SSL/TLS证书申请及使用方法
利用 Amazon Certificate Manager(ACM)服务,快速申请免费的公有证书
前言
SSL/TLS 证书广泛用于保护网络通信的安全,包括加密通信双方的消息内容,以及确认网站的合法身份等。以前,您可能需要支付高昂的费用来购买 SSL 证书,或者使用一些有效期很短的免费证书,此外,还不得不花精力来维护证书的续订、轮换等。现在,您可以利用 Amazon Certificate Manager (ACM) 服务,来快速申请免费的公有证书,并在 云上资源(如 Elastic Load Balancer、Amazon CloudFront 和 API Gateway)上部署该证书,证书续订操作也可以放心交给 ACM 帮您自动处理。
本教程会首先介绍 ACM 公有证书的申请方法,然后分别以 Amazon Application Load Balancer (ALB)、Amazon CloudFront、Amazon API Gateway 为例,指导如何配置 ACM 公有证书。
| 关于本教程 | |
| 预计部署时间 | 10 分钟 |
| 费用 | 免费 |
| 主题 | 免费 SSL/TLS 证书 |
| 受众 | 所有人 |
| 级别 | 初级 |
| 相关产品 | Amazon Certificate Manager |
| 相关行业 | 通用 |
| 上次更新时间 | 2021 年 10 月 |
准备工作
您需要确定自己将会使用 ALB,CloudFront,Amazon API Gateway 中的至少其中一项服务,且您需要拥有一个域名或者有配置域名解析记录的权限,否则,您需要申请一个域名。以下操作以 Amazon Route 53 (Amazon 的域名服务) 为例。
-
第一步 - 确认区域
对于 ALB 或者 Amazon API Gateway 服务,您需要选择在与之相同的区域来申请 ACM 证书;如果您使用的是海外区域 Amazon CloudFront,则需要将证书配置在弗吉尼亚北部区域 (us-east-1)。您可以在页面右上角确认当前所处区域。
-
第二步 - 申请证书
2.1 打开ACM服务控制台
在 Service 下拉框中,选择 “Security, Identity, & Compliance” > “Certificate Manager”
.309e286996fbcf67234c93d1442f4c74ad91ef9a.png "将域名解析迁移至 Amazon Route53")
2.2 在证书管理页面,点击请求证书
.c14c74905ea6f855572fca09f8c7c618de179b21.png)
选择请求公有证书,
.8b14b8de550baa21f4d624198327a20760e5e684.png)
2.3 添加域名
您可以添加通配符域名,比如*.example.com, 这样对于同一个顶级的多个二级域名,可以使用同一个 ACM 公有证书,而不需要多次申请。
.7fe1735bff78299b32e297da5e6f80d653e66723.png "将域名解析迁移至 Amazon Route53")
2.4 选择验证方式
如果您的域名托管在 Route 53,则建议您使用 DNS 验证,并在验证页面,点击在 Route 53 中创建记录。否则,您可以按照页面提示,任意验证方式。
.dec182b4a0085217c21b01b55fe2fc5863df16bb.png)
一直点击下一步,直到“步骤 5:验证”页面,
.69f510e3168146a4999eb3e156c373fd1bb515f9.png)
2.5 配置成功后,过一会后即可查看状态为已颁发。
.54de4c5d2c8b0544e066879ea822e9bd6b4de334.png "将域名解析迁移至 Amazon Route53")
-
选项一:在 ALB 上启用 HTTPS 并配置 ACM 公有证书
- 找到 ALB,并选择添加侦听器。
- 选择 HTTPS 协议,端口默认 443 并添加转发。
- 选择默认安全策略。
- 选择刚才创建的 SSL 证书,并保存。
.3748700c552d3c768f1a442102f3e1de2c126a2a.png)
5. 接下来您就可以使用 HTTPS 协议访问域名,测试是否配置成功。
-
选项二:在 Amazon CloudFront 上启用 HTTPS 并配置 ACM 公有证书
海外区域的配置方法如下:
在 CloudFront 上配置 ACM 公有证书需要在弗吉尼亚北部区域 (us-east-1) 预置 ACM 公有证书。
- 创建 DNS 记录,域名指向 CloudFront 域名。
- 编辑 CloudFront 分配。
- 在备用域名部分输入域名,并选择刚才之前创建的自定义 SSL 证书。
.2cf820cb8e69801d3a3e800dffd4fcdf5097517f.png)
中国区域的配置方法:
如果您使用的是中国区域,则需要先申请第三方证书,然后上传到 Amazon Identity & Access Management(IAM)服务中,以下步骤展示上传证书的方法。
首先,进入 CloudFront 的编辑页面,然后选择 Custom SSL Certificate,点击 Upload a Certificate to IAM 。
.7d51ddce8a02c1c8a0b9f09708dea0709cd96351.png)
然后在证书下拉框中选择上传完成的证书即可。
-
选项三:在 Amazon API Gateway 上启用 HTTPS 并配置 ACM 公有证书
您需要使用 HTTP API 或者 REST API 的自定义域名,本文以 HTTP API 为例。这里,我们假定您已经部署好 API Gateway 并且可以正常访问,如 test API。
a) 选择自定义域名,点击创建
.a6bd63332fe77c6fcd4769b19cc87379376fa7fe.png)
b) 填入域名,创建区域性域名以及选择刚才创建的 ACM 证书,然后点击创建域名
.7e0d48936f1ed70d477261d6dc531e04d0cb7202.png)
c) 创建完成后,点击 API 映射,点击 配置 API 映射,
.47eddb7f8a015ce6f2d8a23ef032275deabab022.png)
d) 点击 添加新映射,API 选择之前部署的 API Gateway,选择阶段、路径,然后点击保存,
.5252e5881d372c1538f40fa7a1709d52445c8bcf.png)
映射配置完成,
.8a49a1c35964162c70e5944ebc23e86834982ce8.png)
e) 观察域名详细信息,记录下 API Gateway 域名,
.d6d96fb1b6d9bed58f7531c2b3391c83264130f3.png)
f) 添加 DNS 记录,将自定义域名解析到刚才记录的 API Gateway 域名,
至此,您就可以在域名解析生效后,使用自定义域名访问 API Gateway 了。
-
小结
本教程介绍了 ACM 证书的申请方法,并展示了将证书绑定到 Amazon Application Load Balancer (ALB),Amazon CloudFront, Amazon API Gateway 的方法。借助 ACM 公有证书,您可以免于手动维护证书的更新等操作,有效降低运维复杂度,并提高网站的安全性。
参考文档
