Amazon Certificate Manager 推出可导出的公共 SSL/TLS 证书,可在任何地方使用
今天,我们宣布从 Amazon Certificate Manager (ACM) 导出的可导出的公共 SSL/TLS 证书。在此次发布之前,您可以免费颁发由第三方证书颁发机构 (CA) 颁发的公共证书或导入证书,并使用集成的亚马逊云科技服务(例如弹性负载均衡 (ELB)、Amazon CloudFront 和 Amazon API Gateway 进行部署。
现在,您可以从 ACM 导出公有证书,访问私钥,并将其用于在 Amazon EC2 实例、容器或本地主机上运行的任何工作负载。可导出的公共证书的有效期为 395 天。发行时收费,续订时再次收费。从 ACM 导出的公共证书由亚马逊信任服务颁发,受到苹果和微软等常用平台以及谷歌浏览器和 Mozilla Firefox 等流行网络浏览器的广泛信任。
ACM 可导出的公有证书在运行
要导出公有证书,首先需要申请新的可导出公有证书。您无法导出先前创建的公共证书。
要开始使用,请在 ACM 控制台中选择申请证书,然后在"允许导出"部分选择"启用导出"。如果选择"禁用导出",则不允许从 ACM 导出此证书的私钥,并且在证书颁发后无法更改。
您还可以使用该 request-certificate 命令在亚马逊云科技命令行界面 (亚马逊云科技 CLI) 上申请带有 Export=ENABLED 选项的公共可导出证书。
申请公共证书后,必须验证您的域名,以证明您拥有或控制申请证书的域名。证书通常在成功进行域名验证后的几秒钟内颁发。
当证书进入已颁发状态时,您可以通过选择"导出"来导出已颁发的公共证书。
输入用于加密私钥的密码。稍后您将需要密码来解密私钥。要获取公钥,请选择"生成 PEM 编码"。
您可以复制 PEM 编码的证书、证书链和私钥,也可以将它们下载到单独的文件中。
您可以使用该 export-certificate 命令导出公有证书和私钥。为了提高安全性,使用文件编辑器将您的密码和输出密钥存储到文件中,以防止存储在命令历史记录中。
现在,您可以将导出的公有证书用于任何需要 SSL/TLS 通信的工作负载,例如 Amazon EC2 实例。要了解更多信息,请访问在 EC2 实例中的亚马逊 Linux 上配置 SSL/TLS。
须知
以下是关于可导出的公共证书需要了解的几件事:
- 密钥安全 — 贵组织的管理员可以设置 Amazon IAM 策略,以授权可以申请可导出的公有证书的角色和用户。当前有权颁发证书的 ACM 用户将自动获得颁发可导出证书的权利。ACM 管理员还可以管理证书并采取诸如吊销或删除证书之类的操作。您应该使用安全存储和访问控制来保护导出的私钥。
- 撤销 — 您可能需要撤销可导出的公共证书,以遵守贵组织的政策或缓解密钥泄露问题。您只能撤消先前导出的证书。证书吊销过程是全球性的永久性的。撤销后,您无法检索已吊销的证书以供重复使用。要了解更多信息,请访问亚马逊云科技文档中的吊销公有证书。
- 续订 — 您可以为 Amazon EventBridge 提供的可导出的公共证书配置自动续订事件,以监控证书续订情况,并创建自动更新以在续订时处理证书部署。要了解更多信息,请访问亚马逊云科技文档中的使用 Amazon EventBridge。您也可以按需续订这些证书。续订证书时,您需要为新证书的颁发付费。要了解更多信息,请访问亚马逊云科技文档中的强制证书续订。
现在可用
您现在可以从 ACM 颁发可导出的公共证书,并导出带有私钥的证书,以使用其他计算工作负载以及 ELB、Amazon CloudFront 和 Amazon API Gateway。
使用 ACM 创建可导出的公有证书时,您需要为该证书支付额外费用。每个完全合格域名的费用为 15 美元,每个通配符域名的费用为 149 美元。在证书有效期内,您只需支付一次,并且只有在证书续订时才会再次付费。要了解更多信息,请访问 Amazon Certificate Manager 服务定价页面。
在 ACM 控制台中试用 ACM 可导出的公共证书。要了解更多信息,请访问 ACM 文档页面并将反馈发送至亚马逊云科技 re:Post for ACM,或通过您通常的 Amazon Support 联系人发送反馈。
— Channy
Channy Yun (윤석찬)
Channy 是亚马逊云科技云的首席开发倡导者。作为一名开放网络爱好者和博客作者,他热爱社区驱动的学习和技术共享。
