今天，我们宣布AWS证书管理器(ACM)推出可导出的公共SSL/TLS证书功能。在此功能发布前，您可以免费签发公共证书或导入第三方证书颁发机构(CA)颁发的证书，并通过集成AWS服务（如弹性负载均衡(ELB)、Amazon CloudFront分发和Amazon API网关）进行部署。

现在，您可以从ACM导出公共证书，获取私钥，并在任何运行于Amazon弹性计算云(Amazon EC2)实例、容器或本地主机的工作负载上使用。可导出的公共证书有效期为395天，签发和续订时均会产生费用。从ACM导出的公共证书由Amazon Trust Services颁发，并被Apple、Microsoft等常用平台以及Google Chrome、Mozilla Firefox等主流浏览器广泛信任。

ACM可导出公共证书实践

要导出公共证书，您需要先申请新的可导出公共证书。无法导出之前创建的公共证书。

首先，在ACM控制台选择"申请证书"，并在"允许导出"部分选择"启用导出"。若选择"禁用导出"，则该证书的私钥将无法从ACM导出，且此设置在证书签发后不可更改。

您也可以通过AWS命令行界面(AWS CLI)使用request-certificate命令申请可导出公共证书，并设置Export=ENABLED选项：

1
2
3
4
5
6
7
8

aws acm request-certificate \
--domain-name mydomain.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token <token> \
--options \
CertificateTransparencyLoggingPreference=DISABLED \
Export=ENABLED

成功验证域名所有权后，证书通常会在几秒内签发。当证书状态变为"已签发"时，选择"导出"即可导出证书。

您需要设置用于加密私钥的密码短语（后续解密私钥时需使用）。点击"生成PEM编码"可获取公钥，并可选择复制或下载PEM编码的证书、证书链和私钥。

也可通过export-certificate命令导出证书和私钥。为增强安全性，建议使用文件编辑器存储密码短语和输出密钥，避免存入命令历史记录：

1
2
3
4
5

aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt

导出的公共证书可用于任何需要SSL/TLS通信的工作负载，如Amazon EC2实例。更多信息请参阅在EC2实例的Amazon Linux上配置SSL/TLS。

注意事项

关于可导出公共证书，您需要了解以下关键点：

• 密钥安全：组织管理员可通过AWS IAM策略授权可申请导出证书的角色和用户。拥有证书签发权限的ACM用户将自动获得可导出证书的签发权限。导出的私钥需通过安全存储和访问控制进行保护。

• 吊销管理：为遵守组织策略或应对密钥泄露，您可能需要吊销已导出的公共证书。吊销操作具有全局性和永久性，被吊销的证书无法恢复使用。详见AWS文档中的吊销公共证书。

• 续订机制：可通过Amazon EventBridge配置自动续订事件，监控证书续订并创建自动化部署流程。也可手动续订证书，续订时将按新证书标准收费。详见强制证书续订。

现已可用

您现在可以从ACM签发可导出的公共证书，并将证书与私钥导出至任意计算工作负载，以及ELB、Amazon CloudFront和Amazon API网关等AWS服务。

使用ACM创建可导出公共证书将产生额外费用：每个完全限定域名收费15美元，通配符域名收费149美元。证书生命周期内仅支付一次费用，续订时再次计费。详见AWS证书管理器服务定价页。

立即通过ACM控制台体验此功能。更多信息请参阅ACM文档页，并通过AWS re:Post或常规AWS支持渠道提交反馈。