AWS ACM (AWS Certificate Manager) 使用自有憑證方式整理小記
今天要來整理 AWS ACM 如何使用自有憑證
ACM 使用的場景大多是 CDN (CloudFront) / ELB / AGI Gateway
先來聊 自有憑證的取得, 大概有兩種方式
- 跟供應商購買, 例如
- 使用 Let’s Encrypt 或是 SSL for Free 網站取得免費憑證
這邊我是用之前 在 SSL for Free 網站取得的 SSL 憑證來進行
如同之前文章提及的 sslforfree.zip 的檔案, 裡面包含 3 個檔案
- ca_bundle.crt - 中繼憑證
- certificate.crt - 公鑰
- private.key - 私鑰
爲何要特別整理這篇文章呢? :p
- Nginx with SSL 的應用
- your_domain.crt 是要合併 certificate.crt + ca_bundle.crt
- private.key 保持不變
- 在雲端的應用場景, 有的應用會要求提供2個 ( 合併 + Key ), 有的則是會要求 3 個
接下來進行實驗
方式 1: 使用 Portal 匯入自有網域憑證
登入 AWS Console -- > 點選 Services -- > 輸入 certificate Manager 並點選
進入 ACM console, 我這邊是選 N.Virginia
- 這邊就按照需求來選 Region
點選Provision certificates 的 Get started
點選 Import a certificate
接下來輸入相關內容
- Certificate body*
- 將 certificate.crt 內容貼上
- Certificate private key*
- 將 private.key 內容貼上
- Certificate chain
- 將 ca_bundle.crt 內容貼上
- 雖然這個項目沒有 * 符號, 但是如果沒有填寫, 會得到 Provided certificate is not a valid self signed. Please provide either a valid self-signed certificate or certificate chain. Choose Previous button below and fix it. 錯誤訊息
點選 Next
視需求輸入 Tag
點選 Review and import
確認相關資訊
點選 Import
接下來就可以看到憑證已經匯入的資訊
方式 2: 使用 AWS cli 匯入自有網域憑證
參考官方文件
在上面三個憑證檔案的存放目錄
> aws acm import-certificate --certificate file://certificate.crt --private-key file://private.key --certificate-chain file://ca_bundle.crt --region us-east-1
{
"CertificateArn": "arn:aws:acm:us-east-2:872137832904:certificate/23251bc9-f769-4276-b118-e23cb20981c1"
}
確認匯入狀態
方式 3: 使用 Portal + 網域驗證
在 AWS ACM Console
點選Provision certificates 的 Get started
點選 Request a certificate
輸入 domain name, 例如 *.example.com
點選 Next
驗證的方式
我選 DNS validation
點選 Next
視情況輸入 Tag
點選 Review
檢視相關資訊
點選 Confirm and request
點選 Export DNS configuration to a file 下載驗證檔
- 下載 DNS_Configuration.csv
點選 Continue
按照 DNS_Configuration.csv 內的要求設定 DNS 紀錄指向
設定完成之後大概等待 5 - 10 分鐘就會發現驗證完成
觀察相關資訊
- 這邊可以看到, Amazon 簽發的有效期限爲 1 個月, 然後可以用 *.your_domain 的方式支援
這樣應該算是整理完成了
下次記憶喪失的時候就可以查詢了
~ enjoy it
Reference:
沒有留言:
張貼留言