AWS：好用又免費的SSL證書，你不來一個嗎？

導讀

SSL/TLS證書廣泛用于保護網(wǎng)絡通信的安全，包括加密通信雙方的消息內(nèi)容，以及確認網(wǎng)站的合法身份等。

以前，您可能需要支付高昂的費用來購買SSL證書，或者使用一些有效期很短的免費證書，此外，還不得不花精力來維護證書的續(xù)訂、輪換等。現(xiàn)在，告訴您一個好消息！Amazon Web Services(AWS)的SSL證書不僅好用而且還免費，您想不想即刻領回家？！

好用又免費的SSL正式，我來啦！

您可以利用AWS Certificate Manager(ACM)服務，來快速申請證書，并在AWS資源(如Elastic Load Balancer、Amazon CloudFront和API Gateway)上部署該證書，證書續(xù)訂操作也可以放心交給ACM處理。

接下來就帶您來實際體驗下如何申請并使用ACM證書。

01

準備工作

01 您需要擁有一個域名或者有配置域名解析記錄的權限，否則，您需要申請一個域名。以下操作以Amazon Route 53為例。

02 您需要確定自己將會使用ALB，CloudFront，Amazon API Gateway中的至少其中一項服務，并且熟悉如何使用該服務。

02

操作流程

本次操作會分別以AWS Application Load Balancer(AWS ALB)，Amazon CloudFront,Amazon API Gateway為例，指導如何配置ACM公有證書。（中國區(qū)和海外區(qū)域可能會存在差異。）

1.1 給域名申請ACM公有證書

01 對于AWS ALB或者Amazon API Gateway，需確認ACM預置證書和所對應的服務在相同的區(qū)域。需要注意的是，CloudFront只能使用配置在弗吉尼亞北部區(qū)域（us-east-1）的證書。

02 進入到AWS Console中選擇ACM服務。

03 找到預置證書并選擇申請公有證書。

04 添加域名，建議使用通配符的方式，比如*.example.com，這樣對于同一個頂級的多個二級域名，可以使用同一個ACM公有證書，而不需要多次申請。選擇DNS驗證。

05 審核并確認，將所獲得的CNAME記錄添加到DNS配置中。

06 配置成功后，過一會后即可查看驗證狀態(tài)通過。

1.2 在ALB上啟用HTTPS偵聽器

并配置ACM公有證書

1、找到ALB，并選擇添加偵聽器。

2、選擇HTTPS協(xié)議，端口默認443并添加轉發(fā)。

3、選擇默認安全策略。

4、選擇剛才創(chuàng)建的SSL證書，并保存。

5、接下來您就可以使用HTTPS協(xié)議訪問域名，測試是否配置成功。

1.3 在Amazon CloudFront上啟用

HTTPS并配置ACM公有證書

在CloudFront上配置ACM公有證書需要在弗吉尼亞北部區(qū)域（us-east-1）預置ACM公有證書。

1、創(chuàng)建DNS記錄，域名指向CloudFront域名。

2、編輯CloudFront分配。

3、在備用域名部分輸入域名，并選擇剛才之前創(chuàng)建的自定義SSL證書。

4、保存配置，并https訪問域名測試是否成功。

1.4 在Amazon API Gateway上啟用

HTTPS并配置ACM公有證書

您需要使用HTTP API或者REST API的自定義域名，本文以HTTP API為例。

1、您已經(jīng)部署好API Gateway并且可以正常訪問，如test API。

2、選擇自定義域名，填入域名，創(chuàng)建區(qū)域性域名以及選擇剛才創(chuàng)建的ACM證書。

3、創(chuàng)建完成后，在API映射部分選擇之前部署的API Gateway，即test API選擇階段路徑并保存。

4、觀察域名詳細信息，記錄下API Gateway域名。

5、添加DNS記錄將域名解析到剛才記錄的API Gateway域名（注意不是test API的域名）。

6、訪問域名測試是否成功。

03

注意事項

目前，中國區(qū)CloudFront暫不支持使用ACM公有證書，如有需要，可將第三方證書導入到AWS IAM中后，再啟用HTTPS功能。