通过 AWS 控制台完成 ACM 公有证书的创建、域名验证全流程操作,掌握 ACM 控制台的核心操作步骤。同时,了解公有证书的配置要点,能够区分普通公有证书与可导出公有证书的差异,验证证书创建后的有效性,为后续将证书应用到 ELB、CloudFront 等 AWS 集成服务打下基础,提升对 AWS 安全服务的实操能力。
本次采用 AWS Console 界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行 (CLI) 部署、代码部署 (CloudFomation、Terraform 等)、以及其它开发语言(SDK)完成作业。
步骤一:登录 AWS 管理控制台,开始请求证书
进入 ACM 控制台主页,点击控制台中的“请求证书”,选择“请求公有证书”。在域名部分输入需要保护的域名,可使用裸域名、完全限定域名,也可添加通配符域名保护多个子域。
步骤二:选择证书类型(是否允许导出)
根据需求选择是否启用导出选项
步骤三:验证域名所有权
选择验证方式,优先推荐 DNS 验证(需具备域名 DNS 配置权限),也可选择电子邮件验证,随后选择合适的密钥算法。选择 DNS 验证,需在域名的 DNS 配置中添加 ACM 提供的 CNAME 记录,完成域名所有权验证,如果使用的是 Amazon Route 53 管理域名,ACM 可以自动为其添加验证记录。否则,需要手动将提供的 CNAME 记录添加到域名 DNS 设置中。
选择电子邮件验证,需查看指定邮箱并点击验证链接。
步骤四:完成证书请求
可以为申请的证书添加一个标签,方便管理,然后点击请求按钮,完成申请。
请求提交后,证书状态将显示为“等待验证”。 选择了自动 DNS 验证且域名为 Route 53 托管,验证通常会在几分钟内自动完成。否则,请需要根据 ACM 提供的 CNAME 名称和值,前往域名注册商处更新 DNS 记录。
1. 证书签发后,证书状态应从“等待验证”变为“已签发”。
2. 点击证书 ID 进入详细信息页面,您可以查看证书的 ARN、有效期、关联的域名以及验证记录。
3. 测试将其与 AWS 服务集成。例如,创建一个 Application Load Balancer (ALB)。在 ALB 的侦听器设置中,添加 HTTPS 侦听器并选择从 ACM 导入此证书,启用 HTTPS 加密连接。访问域名,检查浏览器地址栏显示安全锁标志,确认 HTTPS 连接是否成功建立。