AWS：好用又免費的SSL證書，你不來一個嗎？

導讀

SSL/TLS證書廣泛用于保護網(wǎng)絡(luò)通信的安全，包括加密通信雙方的消息內(nèi)容，以及確認網(wǎng)站的合法身份等。

以前，您可能需要支付高昂的費用來購買SSL證書，或者使用一些有效期很短的免費證書，此外，還不得不花精力來維護證書的續(xù)訂、輪換等。現(xiàn)在，告訴您一個好消息！Amazon Web Services(AWS)的SSL證書不僅好用而且還免費，您想不想即刻領(lǐng)回家？！

好用又免費的SSL正式，我來啦！

您可以利用AWS Certificate Manager(ACM)服務(wù)，來快速申請證書，并在AWS資源(如Elastic Load Balancer、Amazon CloudFront和API Gateway)上部署該證書，證書續(xù)訂操作也可以放心交給ACM處理。

接下來就帶您來實際體驗下如何申請并使用ACM證書。

01

準備工作

01 您需要擁有一個域名或者有配置域名解析記錄的權(quán)限，否則，您需要申請一個域名。以下操作以Amazon Route 53為例。

02 您需要確定自己將會使用ALB，CloudFront，Amazon API Gateway中的至少其中一項服務(wù)，并且熟悉如何使用該服務(wù)。

02

操作流程

本次操作會分別以AWS Application Load Balancer(AWS ALB)，Amazon CloudFront,Amazon API Gateway為例，指導如何配置ACM公有證書。（中國區(qū)和海外區(qū)域可能會存在差異。）

1.1 給域名申請ACM公有證書

01 對于AWS ALB或者Amazon API Gateway，需確認ACM預(yù)置證書和所對應(yīng)的服務(wù)在相同的區(qū)域。需要注意的是，CloudFront只能使用配置在弗吉尼亞北部區(qū)域（us-east-1）的證書。

02 進入到AWS Console中選擇ACM服務(wù)。

03 找到預(yù)置證書并選擇申請公有證書。

04 添加域名，建議使用通配符的方式，比如*.example.com，這樣對于同一個頂級的多個二級域名，可以使用同一個ACM公有證書，而不需要多次申請。選擇DNS驗證。

05 審核并確認，將所獲得的CNAME記錄添加到DNS配置中。

06 配置成功后，過一會后即可查看驗證狀態(tài)通過。

1.2 在ALB上啟用HTTPS偵聽器

并配置ACM公有證書

1、找到ALB，并選擇添加偵聽器。

2、選擇HTTPS協(xié)議，端口默認443并添加轉(zhuǎn)發(fā)。

3、選擇默認安全策略。

4、選擇剛才創(chuàng)建的SSL證書，并保存。

5、接下來您就可以使用HTTPS協(xié)議訪問域名，測試是否配置成功。

1.3 在Amazon CloudFront上啟用

HTTPS并配置ACM公有證書

在CloudFront上配置ACM公有證書需要在弗吉尼亞北部區(qū)域（us-east-1）預(yù)置ACM公有證書。

1、創(chuàng)建DNS記錄，域名指向CloudFront域名。

2、編輯CloudFront分配。

3、在備用域名部分輸入域名，并選擇剛才之前創(chuàng)建的自定義SSL證書。

4、保存配置，并https訪問域名測試是否成功。

1.4 在Amazon API Gateway上啟用

HTTPS并配置ACM公有證書

您需要使用HTTP API或者REST API的自定義域名，本文以HTTP API為例。

1、您已經(jīng)部署好API Gateway并且可以正常訪問，如test API。

2、選擇自定義域名，填入域名，創(chuàng)建區(qū)域性域名以及選擇剛才創(chuàng)建的ACM證書。

3、創(chuàng)建完成后，在API映射部分選擇之前部署的API Gateway，即test API選擇階段路徑并保存。

4、觀察域名詳細信息，記錄下API Gateway域名。

5、添加DNS記錄將域名解析到剛才記錄的API Gateway域名（注意不是test API的域名）。

6、訪問域名測試是否成功。

03

注意事項

目前，中國區(qū)CloudFront暫不支持使用ACM公有證書，如有需要，可將第三方證書導入到AWS IAM中后，再啟用HTTPS功能。