AWS证书管理器新增公证书导出功能,简化多环境TLS证书管理

AWS证书管理器(ACM)现支持导出公证书及其私钥,可用于EC2实例、EKS容器、本地服务器及其他云环境。本文详细介绍证书颁发、自动续期流程,并通过EventBridge集成实现证书自动部署,降低管理成本。

AWS证书管理器新增公证书导出功能

AWS证书管理器(ACM)简化了TLS证书的配置、管理和部署,支持AWS服务及本地混合应用。为进一步提升灵活性,ACM现推出可导出公证书功能,允许用户将公证书及相关私钥导出,用于Amazon EC2实例、Amazon EKS容器、本地服务器或其他云服务商的服务器。该功能支持AWS账户中新创建的公证书。

背景:ACM与证书管理

ACM是一项托管服务,消除了购买、上传和续期TLS证书的复杂性。它为与ACM集成的AWS服务(如Elastic Load Balancing、Amazon CloudFront和Amazon API Gateway)提供免费公证书。ACM还支持导入第三方公证书并通过AWS私有证书颁发机构签发私证书。此前,ACM公证书仅适用于集成ACM的AWS服务,而新功能扩展了其使用范围。

工作原理:ACM公证书颁发与续期

ACM公证书颁发

颁发ACM公证书包括以下步骤:

  1. 请求证书:通过AWS管理控制台、CLI或API指定需保护的域名(如example.com或*.example.com)。
  2. 验证域名所有权:若域名托管在Amazon Route 53,可自动验证;否则需通过DNS验证(添加CNAME记录)或邮件验证(回复域名联系人邮件)。
  3. 证书颁发:验证成功后,ACM颁发包含公钥、私钥和证书链的证书。
  4. 关联AWS服务:将证书与集成ACM的AWS服务关联。
  5. 导出证书:通过ACM控制台、CLI或API导出证书,用于未集成ACM的服务器。
  6. 绑定应用:将导出的证书安装到服务器(如Apache或NGINX)以启用TLS终止。

创建可导出公证书时,需在“Request certificate”页面选择“Enable export”。若选择“Disable export”,则私钥不可导出,且此设置不可更改。

ACM公证书续期

ACM自动处理证书续期:

  • 续期启动:证书到期前60天自动启动续期。
  • 域名重新验证:使用初始颁发时的相同方法(DNS或邮件)重新验证域名所有权。
  • 证书更新:验证成功后,ACM颁发新证书(保留相同ARN,更新有效期)。
  • EventBridge通知:续期成功后发送事件,包含新字段Exportable(TRUE/FALSE)指示证书是否可导出。

使用EventBridge自动化部署续期证书

证书续期后,可通过EventBridge规则触发以下操作:

  • 发送通知:将事件路由至Amazon SNS,向管理员发送邮件或短信通知。
  • 自动化部署:触发Lambda函数或Systems Manager Automation文档,通过ACM API获取新证书并更新到服务器。
  • 监控续期失败:配置告警,通知域名验证错误等问题。

解决方案概述

工作流1:导出现有ACM公证书

  1. 用户通过API Gateway端点请求导出证书,提供参数(CertificateArn、CertName、TargetTagKey、TargetTagValue)。
  2. API Gateway触发Step Functions工作流,执行Lambda函数(acm-Export)生成私钥密码并存储到Secrets Manager,然后导出证书。
  3. 调用Lambda函数(ssm-run)检查DynamoDB中的证书记录,更新或创建元数据。
  4. 执行Systems Manager文档(Install-ACMCertificate)将证书安装到目标EC2实例(默认路径:/etc/ssl/certs和/etc/ssl/private)。
  5. 通过Statuscheck函数监控安装状态,完成工作流。

工作流2:自动续期与导出

  1. ACM续期证书后发送EventBridge事件。
  2. EventBridge规则触发acm-renew Lambda函数,从DynamoDB查询证书元数据(包括目标标签)。
  3. 格式化数据并触发Step Functions工作流,后续步骤与工作流1相同(步骤3-9),完成证书安装。

先决条件

  • 注册EC2实例:遵循Systems Manager管理指南。
  • 注册本地及其他云环境虚拟机:遵循混合多云环境管理指南。
  • 为目标EC2实例和虚拟机添加TargetTagKey标签。
  • 使用Secrets Manager存储加密密码,DynamoDB存储证书元数据(使用AWS KMS加密)。

定价与可用性

ACM可导出公证书已在AWS商业区域、AWS GovCloud(美国)区域和中国区域上线,采用按需付费模式。与ACM集成的AWS服务(如ELB、CloudFront和API Gateway)的公证书仍免费。详细定价请参考AWS证书管理器定价页面。

常见问题

ACM会支持更短有效期的公证书吗?

是的,ACM将根据CA/Browser Forum要求逐步缩短TLS证书最大有效期:

  • 截至2026年3月11日:最长398天。
  • 2026年3月1日起:最长200天。
  • 2027年3月1日起:最长100天。
  • 2029年3月1日起:最长47天。

更短有效期证书的定价如何?

AWS承诺维持公平定价,年度成本将与当前费率保持一致。具体调整细节将在实施前公布。

结论

ACM可导出公证书功能通过统一托管解决方案保护多样化工作负载,简化TLS管理,提供集中控制、自动续期和成本效益。立即在ACM控制台中体验此功能,优化证书管理流程。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次