SSL 證書可以用於一些 AWS 產品,如 AWS Elastic Beanstalk、Elastic Load Balancing、CloudFront 和 AWS OpsWorks。在本文中,我們將描述上傳證書的過程,以便使用 HTTPS 連接訪問 CloudFront 中的對象,或更新 Load Balancer 的證書。
證書管理的第一步是在購買後的激活過程。要進行激活,您需要通過 IAM 生成證書簽名請求 (CSR)。
證書簽名請求是一段小型加密文本,包含有關證書申請者及其要保護的域名的信息。一旦您使用 CSR 激活證書,該信息將傳送給證書頒發機構,該機構會根據 CSR 中的信息對證書進行驗證。
RSA 私鑰會與 CSR 一起生成,並在加密信息中發揮重要作用。私鑰應安全存儲在伺服器上,並且不得被洩露。
- 所需的命令行工具包括在 AWS 上創建和上傳證書:
OpenSSL。這個工具用於生成私鑰和 CSR。 - AWS 命令行介面 (CLI)。它用於將證書上傳到 AWS。
在本文中,我們不會描述用於證書管理的 PowerShell 和 API。
生成私鑰的 openssl 命令為:
openssl genrsa 2048 > private-key.pem
2048 是密鑰大小。CSR 中的公鑰大小不能超過 2048 位。
請在 private-key.pem 中指定您自己的密鑰名稱,以便在安裝過程中識別。
CSR 是根據私鑰生成的。使用以下命令來創建 CSR:
openssl req -new -key private-key.pem -out csr.pem
輸出將類似於以下示例:
您將被要求輸入將納入證書請求的信息。
您將要輸入的內容被稱為區別名稱或 DN。
有很多字段,但您可以留空一些。
某些字段將有默認值。
如果您輸入 '.',該字段將留空。
需要填寫以下信息。我們強烈建議填寫所有字段。包含任何空字段的 CSR 可能會被我們的系統或證書頒發機構拒絕。
請僅使用字母數字字符。帶有特殊符號(如 Ä 或 È)的 CSR 將無法被識別。這些特殊字符應替換為其字母數字對應字符:分別為 A 和 E。
國家名稱。兩位數代碼縮寫:例如:HK=香港,US=美國,SE=瑞典。
州或省。州的全名:華盛頓。
地區名稱。城市名稱:西雅圖。
組織名稱。您公司的全法定名稱:公司有限公司。
*注意:對於域名驗證證書,這個字段不是必需的,可以替換為 NA。
組織單位。附加公司信息:銷售部。
*注意:對於域名驗證證書,這個字段不是必需的,可以替換為 NA。
通用名稱。您需要保護的完全合格域名:www.example.com。
電子郵件地址。伺服器管理員的電子郵件地址:admin@example.com。
*注意:填寫通用名稱字段時,必須記住應為您需要保護的確切域名。它應顯示為 www.example.com、example.com 或 mail.example.com(如果需要保護子域)。
對於通配符證書,通用名稱應顯示為 *.example.com 或 *.sub.example.com。
我們提供的大多數證書自動保護 www.example.com 和 example.com。但如果您有任何疑問,建議與我們的支援團隊檢查正確的域名定義方法。
在輸出中,您將看到 CSR 的純文本。這段文字應保存並用於證書激活。一旦證書由證書頒發機構發放,您可以繼續進行安裝。