1. 什么是 ACM?
Amazon Certificate Manager (ACM) 是 AWS 提供的一个服务,帮助用户在 AWS 环境中无缝部署 SSL 和 TLS 证书。在数字化日益增长的世界中,数据的加密变得至关重要,而 ACM 正是为此而生。它不仅为用户提供了一个平台来管理证书,还确保证书始终是最新的,减少了手动续期证书的麻烦。
2. ACM 中的公有域与私有域:
公有域 (Public Domain):
- 定义: 这些是在全球公共域名注册系统(如 ICANN)上注册的域名,例如
example.com。 - 用途: 它们主要用于公开的、面向互联网的网站和服务。
- 获取证书: 当你为公有域在 ACM 中请求证书时,为了验证你对域名的所有权,你将需要完成一个验证过程,这可以通过 DNS 记录或电子邮件来完成。
- 定义: 这些是在全球公共域名注册系统(如 ICANN)上注册的域名,例如
私有域 (Private Domain):
- 定义: 这些域名主要在私有网络中使用,并不在公共 DNS 系统中注册。
- 用途: 这些域名常用于企业的内部网络,如 VPN、内部应用等。
- 获取证书: ACM 允许你为这些域名颁发证书,但要注意,这些证书最好只在 AWS 的环境中使用。
3. ACM 主要功能:
生成证书:
- 用户可以轻松在 ACM 控制台中请求一个新证书。
- 输入域名信息,如
example.com或*.example.com。 - 选择你喜欢的验证方法并按照提示进行。
- 一旦域名验证成功,ACM 将颁发新的证书。
导入证书:
- 对于那些已经拥有证书的用户,ACM 提供了导入功能。
- 用户只需提供证书、私钥和证书链,即可将其导入到 ACM 中。
导出证书:
- 需要注意的是,ACM 生成的公有证书不允许导出私钥。这是一个重要的安全特性,确保私钥的保密性。
- 然而,对于 ACM Private CA 生成的私有证书,用户是可以访问和导出私钥的。
4. 为什么选择 ACM?
- 自动续期: 一旦在 ACM 中设置好,证书会自动续期。这消除了证书过期带来的风险,是 ACM 的一大优势。
- 集成性: ACM 证书可以轻松与其他 AWS 服务集成,无需额外配置。
- 安全性: ACM 提供高级别的安全性,特别是不允许导出公有证书的私钥功能,确保了私钥的安全。
- 成本效益: ACM 的公有证书是完全免费的。虽然 ACM Private CA 是收费的,但其提供了高级功能和更好的管理工具。
