AWS Certificate Manager 基础2016年〜
自动化 SSL/TLS 证书的配置、管理和部署的服务
它能做什么
AWS Certificate Manager (ACM) 是一项免费签发 SSL/TLS 证书并自动续期的服务,适用于网站和应用程序。您可以一键将证书部署到 CloudFront、Elastic Load Balancing、API Gateway 等 AWS 服务。ACM 让您无需管理证书有效期和续期工作,轻松实现 HTTPS 加密通信。
使用场景
用于网站 HTTPS 化、API 端点的加密通信、使用自定义域名配置 CloudFront 分配、负载均衡器上的 SSL 终止处理等。还可以用一张证书覆盖多个域名和子域名。
日常类比
可以将其比作驾照自动续期服务。通常 SSL 证书有有效期,过期后网站会显示"不安全"警告。ACM 免费签发您的证书(驾照),并在到期前自动续期。您再也不用担心忘记续期而导致证书失效。
什么是 ACM
AWS Certificate Manager (ACM) 是一项自动化 SSL/TLS 证书签发、管理和部署的服务。SSL/TLS 证书用于加密网站与浏览器之间的通信——URL 以"https://"开头的网站都在使用这种证书。使用 ACM,您无需购买证书或手动续期,即可构建安全的通信环境。
证书签发与验证
使用 ACM 签发证书时,需要指定目标域名并提交请求。然后通过 DNS 验证或电子邮件验证来证明域名所有权。DNS 验证只需将指定的 CNAME 记录添加到域名的 DNS 中即可完成。如果使用 Route 53,只需点击一个按钮即可添加 DNS 记录,几分钟内证书就会签发完成。
自动续期机制
ACM 签发的证书有效期为 13 个月,到期前会自动续期。使用 DNS 验证时,只要 CNAME 记录保留在原处,续期就完全自动进行。无需任何手动续期操作。从根本上防止了因证书过期导致网站宕机这一常见问题。 关于自动续期的实用技巧,也可以通过相关书籍(Amazon)进行学习。
开始使用
在 ACM 控制台中点击"请求证书",选择公有证书。输入要保护的域名(例如:example.com、*.example.com),选择 DNS 验证后提交请求。将 CNAME 记录添加到 DNS 并完成验证后,证书即签发完成。之后只需在 CloudFront 或 ALB 的配置界面中选择已签发的证书即可。
注意事项
- ACM 签发的公有证书免费,但用于 CloudFront 的证书必须在 us-east-1 区域签发
- ACM 证书只能用于 AWS 服务(CloudFront、ALB、API Gateway 等),不能直接安装到 EC2 实例上
- 通配符证书(*.example.com)可以用一张证书覆盖所有子域名
