使用 AWS Certificate Manager 的 SSL 证书?
SSL Certificate with AWS Certificate Manager?
我对 SSL 证书的各个方面都是新手。
我有一个架构,其中 Route53 将流量路由到负载平衡。
我们正在转向生产,我们必须实施 SSL 认证来处理 https 流量。
我应该将证书放在体系结构中的什么位置?
在搜索时我播下了 AWS Certificate Manager。
我想知道它有什么不同?
当我购买证书时,我可以使用不同帐户的单个证书吗?
(示例:我可以为暂存和多个生产环境设置相同的证书吗)
首选服务是 AWS ACM。
您可以上传自己的证书(即购买然后上传)或让 AWS 为您生成和管理它。
如果您让 ACM 管理和生成它,它将在其到期前重新生成并处理每个附加资源的轮换。
请务必注意,ACM 证书只能绑定到以下用于 HTTP 流量的资源:
一旦连接到这些,您就可以使用 SSL 卸载(TLS 连接在资源而不是实例处终止)通过纯 HTTP 连接到后端资源。
您应该知道,如果您想直接从 EC2 提供流量,您将无法使用 ACM public CA,而只能使用以下之一:
- 购买证书并部署到所有服务器
- 在每台服务器上使用类似 certbot 的服务
此外,您可以使用 IAM 中托管的证书,但这被认为是遗留证书,功能比 ACM 少。
您可以使用 ACM 为您生成认证。
完全免费,如果是 public 证书,过期后会自动续订。
但有些安全团队会要求您上传比 ACM 为您生成的证书更高级的证书,在这种情况下,您可以购买证书并在 ACM 服务中上传。请记住,它不会自动续订,过期后您将必须上传新证书。
我应该将证书放在架构中的什么位置?
- 这取决于您的安全要求,但在客户端和负载均衡器之间创建 HTTPS 通信以及在负载均衡器和服务器之间创建 HTTP 通信完全没问题。在这种情况下,您只需要 ACM 生成的 public 证书。
如果您的安全要求需要创建安全通信 end-to-end(例如 LoadBalancer 和服务器之间的 HTTPS 通信),您将需要在所有服务器中安装相同的私有证书并在 ACM 中上传您的私有证书。
在搜索时我播下了 AWS Certificate Manager。我想知道它有什么不同?
- 唯一的区别是,如果您只在负载均衡器/API 网关等中使用,则无需购买证书,但如果您想下载证书安装在 [=41] =] Load Balancer 或在服务器中,您将需要为每个证书支付 400 美元。
购买证书时,我可以使用不同帐户的单个证书吗? (示例:我可以为暂存和多个生产环境设置相同的证书吗)
- 是的,你可以。但请记住,您将需要创建通配符证书以支持多个 DNS 名称。
我对 SSL 证书的各个方面都是新手。
我有一个架构,其中 Route53 将流量路由到负载平衡。 我们正在转向生产,我们必须实施 SSL 认证来处理 https 流量。
我应该将证书放在体系结构中的什么位置?
在搜索时我播下了 AWS Certificate Manager。 我想知道它有什么不同?
当我购买证书时,我可以使用不同帐户的单个证书吗? (示例:我可以为暂存和多个生产环境设置相同的证书吗)
首选服务是 AWS ACM。
您可以上传自己的证书(即购买然后上传)或让 AWS 为您生成和管理它。
如果您让 ACM 管理和生成它,它将在其到期前重新生成并处理每个附加资源的轮换。
请务必注意,ACM 证书只能绑定到以下用于 HTTP 流量的资源:
一旦连接到这些,您就可以使用 SSL 卸载(TLS 连接在资源而不是实例处终止)通过纯 HTTP 连接到后端资源。
您应该知道,如果您想直接从 EC2 提供流量,您将无法使用 ACM public CA,而只能使用以下之一:
- 购买证书并部署到所有服务器
- 在每台服务器上使用类似 certbot 的服务
此外,您可以使用 IAM 中托管的证书,但这被认为是遗留证书,功能比 ACM 少。
您可以使用 ACM 为您生成认证。
完全免费,如果是 public 证书,过期后会自动续订。
但有些安全团队会要求您上传比 ACM 为您生成的证书更高级的证书,在这种情况下,您可以购买证书并在 ACM 服务中上传。请记住,它不会自动续订,过期后您将必须上传新证书。
我应该将证书放在架构中的什么位置?
- 这取决于您的安全要求,但在客户端和负载均衡器之间创建 HTTPS 通信以及在负载均衡器和服务器之间创建 HTTP 通信完全没问题。在这种情况下,您只需要 ACM 生成的 public 证书。 如果您的安全要求需要创建安全通信 end-to-end(例如 LoadBalancer 和服务器之间的 HTTPS 通信),您将需要在所有服务器中安装相同的私有证书并在 ACM 中上传您的私有证书。
在搜索时我播下了 AWS Certificate Manager。我想知道它有什么不同?
- 唯一的区别是,如果您只在负载均衡器/API 网关等中使用,则无需购买证书,但如果您想下载证书安装在 [=41] =] Load Balancer 或在服务器中,您将需要为每个证书支付 400 美元。
购买证书时,我可以使用不同帐户的单个证书吗? (示例:我可以为暂存和多个生产环境设置相同的证书吗)
- 是的,你可以。但请记住,您将需要创建通配符证书以支持多个 DNS 名称。