SSL 证书可以用于一些 AWS 产品,如 AWS Elastic Beanstalk、Elastic Load Balancing、CloudFront 和 AWS OpsWorks。在本文中,我们将描述上传证书的过程,以便使用 HTTPS 连接访问 CloudFront 中的对象,或更新 Load Balancer 的证书。
证书管理的第一步是在购买后的激活过程。要进行激活,您需要通过 IAM 生成证书签名请求 (CSR)。
证书签名请求是一段小型加密文本,包含有关证书申请者及其要保护的域名的信息。一旦您使用 CSR 激活证书,该信息将传送给证书颁发机构,该机构会根据 CSR 中的信息对证书进行验证。
RSA 私钥会与 CSR 一起生成,并在加密信息中发挥重要作用。私钥应安全存储在服务器上,并且不得被泄露。
- 所需的命令行工具包括在 AWS 上创建和上传证书:
OpenSSL。这个工具用于生成私钥和 CSR。 - AWS 命令行接口 (CLI)。它用于将证书上传到 AWS。
在本文中,我们不会描述用于证书管理的 PowerShell 和 API。
生成私钥的 openssl 命令为:
openssl genrsa 2048 > private-key.pem
2048 是密钥大小。CSR 中的公钥大小不能超过 2048 位。
请在 private-key.pem 中指定您自己的密钥名称,以便在安装过程中识别。
CSR 是根据私钥生成的。使用以下命令来创建 CSR:
openssl req -new -key private-key.pem -out csr.pem
输出将类似于以下示例:
您将被要求输入将纳入证书请求的信息。
您将要输入的内容被称为区别名称或 DN。
有很多字段,但您可以留空一些。
某些字段将有默认值。
如果您输入 '.',该字段将留空。
需要填写以下信息。我们强烈建议填写所有字段。包含任何空字段的 CSR 可能会被我们的系统或证书颁发机构拒绝。
请仅使用字母数字字符。带有特殊符号(如 Ä 或 È)的 CSR 将无法被识别。这些特殊字符应替换为其字母数字对应字符:分别为 A 和 E。
国家名称。两位数代码缩写:例如:HK=香港,US=美国,SE=瑞典。
州或省。州的全名:华盛顿。
地区名称。城市名称:西雅图。
组织名称。您公司的全法定名称:公司有限公司。
*注意:对于域名验证证书,这个字段不是必需的,可以替换为 NA。
组织单位。附加公司信息:销售部。
*注意:对于域名验证证书,这个字段不是必需的,可以替换为 NA。
通用名称。您需要保护的完全合格域名:www.example.com。
电子邮件地址。服务器管理员的电子邮件地址:admin@example.com。
*注意:填写通用名称字段时,必须记住应为您需要保护的确切域名。它应显示为 www.example.com、example.com 或 mail.example.com(如果需要保护子域)。
对于通配符证书,通用名称应显示为 *.example.com 或 *.sub.example.com。
我们提供的大多数证书自动保护 www.example.com 和 example.com。但如果您有任何疑问,建议与我们的支持团队检查正确的域名定义方法。
在输出中,您将看到 CSR 的纯文本。这段文字应保存并用于证书激活。一旦证书由证书颁发机构发放,您可以继续进行安装。