AWS ACM 重磅上线:公有 SSL/TLS 证书现可导出,突破 AWS 边界! (突出新功能的重要性和突破性)

AWS官方合作商2025-06-25 1:32

++应用实例++

要导出公共证书,首先需要申请新的可导出公共证书。您无法导出先前创建的公共证书。

要开始导出公共证书,请在ACM 控制台中选择**"申请证书"** ,然后在**"允许导出"** 部分选择**"启用导出"** 。如果选择了"禁用导出",则不允许从 ACM 导出此证书的私钥,此外,在证书签发后,这一选项将无法更改。

您还可以使用request-certificate命令在AWS 命令行界面(AWS CLI)上申请带有Export=ENABLED选项的可导出公共证书。

复制代码 
aws acm request-certificate \
--domain-name mydomain.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token <token> \
--options \
CertificateTransparencyLoggingPreference=DISABLED \
Export=ENABLED

申请公共证书后,必须验证您的域名,以证明对正申请证书的域名拥有所有权或控制权。证书通常在成功进行域名验证后的几秒钟内签发。

当证书进入已签发 状态时,您可以通过选择"导出"来导出已签发的公共证书。

输入用于加密私钥的密码短语。稍后您将需要这里输入的密码短语来解密私钥。要获取公钥,请选择"生成 PEM 编码"。

您可以复制 PEM 编码的证书、证书链和私钥,也可以将它们下载到单独的文件中。

您可以使用 export-certificate命令导出公有证书和私钥。为了提高安全性,可以用文件编辑器将您的密码短语和输出密钥存储到文件中,以防止密码短语和输出密钥被存储在命令历史记录中。

复制代码 
aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt

现在,您可以将导出的公共证书用于任何需要 SSL/TLS 通信的工作负载,例如 Amazon EC2 实例。要了解更多信息,请访问在 EC2 实例中的亚马逊 Linux 上配置 SSL/TLS

++注意事项++

关于可导出的公共证书,需要了解以下几点:

  • 密钥安全--- 贵组织的管理员可以设置 AWS IAM 策略,以授权可以申请可导出公有证书的角色和用户。当前有权签发证书的 ACM 用户将自动获得签发可导出证书的权利。ACM 管理员还可以管理证书并采取诸如吊销或删除证书之类的操作。您应该使用安全存储和访问控制来保护导出的私钥。
  • 吊销 --- 您可能需要撤销可导出的公共证书,以遵守贵组织的政策或降低密钥泄露风险。您只能吊销先前导出的证书。证书吊销过程是全局性、永久性的。证书被吊销后,您将无法找回被吊销的证书来重新使用了。要了解更多信息,请访问 AWS 文档中的吊销公有证书
  • 延长有效期 --- 您可以为Amazon EventBridge可导出的公共证书配置自动延期事件,以监控证书有效期延期并创建自动化以在延期时处理证书部署。要了解更多信息,请访问 AWS 文档中的使用 Amazon EventBridge。您也可以根据需要延长这些证书的有效期。延长证书的有效期时,您需要为新证书的签发付费。要了解更多信息,请访问 AWS 文档中的强制证书有效期延长

++现已推出++

您现在可以从 ACM 签发可导出的公共证书,并导出带有私钥的证书,以使用其他计算工作负载以及 ELB、Amazon CloudFront 和 Amazon API Gateway。

使用 ACM 创建可导出的公共证书时,您需要为该证书支付额外费用。每个完全限定域名的费用为 15 美元,而每个通配符域名的费用则为 149 美元。在证书有效期内,您只需支付一次费用,并且只有在延长证书有效期时才需要再次付费。要了解更多信息,请访问 AWS Certificate Manager 服务定价页面。

企业出海,为啥大佬们闭眼选AWS云?特别是创业公司,这波羊毛不薅就亏了!https://mp.weixin.qq.com/s/Im8qz-I_emnwVXdJw6guIw注:原文来至AWS官方博客AWS Certificate Manager 推出可导出的公有 SSL/TLS 证书,可在任何地方使用 | 亚马逊AWS官方博客https://aws.amazon.com/cn/blogs/china/aws-certificate-manager-introduces-exportable-public-ssl-tls-certificates-to-use-anywhere/

相关推荐
Trouvaille ~20 分钟前
【Linux】TCP Socket编程实战(一):API详解与单连接Echo Server
linux·运维·服务器·网络·c++·tcp/ip·socket
全栈工程师修炼指南36 分钟前
Nginx | stream 四层反向代理:SSL、PREREAD 阶段模块指令浅析与实践
运维·网络·网络协议·nginx·ssl
2501_915106322 小时前
app 上架过程,安装包准备、证书与描述文件管理、安装测试、上传
android·ios·小程序·https·uni-app·iphone·webview
一方热衷.2 小时前
在线安装对应版本NVIDIA驱动
linux·运维·服务器
m0_694845572 小时前
tinylisp 是什么?超轻量 Lisp 解释器编译与运行教程
服务器·开发语言·云计算·github·lisp
*小海豚*2 小时前
在linux服务器上DNS正常,但是java应用调用第三方解析域名报错
java·linux·服务器
消失的旧时光-19432 小时前
Linux 编辑器入门:nano 与 vim 的区别与选择指南
linux·运维·服务器
starfire_hit3 小时前
JAVAWEB根据前台请求获取用户IP
java·服务器·网络
fendouweiqian3 小时前
AWS WAF(配合 CloudFront)基础防护配置:免费能做什么、要不要开日志、如何限制危险方法
网络安全·aws·cloudfront
云边有个稻草人4 小时前
打工人摸鱼新姿势!轻量斗地主服务器,内网穿透让同事远程联机不翻车
运维·服务器·cpolar
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04Vue-skills的中文文档05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南07从零搭建一个 PHP 登录注册系统(含完整源码)08UV安装并设置国内源09Linux下V2Ray安装配置指南10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示