亚马逊如何在 ACM 中使用域名颁发 SSL 证书

Posted 2023-03-04

【中文标题】亚马逊如何在 ACM 中使用域名颁发 SSL 证书

【英文标题】：How is domain name used for Amazon issued SSL certificates in ACM

【发布时间】：2018-12-12 21:34:52

【问题描述】：

我昨晚使用 Amazon Certificate Manager 提供的说明创建了一个 SSL 证书，用于 AWS Elastic Beanstalk 上的 API（Tomcat、Spring Boot）。

创建证书时，我输入了调用 API 的静态站点的 URL，该 API 由 GoDaddy 托管。 ACM 向我打开并批准的 URL 发送了一封电子邮件，现在我在我的证书中看到由 Amazon 颁发的证书。当我为我的 EB 负载均衡器配置 HTTPS 时，我也可以选择它。我无法导出此证书，因为它不是私有的。

我的问题是，域名是如何使用的？我想我对如何在我的 API 和静态站点上使用 SSL 以及我将从 Tomcat 托管的一小部分静态内容感到有点困惑。

谢谢。

【参考方案1】：

ACM 证书只能用于 AWS 服务 - Cloudfront（如果证书是在 us-east-1 中颁发的）和区域性的经典负载均衡器和应用程序负载均衡器。

您不能导出证书以用于其他产品，因此如果您想让 Tomcat 处理 SSL，您需要获得商业证书或使用 Let's Encrypt 之类的东西。

如果您有多个要保护的主机名，您有不同的选择。

如果它们在完全独立的基础架构上运行，您可以为每个主机名获得一个证书；您还可以在一个证书中拥有多个主机名 - 即使有多个域；最后你可以获得通配符证书。

【讨论】：

因此，如果我的域使用 GoDaddy，并且所有内容都在 AWS 上，我可以使用 AWS 铸造的证书，因此验证电子邮件会发送到 admin@my-domain.com？ （从我正在阅读的内容来看，Route53 可用于集成我的域和 AWS）

是的。您可以使用 GoDaddy 保留您的域注册，但将 DNS 指向 Route53（在 Route53 中创建一个区域，然后将 NS 和 SOA 记录设置为 AWS 值）。这将允许您使用经过域验证的证书。您也可以通过在 godaddy 创建适当的 TXT 值来做到这一点。

阅读更多内容后，似乎 Route53 是我的最佳选择，因为 GoDaddy 不支持 Lets Encrypt 并且出售昂贵的证书。谢谢！