亚马逊如何在 ACM 中使用域名颁发 SSL 证书

Posted

技术标签:

【中文标题】亚马逊如何在 ACM 中使用域名颁发 SSL 证书【英文标题】:How is domain name used for Amazon issued SSL certificates in ACM 【发布时间】:2018-12-12 21:34:52 【问题描述】:

我昨晚使用 Amazon Certificate Manager 提供的说明创建了一个 SSL 证书,用于 AWS Elastic Beanstalk 上的 API(Tomcat、Spring Boot)。

创建证书时,我输入了调用 API 的静态站点的 URL,该 API 由 GoDaddy 托管。 ACM 向我打开并批准的 URL 发送了一封电子邮件,现在我在我的证书中看到由 Amazon 颁发的证书。当我为我的 EB 负载均衡器配置 HTTPS 时,我也可以选择它。我无法导出此证书,因为它不是私有的。

我的问题是,域名是如何使用的?我想我对如何在我的 API 和静态站点上使用 SSL 以及我将从 Tomcat 托管的一小部分静态内容感到有点困惑。

谢谢。

【问题讨论】:

【参考方案1】:

ACM 证书只能用于 AWS 服务 - Cloudfront(如果证书是在 us-east-1 中颁发的)和区域性的经典负载均衡器和应用程序负载均衡器。

您不能导出证书以用于其他产品,因此如果您想让 Tomcat 处理 SSL,您需要获得商业证书或使用 Let's Encrypt 之类的东西。

如果您有多个要保护的主机名,您有不同的选择。

如果它们在完全独立的基础架构上运行,您可以为每个主机名获得一个证书;您还可以在一个证书中拥有多个主机名 - 即使有多个域;最后你可以获得通配符证书。

【讨论】:

因此,如果我的域使用 GoDaddy,并且所有内容都在 AWS 上,我可以使用 AWS 铸造的证书,因此验证电子邮件会发送到 admin@my-domain.com? (从我正在阅读的内容来看,Route53 可用于集成我的域和 AWS) 是的。您可以使用 GoDaddy 保留您的域注册,但将 DNS 指向 Route53(在 Route53 中创建一个区域,然后将 NS 和 SOA 记录设置为 AWS 值)。这将允许您使用经过域验证的证书。您也可以通过在 godaddy 创建适当的 TXT 值来做到这一点。 阅读更多内容后,似乎 Route53 是我的最佳选择,因为 GoDaddy 不支持 Lets Encrypt 并且出售昂贵的证书。谢谢!

以上是关于亚马逊如何在 ACM 中使用域名颁发 SSL 证书的主要内容,如果未能解决你的问题,请参考以下文章

CA机构介绍(Certificate Authority 域名SSL证书颁发机构)

如何申请多域名SSL证书?

SSL证书和域名证书是同一种吗

SSL证书可以给多个域名使用吗

域名证书续期方式

怎么申请多域名SSL证书