AWS：好用又免費(fèi)的SSL證書(shū)，你不來(lái)一個(gè)嗎？

導(dǎo)讀

SSL/TLS證書(shū)廣泛用于保護(hù)網(wǎng)絡(luò)通信的安全，包括加密通信雙方的消息內(nèi)容，以及確認(rèn)網(wǎng)站的合法身份等。

以前，您可能需要支付高昂的費(fèi)用來(lái)購(gòu)買(mǎi)SSL證書(shū)，或者使用一些有效期很短的免費(fèi)證書(shū)，此外，還不得不花精力來(lái)維護(hù)證書(shū)的續(xù)訂、輪換等。現(xiàn)在，告訴您一個(gè)好消息！Amazon Web Services(AWS)的SSL證書(shū)不僅好用而且還免費(fèi)，您想不想即刻領(lǐng)回家？！

好用又免費(fèi)的SSL正式，我來(lái)啦！

您可以利用AWS Certificate Manager(ACM)服務(wù)，來(lái)快速申請(qǐng)證書(shū)，并在AWS資源(如Elastic Load Balancer、Amazon CloudFront和API Gateway)上部署該證書(shū)，證書(shū)續(xù)訂操作也可以放心交給ACM處理。

接下來(lái)就帶您來(lái)實(shí)際體驗(yàn)下如何申請(qǐng)并使用ACM證書(shū)。

01

準(zhǔn)備工作

01 您需要擁有一個(gè)域名或者有配置域名解析記錄的權(quán)限，否則，您需要申請(qǐng)一個(gè)域名。以下操作以Amazon Route 53為例。

02 您需要確定自己將會(huì)使用ALB，CloudFront，Amazon API Gateway中的至少其中一項(xiàng)服務(wù)，并且熟悉如何使用該服務(wù)。

02

操作流程

本次操作會(huì)分別以AWS Application Load Balancer(AWS ALB)，Amazon CloudFront,Amazon API Gateway為例，指導(dǎo)如何配置ACM公有證書(shū)。（中國(guó)區(qū)和海外區(qū)域可能會(huì)存在差異。）

1.1 給域名申請(qǐng)ACM公有證書(shū)

01 對(duì)于AWS ALB或者Amazon API Gateway，需確認(rèn)ACM預(yù)置證書(shū)和所對(duì)應(yīng)的服務(wù)在相同的區(qū)域。需要注意的是，CloudFront只能使用配置在弗吉尼亞北部區(qū)域（us-east-1）的證書(shū)。

02 進(jìn)入到AWS Console中選擇ACM服務(wù)。

03 找到預(yù)置證書(shū)并選擇申請(qǐng)公有證書(shū)。

04 添加域名，建議使用通配符的方式，比如*.example.com，這樣對(duì)于同一個(gè)頂級(jí)的多個(gè)二級(jí)域名，可以使用同一個(gè)ACM公有證書(shū)，而不需要多次申請(qǐng)。選擇DNS驗(yàn)證。

05 審核并確認(rèn)，將所獲得的CNAME記錄添加到DNS配置中。

06 配置成功后，過(guò)一會(huì)后即可查看驗(yàn)證狀態(tài)通過(guò)。

1.2 在ALB上啟用HTTPS偵聽(tīng)器

并配置ACM公有證書(shū)

1、找到ALB，并選擇添加偵聽(tīng)器。

2、選擇HTTPS協(xié)議，端口默認(rèn)443并添加轉(zhuǎn)發(fā)。

3、選擇默認(rèn)安全策略。

4、選擇剛才創(chuàng)建的SSL證書(shū)，并保存。

5、接下來(lái)您就可以使用HTTPS協(xié)議訪問(wèn)域名，測(cè)試是否配置成功。

1.3 在Amazon CloudFront上啟用

HTTPS并配置ACM公有證書(shū)

在CloudFront上配置ACM公有證書(shū)需要在弗吉尼亞北部區(qū)域（us-east-1）預(yù)置ACM公有證書(shū)。

1、創(chuàng)建DNS記錄，域名指向CloudFront域名。

2、編輯CloudFront分配。

3、在備用域名部分輸入域名，并選擇剛才之前創(chuàng)建的自定義SSL證書(shū)。

4、保存配置，并https訪問(wèn)域名測(cè)試是否成功。

1.4 在Amazon API Gateway上啟用

HTTPS并配置ACM公有證書(shū)

您需要使用HTTP API或者REST API的自定義域名，本文以HTTP API為例。

1、您已經(jīng)部署好API Gateway并且可以正常訪問(wèn)，如test API。

2、選擇自定義域名，填入域名，創(chuàng)建區(qū)域性域名以及選擇剛才創(chuàng)建的ACM證書(shū)。

3、創(chuàng)建完成后，在API映射部分選擇之前部署的API Gateway，即test API選擇階段路徑并保存。

4、觀察域名詳細(xì)信息，記錄下API Gateway域名。

5、添加DNS記錄將域名解析到剛才記錄的API Gateway域名（注意不是test API的域名）。

6、訪問(wèn)域名測(cè)試是否成功。

03

注意事項(xiàng)

目前，中國(guó)區(qū)CloudFront暫不支持使用ACM公有證書(shū)，如有需要，可將第三方證書(shū)導(dǎo)入到AWS IAM中后，再啟用HTTPS功能。