亚马逊AWS官方博客
China CloudFront SSL Plugin V2:面向中国区 CloudFront 的一站式证书解决方案
 |
在当今数字时代,网站安全至关重要。SSL 证书作为保护网站数据传输安全的重要工具,其管理和更新一直是开发运维人员关注的焦点。在 2023 年我们发布了 China CloudFront SSL Plugin 方便中国区 CloudFront 与免费 SSL 证书的集成。我们持续迭代我们的方案。现在,我们很高兴地宣布 China CloudFront SSL Plugin 的第二代版本正式发布。
全新升级,更强大的功能
China CloudFront SSL Plugin V2 带来了三大核心升级,让证书管理更简单、更安全、更高效。
1. 突破单项目限制,实现多项目统一管理,在新版本中,我们彻底重构了项目管理架构:
- 升级前 V1 版本:每个堆栈仅支持管理单个项目的域名集合,多项目管理需要部署多个堆栈
- 升级后 V2 版本:单一堆栈即可统一管理多个项目的域名集合,大幅简化运维工作
2. 全新交互体验,告别复杂操作,为提升用户体验,我们重新设计了管理界面:
- 升级前 V1 版本:基于 Swagger UI 构建的 API 管理页面,需要手动构造和发起 API 请求
- 升级后 V2 版本:直观的图形用户界面,通过简单的按钮点击即可完成所有操作,降低使用门槛
3. 安全机制升级,保障操作安全,全面增强了安全性:
- 升级前 V1 版本:外部 API 缺乏有效的安全校验机制
- 升级后 V2 版本:引入 Access Key 验证机制,所有 API 操作都需要进行身份验证,确保安全可控
在带来全新功能的同时,我们保留并强化了方案最受欢迎的特性:
✓ 成本优势
- 完全采用无服务器架构,按实际调用次数计费
- 证书更新默认每 30 天触发一次
- 仅产生极少的存储费用和日志费用
✓ 运营自动化
- 支持与 CloudFront 的无缝集成
- 证书更新后自动替换 CloudFront 中已关联的证书
- 通过 EventBridge 实现证书的自动定期更新
✓ 运维透明
- 完整的邮件通知机制,覆盖证书全生命周期
- 直观的图形化控制面板,实时掌握证书状态
- 支持多项目统一管理和监控
✓ 代码开源
- 所有代码以开源方式提供
- 支持在源代码基础上进行定制化开发
- 便于根据企业需求进行二次开发
这些升级不仅提升了用户体验,更为 China CloudFront 证书管理提供了更强大的支持。无论是单个网站还是多个项目的证书管理,V2 版本都能够从容应对。
技术架构
作为一个面向中国区 CloudFront 的证书管理方案,我们基于无服务器架构设计了完整的技术架构,通过 Amazon CloudFormation 模版实现自动化部署。
 |
1. 核心组件:
- Let’s Encrypt:作为免费、开放、自动化的证书颁发机构,为方案提供免费 SSL 证书支持
- Certbot:作为免费的开源软件工具,实现证书的自动化获取、部署和更新
- Amazon Lambda:作为核心计算组件,负责运行证书颁发程序、前端界面以及证书管理 API
- Amazon API Gateway:提供安全的证书管理 API 接口,所有操作都需要 Access Key 验证
2. 存储与数据库:
- Amazon DynamoDB:作为无服务器数据库,专门存储项目证书颁发状态与报错信息
- Amazon S3:用于存储备份的 SSL 证书,支持证书的下载和备份管理
- IAM SSL 证书存储:专门用于存储与 CloudFront 关联的 SSL 证书,这是中国区域的特殊要求
3. 自动化与通知:
- Amazon SNS:负责发送证书颁发状态的邮件通知,确保运维人员及时获取证书状态
- Amazon EventBridge:通过定时任务触发证书更新,默认每 30 天自动更新一次
部署演示
创建管理堆栈
创建管理堆栈是部署 China CloudFront SSL Plugin V2 的第一步。通过 Amazon CloudFormation 模板,您可以一键部署包含 Lambda 函数、API Gateway、DynamoDB 等核心组件的主堆栈。在部署过程中,您需要指定堆栈名称和 Access Key 作为 API Gateway 的安全密钥,确保只有授权用户才能访问证书管理功能。整个部署过程约需 3-5 分钟,完成后您将获得证书管理前端页面的访问链接。
 |
创建证书项目
创建证书项目是使用 China CloudFront SSL Plugin V2 的核心步骤。在图形化管理界面中,您可以轻松创建新的证书项目,为指定的域名集合申请免费的 Let’s Encrypt SSL 证书。每个项目支持多个域名(用逗号分隔),您可以设置接收通知的邮箱地址和证书自动更新间隔(推荐 30 天)。项目创建后,系统会自动部署专属的子堆栈,包含证书颁发 Lambda 函数和 EventBridge 定时规则,实现证书的自动化管理。
 |
将自动颁发的证书附加到 CloudFront
将自动颁发的证书附加到 CloudFront 是实现 HTTPS 访问的关键步骤。证书成功颁发后,系统会自动将其上传到 IAM SSL 证书存储中,您可以在 CloudFront 控制台的分配设置中找到并选择对应的证书。在“备用域名与 SSL 证书”设置中,填入您申请证书的域名,并在自定义 SSL 证书下拉菜单中选择对应的证书即可完成绑定。一旦绑定成功,后续的证书自动更新将无缝替换 CloudFront 中的证书,无需手动干预。
 |
更新证书项目(域名/自动更新时间)
更新证书项目功能让您可以灵活调整项目配置以适应业务变化。通过选择项目并点击“修改项目”按钮,您可以更新域名列表和调整 SSL 证书自动更新时间间隔。每次项目修改都会触发新的证书颁发,确保配置变更立即生效。系统会自动处理 CloudFront 证书的更新和旧证书的清理,整个过程对用户透明且安全可靠。
 |
重新颁发证书/强制更新证书
重新颁发证书功能为您提供了手动控制证书更新的能力。当遇到证书颁发失败或需要立即更新证书时,您可以在证书列表中选择相应证书,点击”重新颁发”按钮手动触发证书更新流程。系统会重新执行完整的证书申请、验证、颁发和 CloudFront 更新流程,并通过邮件通知您操作结果。这个功能特别适用于故障恢复、紧急更新或测试场景,确保您的 SSL 证书始终处于最新状态。
 |
如果您需要体验完整功能请参考我们的解决方案页面进行部署体验。
部署链接:一键部署 China CloudFront SSL Plugin V2
完整教程:China CloudFront SSL Plugin V2 完整教程
总结
China CloudFront SSL Plugin V2 通过全新的多项目管理架构、直观的图形化界面和增强的安全机制,为中国区域的 CloudFront 用户提供了更加便捷和完善的证书解决方案。
相关资源与文档
教程及部署方式
- China CloudFront SSL Plugin V2 完整教程
详细的部署和使用指南,包含完整的操作步骤和故障排查 - 一键部署 V2 版本
直接通过 CloudFormation 模板部署最新版本
开源代码仓库
- China CloudFront SSL Plugin V2
V2 版本的完整源代码,支持自定义开发和贡献 - China CloudFront SSL Plugin V1
第一代版本的源代码,用于对比和参考 - 邮件联系解决方案团队
直接联系 China CloudFront SSL Plugin 解决方案团队获取专业支持 - ICP 备案指南
中国区域网站部署必需的 ICP 备案流程
相关亚马逊云科技服务文档
- Amazon CloudFront 中国区功能差异
了解中国区 CloudFront 的特殊要求和限制 - IAM SSL 证书管理
中国区 CloudFront SSL 证书存储的官方文档 - Amazon Route 53 域名迁移
将域名解析迁移到 Route 53 的详细步骤 - ICP 备案指南
中国区域网站部署必需的 ICP 备案流程 - Amazon CloudFront 部署指南
CloudFront 部署小指南(八)- 使用中国区 CloudFront 及 SSL 插件部署免费证书
其他技术参考
- Let’s Encrypt 官方文档
了解 Let’s Encrypt 证书颁发机构的工作原理和限制 - Certbot 官方文档
Certbot 工具的详细使用说明 - Amazon Route 53 DNS 验证
Route 53 DNS 验证插件的技术文档
联系我们
- 联系亚马逊云科技的技术支持
获取官方专业的技术支持和问题解答 - 邮件联系解决方案团队
直接联系 China CloudFront SSL Plugin 解决方案团队获取专业支持