使用 SSL/TLS 证书 - AWS Amplify 托管

使用 SSL/TLS 证书

SSL/TLS 证书是一种数字文档,它允许 Web 浏览器使用安全 SSL/TLS 协议识别及建立与网站之间的加密网络连接。设置自定义域时,您可以使用 Amplify 为您预配的默认托管证书,也可以使用您自己的自定义证书。

使用托管证书时,Amplify 为连接到您的应用程序的所有域颁发 SSL/TLS 证书,以便通过 HTTPS/2 保护所有流量的安全。通过 AWS Certificate Manager(ACM)生成的默认证书的有效期为 13 个月,并且会自动续订,前提是您的应用程序通过 Amplify 托管。

警告

如果您的域提供商在 DNS 设置中修改或删除了 CNAME 别名记录验证记录,Amplify 将无法续订证书。您必须在 Amplify 控制台中删除并重新添加该域。

要使用自定义证书,您必须首先从您自选的第三方证书颁发机构获取证书。Amplify Hosting 支持两种类型的证书:RSA(非对称加密算法)和 ECDSA(椭圆曲线数字签名算法)。每种证书类型都必须符合以下要求。

RSA 证书

  • Amplify Hosting 支持 1024 位、2048 位、3072 位和 4096 位 RSA 密钥。

  • AWS Certificate Manager(ACM)颁发密钥最多为 2048 位的 RSA 证书。

  • 要使用 3072 位或 4096 位 RSA 证书,请从外部获取证书并将其导入到 ACM 之中。然后,它将可以与 Amplify Hosting 一起使用。

ECDSA 证书

  • Amplify Hosting 支持 256 位密钥。

  • 使用 prime256v1 椭圆曲线为 Amplify Hosting 获取 ECDSA 证书。

获得证书后,将其导入到 AWS Certificate Manager 之中。ACM 服务让您可以轻松预置、管理和部署公有和私有 SSL/TLS 证书,以便与 AWS 服务 及内部连接资源配合使用。请确保您在美国东部(弗吉尼亚州北部)(us-east-1)区域请求或导入证书。

确保您的自定义证书涵盖您计划添加的全部子域。您可以在域名开头处使用通配符来覆盖多个子域。例如,如果您的域是 example.com,则可以包含通配符域 *.example.com。这将涵盖 product.example.comapi.example.com 等子域名。

在 ACM 中提供自定义证书后,您就可以在域名设置过程中选择此证书。有关将证书导入到 AWS Certificate Manager 的说明,请参阅《AWS Certificate Manager 用户指南》中的将证书导入到 AWS Certificate Manager

如果您在 ACM 中续订或重新导入自定义证书,Amplify 会刷新与自定义域关联的证书数据。对于导入的证书,ACM 不会自动管理续订。您负责续订并重新导入自定义证书。

您可以随时更改为一个域使用的证书。例如,您可以从默认托管证书切换到自定义证书,或从自定义证书更改为托管证书。此外,您可以将所用的自定义证书更改为其他自定义证书。有关更新证书的说明,请参阅更新域的 SSL/TLS 证书