SSL/TLS 证书申请及使用方法
前言
SSL/TLS 证书广泛用于保护网络通信的安全,包括加密通信双方的消息内容,以及确认网站的合法身份等。以前,您可能需要支付高昂的费用来购买 SSL 证书,或者使用一些有效期很短的免费证书,此外,还不得不花精力来维护证书的续订、轮换等。现在,您可以利用 Amazon Certificate Manager (ACM) 服务,来快速申请免费的公有证书,并在 云上资源(如 Elastic Load Balancer、Amazon CloudFront 和 API Gateway)上部署该证书,证书续订操作也可以放心交给 ACM 帮您自动处理。
本教程会首先介绍 ACM 公有证书的申请方法,然后分别以 Amazon Application Load Balancer (ALB)、Amazon CloudFront、Amazon API Gateway 为例,指导如何配置 ACM 公有证书。
教程说明
亚马逊云科技使用经验:初级
完成所需时间:10 分钟
完成所需费用:免费
主题:免费 SSL/TLS 证书
受众:所有人
前提条件:
海外区域: 注册 / 登录 亚马逊云科技
中国区域: 注册 / 登录 亚马逊云科技
上次更新时间:2024 年 5 月 20 日
相关行业:通用
相关产品:Amazon Certificate Manager
进入开发环境,如果您还没有账户,请先注册账户
海外区域业务或个人使用,请注册“海外区域账户”
中国区域业务(需企业营业执照认证),请注册“中国区域账户”
准备工作
全部打开第一步 - 确认区域
全部打开第二步 - 申请证书
全部打开在 Service 下拉框中,选择 “Security, Identity, & Compliance” > “Certificate Manager”
.309e286996fbcf67234c93d1442f4c74ad91ef9a.309e286996fbcf67234c93d1442f4c74ad91ef9a.png "架构图")
选择请求公有证书。
.c14c74905ea6f855572fca09f8c7c618de179b21.c14c74905ea6f855572fca09f8c7c618de179b21.png "架构图")
您可以添加通配符域名,比如*.example.com, 这样对于同一个顶级的多个二级域名,可以使用同一个 ACM 公有证书,而不需要多次申请。
.7fe1735bff78299b32e297da5e6f80d653e66723.7fe1735bff78299b32e297da5e6f80d653e66723.png "架构图")
如果您的域名托管在 Route 53,则建议您使用 DNS 验证,并在验证页面,点击在 Route 53 中创建记录。否则,您可以按照页面提示,任意验证方式。
.dec182b4a0085217c21b01b55fe2fc5863df16bb.dec182b4a0085217c21b01b55fe2fc5863df16bb.png "架构图")
一直点击下一步,直到“步骤 5:验证”页面,
.69f510e3168146a4999eb3e156c373fd1bb515f9.69f510e3168146a4999eb3e156c373fd1bb515f9.png "架构图")
.54de4c5d2c8b0544e066879ea822e9bd6b4de334.54de4c5d2c8b0544e066879ea822e9bd6b4de334.png "架构图")
选项一:在 ALB 上启用 HTTPS 并配置 ACM 公有证书
全部打开找到 ALB,并选择添加侦听器。
选择 HTTPS 协议,端口默认 443 并添加转发。
选择默认安全策略。
选择刚才创建的 SSL 证书,并保存。
.3748700c552d3c768f1a442102f3e1de2c126a2a.3748700c552d3c768f1a442102f3e1de2c126a2a.png "架构图")
5. 接下来您就可以使用 HTTPS 协议访问域名,测试是否配置成功。
选项二:在 Amazon CloudFront 上启用 HTTPS 并配置 ACM 公有证书
全部打开海外区域的配置方法如下:
在 CloudFront 上配置 ACM 公有证书需要在弗吉尼亚北部区域 (us-east-1) 预置 ACM 公有证书。
创建 DNS 记录,域名指向 CloudFront 域名。
编辑 CloudFront 分配。
在备用域名部分输入域名,并选择刚才之前创建的自定义 SSL 证书。
.2cf820cb8e69801d3a3e800dffd4fcdf5097517f.2cf820cb8e69801d3a3e800dffd4fcdf5097517f.png "架构图")
中国区域的配置方法:
如果您使用的是中国区域,则需要先申请第三方证书,然后上传到 Amazon Identity & Access Management(IAM)服务中,以下步骤展示上传证书的方法。
首先,进入 CloudFront 的编辑页面,然后选择 Custom SSL Certificate,点击 Upload a Certificate to IAM 。
您也可以使用 China CloudFront SSL插件 来自动帮您生成并上传证书
选项三:在 Amazon API Gateway 上启用 HTTPS 并配置 ACM 公有证书
全部打开您需要使用 HTTP API 或者 REST API 的自定义域名,本文以 HTTP API 为例。这里,我们假定您已经部署好 API Gateway 并且可以正常访问,如 test API。
a) 选择自定义域名,点击创建
.a6bd63332fe77c6fcd4769b19cc87379376fa7fe.a6bd63332fe77c6fcd4769b19cc87379376fa7fe.png)
b) 填入域名,创建区域性域名以及选择刚才创建的 ACM 证书,然后点击创建域名。
c) 创建完成后,点击 API 映射,点击 配置 API 映射。
.47eddb7f8a015ce6f2d8a23ef032275deabab022.47eddb7f8a015ce6f2d8a23ef032275deabab022.png)
d) 点击 添加新映射,API 选择之前部署的 API Gateway,选择阶段、路径,然后点击保存。
.5252e5881d372c1538f40fa7a1709d52445c8bcf.5252e5881d372c1538f40fa7a1709d52445c8bcf.png)
映射配置完成
.8a49a1c35964162c70e5944ebc23e86834982ce8.8a49a1c35964162c70e5944ebc23e86834982ce8.png)
e) 观察域名详细信息,记录下 API Gateway 域名。
.d6d96fb1b6d9bed58f7531c2b3391c83264130f3.d6d96fb1b6d9bed58f7531c2b3391c83264130f3.png)
f) 添加 DNS 记录,将自定义域名解析到刚才记录的 API Gateway 域名。
至此,您就可以在域名解析生效后,使用自定义域名访问 API Gateway 了。
小结
全部打开参考文档
全部打开Did you find what you were looking for today?
Let us know so we can improve the quality of the content on our pages