AWS SSL证书申请与部署完整指南
一、前期准备工作
确保已拥有以下资源:
- 有效的AWS账户
- 需要加密的域名所有权
- 目标服务(如ALB、CloudFront)已创建
二、通过ACM申请SSL证书
- 登录AWS控制台,进入Certificate Manager服务
- 选择「请求证书」并指定证书类型:
- 公共证书:用于互联网-facing服务
- 私有证书:内部网络使用
- 输入完整域名(支持通配符*.example.com)
- 选择验证方式:
DNS验证 - 需配置CNAME记录 邮箱验证 - 向注册邮箱发送确认邮件
三、域名所有权验证
以DNS验证为例:
- 在ACM控制台获取CNAME记录值
- 前往域名注册商添加该记录
- 等待状态变为「已颁发」(通常10-30分钟)
四、证书部署实践
场景1:应用负载均衡器(ALB)
- 编辑目标负载均衡器监听器
- 选择HTTPS协议并关联ACM证书
- 配置安全策略(推荐TLS 1.2+)
场景2:CloudFront分发
- 创建或编辑现有分发设置
- 在「SSL Certificate」部分选择自定义证书
- 从ACM证书列表选择已验证的证书
五、证书管理与续期
- 自动续期:AWS ACM默认管理证书生命周期
- 证书监控:通过CloudWatch设置到期告警
- 多区域部署:需在各区域单独申请证书
常见问题处理
- 证书状态未更新
- 检查DNS解析是否生效,建议使用dig/nslookup验证
- 混合内容警告
- 确保网页内所有资源均采用HTTPS协议加载
.png)