本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lightsail 中的 SSL/TLS 证书
Amazon Lightsail 使用 SSL/TLS 证书来验证您可以与 Lightsail 负载均衡器、内容分发网络(CDN)分配和容器服务一起使用的自定义(已注册)域。将经过验证的证书挂载到其中一个 Lightsail 资源后,通过域路由到该资源的流量将使用超文本传输安全协议(HTTPS)进行加密。
您可以在 Amazon Lightsail 中创建传输层安全性协议(TLS)证书,为要与 Lightsail 负载均衡器、内容分发网络分配和容器服务一起使用的自定义(已注册)域启用加密的 Web 流量。TLS 是一个更安全的更新安全套接字层 (SSL) 版本。在本文和 Lightsail 控制台中,我们将其称为 SSL/TLS。
重要
您可以附加到负载均衡器、CDN 分配和容器服务的 Lightsail 证书由 AWS Certificate Manager(ACM)服务颁发。从 2022 年 10 月 11 日开始,通过 Lightsail 为负载均衡器、CDN 分发和容器服务获得的任何公有证书都将由 ACM 管理的多个中间证书颁发机构(ICA)或从属 CA 之一颁发。有关更多信息,请参阅亚马逊云科技安全博客中的 Amazon introduces dynamic intermediate certificate authorities
为什么使用 HTTPS?
首先是安全,这也是最重要的。HTTPS 提供额外的安全层,因为它使用 TLS 移动数据。HTTPS 加密在 Web 服务器和客户端的浏览器之间是机密的,因为它们是唯一两个可解密流量的实体。HTTPS 连接也更加安全,因为其他方无法修改客户端与服务器交换的数据。
除了上面提到的安全优势以外,还有其他一些原因在 HTTP 基础上额外使用 HTTPS。例如,2014 年,Google 开始在搜索结果中为安全网站提供更高的排名。换句话说,与仅使用 HTTP 的网站相比,使用 HTTPS(所有其他条件相同)的网站的搜索结果排名更靠前。
过程概述
使用 Lightsail 证书的过程很简单。它涉及以下步骤:
-
创建可以使用 Lightsail 证书的 Lightsail 资源,如负载均衡器、CDN 分发或容器服务。
-
使用 Lightsail 为域创建证书。
-
通过将规范名称(CNAME)记录添加到域的 DNS 来验证证书
-
将经过验证的证书挂载到 Lightsail 资源。
-
修改域的 DNS 以将流量路由到 Lightsail 资源。
将经过验证的证书挂载到该资源后,通过域路由到该资源的流量将使用 HTTPS 进行加密。
将 SSL/TLS 证书与分配和容器服务结合使用
Lightsail 分发和容器服务需要 HTTPS。创建其中任何一个资源时,默认情况下会为资源的默认域启用 HTTPS(例如,https://123456abcdef.cloudfront.net/ 用于分配或 https://container-service-1.123456abcdef.us-west-2.cs.amazonlightsail.com/ 用于容器服务)。如果要将已注册的域名(例如,example.com)与分配或容器服务搭配使用,您必须创建 Lightsail SSL/TLS 证书,使用您的域名验证该证书,并在资源中启用自定义域。在分配或容器服务中启用自定义域还会将域经过验证的证书挂载到资源。
通过访问以下链接,您可以开始在分配上启用自定义域和 HTTPS。
有关分配的更多信息,请参阅内容分发网络分配。
通过访问以下链接,您可以开始在容器服务上启用自定义域和 HTTPS。
有关容器服务的更多信息,请参阅容器服务。
将 SSL/TLS 证书与负载均衡器结合使用
在创建 Lightsail 负载均衡器时,默认情况下将打开端口 80 以处理常规 HTTP 流量。要通过端口 443 启用 HTTPS 流量,您必须创建 SSL/TLS 证书,并使用域名验证该证书,并将其附加到负载均衡器。
您最多可以为每个负载均衡器创建两个 SSL/TLS 证书。每个负载均衡器一次只能使用一个证书。如果从您的负载均衡器中删除正在使用的有效证书,负载均衡器将无法再处理特定域的 HTTPS 流量,直到您挂载另一个有效的证书。
通过访问以下链接,您可以开始在负载均衡器上启用 HTTPS。
有关负载均衡器的更多信息,请参阅负载均衡器。
