使用AWS Certficate Manager(以下称为ACM),可免费发行SSL/TLS证书(发行的是DV,Domain Validation证书)。发行的证明书可以在Elastic Load Balancer(ELB)和Cloud Formation中使用。
更大的魅力是,无需在做每年的证书更新工作(这类工作,应该属于繁琐的工作)。
ACM满足一定条件的话,即使什么都不做也会自动更新证书。那么一定的条件是什么?在这里介绍满足什么调价能够自动更新证书。
2种验证方法
首先在发行ACM免费证明书时,需要验证域名是否为申请者所拥有。验证方式有一下2种。
– 电子邮件验证
– DNS验证
在电子邮件验证中,对特定的邮件地址发送记载了承认URL的邮件,点击那个URL进行验证。
而在DNS验证中,将具有特定字符串的CNAME记录注册到目标域的DNS服务器中,并通过AWS解决其名称来进行验证。
电子邮件验证
当满足以下所有条件时,证书将被自动更新。
- 已使用该证书(已用于ELB等)
- 该证书的域名,可通过Internet进行HTTPS访问
最重要的第2项,该域名可通过Internet访问HTTPS访问。如果在安全组进行了IP限制,自动更新将失败。另外,AWS未公开对网站进行HTTPS连接确认的源IP地址。
电子邮件更新是,往发行证书时的电子邮件地址里发送记载了验证用URL的电子邮件。只要点击那个URL就可以顺利更新。但这个也有点麻烦,忘记证明更新时间,并且邮件被忽视掉的话,证书将会过期。
DNS验证
当满足以下所有条件时,证书将被自动更新。
- 已使用该证书(已用于ELB等)
- 可在DNS中查询到该域名的CNAME记录
发行证书时一样,如果在DNS中能查询到该域名的CNAME的话,即使网站没有发布到Internet也可以自动更新证书。ACM的私有证书,也可以使用DNS的CNAME查询进行自动更新。
如果该域名的CNAME记录被删除了,会给指定的该域管理员发送确认邮件。该邮件和验证电子邮件不同,没有记载验证用URL,因此需要在DNS上重新注册CNAME记录。
小结
ACM证书有电子邮件验证和DNS验证,自动更新的条件各不相同。
需要注意的是使用电子邮件验证时,该域名可通过Internet进行HTTPS访问。
另外,自动更新的条件是否满足可在AWS管理控制台确认。
参考(AWS官网) AWSCertificate Manager