近期,亚马逊云科技宣布Amazon Certificate Manager(ACM)推出可导出的公共SSL/TLS证书。在此次功能发布之前,您可免费申请公共证书或导入由第三方证书颁发机构(CA,Certificate Authorities)签发的证书,并将其部署到与亚马逊云科技集成的服务中,如弹性负载均衡Amazon ELB、Amazon CloudFront分发以及Amazon API Gateway。
现在,您可以从ACM导出公共证书、获取私钥,并在运行于Amazon EC2实例、容器或本地主机上的任意工作负载中使用这些证书。可导出的公共证书有效期为395天。证书在签发时和续期时均需收取费用。
从ACM导出的公共证书由Amazon Trust Services签发,并受到常用平台以及主流网页浏览器的广泛信任。
ACM可导出的公共证书实际应用
若要导出公共证书,您首先需申请一张新的可导出公共证书,已创建的公共证书无法导出。
开始操作时,请在ACM控制台中选择“申请证书”,并在“允许导出”部分选择“启用导出”。如果您选择“禁用导出”,则该证书的私钥将无法从ACM中导出,且在证书签发后此设置无法更改。
您还可以在Amazon Web Services CLI上使用request-certificate命令,并选择Export=ENABLED选项来申请一张可导出的公共证书。
aws acm request-certificate \--domain-name mydomain.com \--key-algorithm EC_Prime256v1 \--validation-method DNS \--idempotency-token <token> \--options \CertificateTransparencyLoggingPreference=DISABLED \Export=ENABLED左右滑动查看完整示意
申请公共证书后,您必须验证域名,以证明您拥有或控制所申请证书的域名。通常,域名验证成功后,证书会在数秒内签发。
当证书状态变更为“已签发”时,您可以选择“导出”,来导出已签发的公共证书。
输入用于加密私钥的密码短语,后续您将需要该密码短语来解密私钥。要获取公钥,请选择“生成PEM编码”。
您可以复制PEM编码的证书、证书链和私钥,或者将它们分别下载到不同的文件中。
您可以使用export-certificate命令来导出公共证书和私钥。为增强安全性,建议使用文件编辑器存储您的密码短语,并将输出密钥保存到文件中,以避免其被存储在命令历史记录中。
aws acm export-certificate \ --certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \ --passphrase fileb://path-to-passphrase-file \ | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \ > /tmp/export.txt左右滑动查看完整示意
现在,您可以将导出的公共证书用于任何需要SSL/TLS通信的工作负载,例如Amazon EC2实例。更多信息,您可参阅《在Amazon EC2实例中的Amazon Linux上配置SSL/TLS》。
《在Amazon EC2实例中的Amazon Linux上配置SSL/TLS》
https://docs.aws.amazon.com/linux/al2/ug/SSL-on-amazon-linux-2.html?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
须知事项
以下是关于可导出公共证书需要了解的几点事项:
密钥安全:您所在组织的管理员可以设置Amazon IAM策略,以授权可申请导出公共证书的角色和用户。当前有权签发证书的ACM用户将自动获得签发可导出证书的权限。ACM管理员还可以管理证书,并采取吊销或删除证书等操作。您应使用安全存储和访问控制措施来保护导出的私钥。
吊销证书:您可能需要吊销可导出公共证书,以符合组织政策或应对密钥泄露风险。您只能吊销之前已导出的证书,且证书吊销过程是全局且永久的。证书一旦被吊销,便无法找回并重新使用。更多信息,请参阅亚马逊云科技文档中的《吊销公共证书》。
续订证书:您可以通过Amazon EventBridge为可导出公共证书配置自动续订事件,以监控证书续订情况,并在续订发生时创建自动化流程来处理证书部署。更多信息,请参阅亚马逊云科技文档中的《使用Amazon EventBridge》。您也可以按需续订这些证书,续订证书将收取新证书签发的费用。更多信息,请参阅亚马逊云科技文档中的《强制续订证书》。
《吊销公共证书》
http://docs.aws.amazon.com/acm/latest/userguide/revoke-certificate.html?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
《使用Amazon EventBridge》
https://docs.aws.amazon.com/acm/latest/userguide/cloudwatch-events.html?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
《强制续订证书》
http://docs.aws.amazon.com/acm/latest/userguide/force-certificate-renewal.html?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
现已可用
用户现已可从ACM签发可导出的公共证书,并将证书与私钥一同导出,以便用于其他计算工作负载以及Amazon ELB、Amazon CloudFront和Amazon API Gateway。
当您使用ACM创建可导出的公共证书时,需支付额外费用。您只需在证书有效期内支付一次费用,仅当证书续订时才会再次收费。更多详细信息,请参阅ACM服务定价页面。
立即在ACM控制台中,体验ACM可导出的公共证书。更多信息,请参阅ACM文档页面。
ACM服务定价:
https://aws.amazon.com/certificate-manager/pricing/?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
ACM文档:
https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html?trk=769a1a2b-8c19-4976-9c45-b6b1226c7d20&sc_channel=el
本篇作者
Channy Yun
亚马逊云科技云的首席开发者布道师。作为一位务实的开发者和博客作者,他热爱社区驱动的技术学习和分享。
星标不迷路,开发更极速!
关注后记得星标「亚马逊云开发者」
听说,点完下面4个按钮
就不会碰到bug了!
点击阅读原文查看博客!获得更详细内容!
扫一扫
9504
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
