví dụ về tải trọng (payload) được gửi đến API Gateway:

1. {
2.   “CertificateArn”: “arn:aws:acm:us-east-1:1234567890123:certificate/8106d6b2-f204-4354-8893-d49e311b3900”,
3.   “CertName”: “academe”,
4.   “TargetTagKey”: “env”,
5.   “TargetTagValue”: “dev”
6. Sau khi nhận được yêu cầu, API Gateway kích hoạt một quy trình công việc AWS Step Functions chứa nhiều trạng thái được điều phối.
7. Trạng thái ban đầu thực thi một hàm Lambda có tên acm-Export, hàm này tạo ra một mật khẩu cho khóa riêng tư.
8. Hàm acm-Export cũng lưu trữ mật khẩu đã tạo một cách bảo mật trong Secrets Manager và sử dụng mật khẩu này để xuất khẩu chứng chỉ ACM.
9. Sau khi hoàn tất hàm acm-Export, quy trình công việc Step Functions kích hoạt hàm Lambda ssm-run.
10. Hàm này thực hiện hai thao tác: kiểm tra sự tồn tại của chứng chỉ trong DynamoDB (được sử dụng như một hệ thống theo dõi kho hàng) và quản lý việc ghi chép hồ sơ. Khi hàm gặp phải certificateARN đã tồn tại, nó cập nhật hồ sơ với các giá trị CertExpiryDate và LastExportedDate hiện tại. Đối với các chứng chỉ được xuất khẩu lần đầu tiên, hàm Lambda tạo một hồ sơ mới trong DynamoDB nếu không tìm thấy mục tương ứng. Hồ sơ mới này lưu trữ siêu dữ liệu của chứng chỉ, bao gồm chi tiết và thông tin theo dõi. Hình 4 cho thấy cách siêu dữ liệu này được cấu trúc trong một mục của bảng DynamoDB trong console.

Hình 4: Siêu dữ liệu chứng chỉ trong bảng DynamoDB
7. Sau bước xác minh siêu dữ liệu trong DynamoDB, hàm Lambda cũng khởi động việc chạy một tài liệu Systems Manager tùy chỉnh có tên Install-ACMCertificate. Tài liệu này xử lý việc cài đặt các chứng chỉ công khai mới được xuất khẩu lên các EC2 instances được chỉ định. Cùng tài liệu Systems Manager này có thể được sử dụng để cài đặt hoặc cập nhật chứng chỉ lên các máy chủ tại chỗ, mang lại sự linh hoạt trong việc triển khai chứng chỉ.

8. Khi việc thực thi tài liệu Systems Manager thành công, nó triển khai các chứng chỉ công khai mới xuất khẩu lên các EC2 instances phù hợp với TargetTagKey. Mặc định, trên các máy chủ Linux, chứng chỉ được lưu trữ trong /etc/ssl/certs và /etc/ssl/private, mặc dù các đường dẫn này có thể được tùy chỉnh trong tài liệu Systems Manager.
9. Sau khi chạy thành công tài liệu Systems Manager, quy trình công việc Step Functions tiếp tục chuyển sang trạng thái tiếp theo, kích hoạt một hàm Lambda khác có tên Statuscheck. Hàm này giám sát trạng thái thực thi của tài liệu Systems Manager đã được khởi động trước đó. Quy trình công việc Step Functions kết thúc khi xác nhận cài đặt thành công các chứng chỉ trên các EC2 instances mục tiêu.

ACM gia hạn chứng chỉ và xuất khẩu

Hình 5: Quy trình chứng chỉ và gia hạn ACM
Khi một chứng chỉ còn trong vòng 60 ngày trước khi hết hạn, ACM tự động bắt đầu quá trình gia hạn. Khi ACM hoàn thành thành công việc gia hạn chứng chỉ, nó tạo ra một sự kiện trong EventBridge như được minh họa trong ví dụ sau:

{

  “version”: “0”,

  “id”: “id”, 

  “detail-type”: “ACM Certificate Available”,

  “source”: “aws.acm”,

  “account”: “account”,

  “time”: “2019-12-22T18:43:48Z”,

  “region”: “region”,

  “resources”: [

    “arn:aws:acm:region:account:certificate/certificate_ID”

  ],

  “detail”: 

  {

    “Action” : “RENEWAL”,

    “CertificateType” : “AMAZON_ISSUED”, 

    “CommonName”: “”, 

    “DomainValidationMethod” : “DNS”, 

    “CertificateCreatedDate” : “2025-05-22T18:43:48Z”,

    “CertificateExpirationDate” : “2026-06-23T18:43:48Z”,

    “DaysToExpiry” : 395,

    “InUse” : “TRUE”, 

    “Exported” : “TRUE”

  }

}

Quy trình công việc được minh họa trong Hình 5 giới thiệu một hệ thống tự động để xuất khẩu các chứng chỉ công khai ACM hiện có thông qua quy trình dựa trên API và triển khai chúng lên các hệ thống hạ nguồn.

1. Giải pháp sử dụng một quy tắc EventBridge theo dõi các thông báo gia hạn chứng chỉ và kích hoạt hàm Lambda có tên acm-renew để phản hồi. Hàm bắt đầu thực thi bằng cách nhận certificate ARN từ sự kiện ACM. Sử dụng ARN này làm khóa tra cứu, hàm truy vấn một bảng DynamoDB để lấy siêu dữ liệu chứng chỉ liên quan. Từ truy vấn này, hàm trích xuất các chi tiết quan trọng của chứng chỉ bao gồm Certificate Name và các cặp TargetTag Key-Value giúp xác định các tài nguyên cần cập nhật chứng chỉ. Những chi tiết này cần thiết cho quá trình triển khai chứng chỉ sau đó và đảm bảo rằng các cập nhật được áp dụng cho hệ thống chính xác.
2. Thông tin này sau đó được định dạng thành một tải trọng và được sử dụng để kích hoạt quy trình công việc Step Functions. Quy trình công việc Step Functions này theo đúng quy trình đã mô tả trong phần ACM Certificate Export.
3. Các bước từ 3 đến 9 tuân theo quy trình đã được mô tả trong phần ACM Certificate Export. Sau khi hoàn thành thành công bước 9, quy trình công việc Step Functions kết thúc quá trình. Lúc này, chứng chỉ công khai đã gia hạn đã được cài đặt thành công trên các EC2 instances mục tiêu, hoàn thành quy trình xuất khẩu và cài đặt chứng chỉ tự động.

Hướng dẫn chi tiết về cách tải giải pháp, thực thi nó, xác thực xuất khẩu chứng chỉ và triển khai nó vào tài khoản AWS của bạn có sẵn trên GitHub.

Giá cả và tính khả dụng
Chứng chỉ công khai có thể xuất khẩu của ACM có sẵn tại các AWS Commercial Regions, AWS GovCloud (US) Regions, và China Regions, theo mô hình giá pay-as-you-go, không yêu cầu cam kết trước. Các chứng chỉ công khai cho các dịch vụ AWS tích hợp với ACM như ELB, CloudFront, và API Gateway vẫn có sẵn mà không tính thêm chi phí. Để biết chi tiết về giá, hãy xem AWS Certificate Manager pricing.

---

Kết luận
Khả năng ACM exportable public certificates giúp khách hàng bảo mật các khối lượng công việc đa dạng với một giải pháp chứng chỉ quản lý thống nhất. Bằng cách cho phép xuất khẩu chứng chỉ cho EC2, containers, máy chủ tại chỗ và các nhà cung cấp đám mây khác, ACM đơn giản hóa việc quản lý TLS, đồng thời cung cấp kiểm soát tập trung, gia hạn tự động và mức giá hợp lý. Hãy bắt đầu ngay hôm nay bằng cách khám phá tính năng này trong ACM console và tối ưu hóa quy trình làm việc quản lý chứng chỉ của bạn.

---

FAQ
ACM có hỗ trợ thời gian hiệu lực ngắn hơn cho các chứng chỉ công khai không?
ACM sẽ cung cấp thời gian hiệu lực ngắn hơn cho các chứng chỉ công khai để phù hợp với các yêu cầu của Certificate Authority/Browser Forum (CA/Browser Forum) đối với chứng chỉ TLS trong những tháng tới. ACM hiện đã cung cấp khả năng xử lý tự động việc gia hạn chứng chỉ và thông báo cho bạn khi chứng chỉ mới đã sẵn sàng để triển khai. Amazon Trust Services (ATS) là một thành viên tích cực của CA/Browser Forum, nơi các tiêu chuẩn cho chứng chỉ TLS được tin cậy công khai được thiết lập. Để đáp ứng yêu cầu của CA/Browser Forum, chúng tôi sẽ áp dụng tối thiểu giới hạn thời gian hiệu lực tối đa của chứng chỉ TLS theo lịch trình sau:

• Từ nay đến ngày 11 tháng 3, 2026, thời gian hiệu lực tối đa của chứng chỉ TLS được cấp là 398 ngày.
• Từ ngày 1 tháng 3, 2026, thời gian hiệu lực tối đa của chứng chỉ TLS sẽ là 200 ngày.
• Từ ngày 1 tháng 3, 2027, thời gian hiệu lực tối đa của chứng chỉ TLS sẽ là 100 ngày.
• Từ ngày 1 tháng 3, 2029, thời gian hiệu lực tối đa của chứng chỉ TLS sẽ là 47 ngày.

Mức giá cho các chứng chỉ có thời gian hiệu lực ngắn hơn sẽ như thế nào?
Nếu bạn đang sử dụng chứng chỉ công khai có thể xuất khẩu từ ACM, chúng tôi hiểu những mối quan ngại của bạn về việc chi phí có thể tăng lên khi thời gian hiệu lực tối đa của chứng chỉ thay đổi. AWS cam kết duy trì mức giá công bằng cho các chứng chỉ được cấp phát qua ACM. Khi các tiêu chuẩn ngành thay đổi, chúng tôi sẽ điều chỉnh cấu trúc giá của mình cho phù hợp, nhằm giữ cho chi phí hàng năm cho chứng chỉ phù hợp với mức giá hiện tại. Chúng tôi sẽ cung cấp thêm thông tin chi tiết trước khi các thay đổi về giá có hiệu lực.

Nếu bạn có phản hồi về bài viết này, vui lòng gửi ý kiến trong phần Comments dưới đây. Nếu bạn có câu hỏi về bài viết này, hãy liên hệ với AWS Support.

Pravin Nair

Pravin là một Kiến trúc sư Giải pháp Bảo mật Cao cấp trong lĩnh vực Bảo vệ Dữ liệu và Quyền riêng tư. Ông giúp khách hàng xây dựng các giải pháp bảo mật và có thể mở rộng để hỗ trợ nhu cầu kinh doanh của họ. Pravin có nền tảng vững chắc trong việc mã hóa dữ liệu khi lưu trữ và truyền tải, bảo mật cơ sở hạ tầng và quyền riêng tư.

Santosh Vallurupalli

Santosh là một Kiến trúc sư Giải pháp Cao cấp tại AWS. Santosh chuyên về mạng, containers và di chuyển, và rất thích giúp đỡ khách hàng trong hành trình áp dụng đám mây và xây dựng các giải pháp tập trung vào đám mây cho các vấn đề thách thức. Khi không làm việc, anh thích du lịch, xem Formula 1 và xem lại chương trình “The Office”.

Chandan Kundapur

Chandan là Principal Technical Product Manager trong nhóm AWS Certificate Manager (ACM). Với gần 20 năm kinh nghiệm trong lĩnh vực bảo mật mạng, anh đam mê thúc đẩy chiến lược sản phẩm của nhóm ACM để giúp khách hàng AWS xác định và bảo mật tài nguyên và điểm cuối của họ bằng các chứng chỉ công khai và riêng tư.