本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SSL/Light TLS sail 中的證書
Amazon Lightsail 使用SSL/TLS憑證來驗證可與 Lightsail 負載平衡器、內容交付網路 () 分發和容器服務搭配使用的自訂 (已註冊CDN) 網域。將經過驗證的憑證附加至其中一個 Lightsail 資源後,透過網域路由至該資源的流量會使用超文字傳輸通訊協定 Secure () HTTPS 加密。
您可以在 Amazon Lightsail 中建立傳輸層安全性 (TLS) 憑證,為要與 Lightsail 負載平衡器內容交付網路分發和容器服務搭配使用的自訂 (已註冊) 網域啟用加密的 Web 流量。TLS是安全通訊端層 (SSL) 的更新、更安全的版本。在整個 Lightsail 文件和主控台中,您會看到我們將其稱為 SSL/TLS。
重要
您可以附加至負載平衡器、CDN分發和容器服務的 Lightsail 憑證是由 AWS Certificate Manager (ACM) 服務所核發。自 2022 年 10 月 11 日起,透過 Lightsail 為您的負載平衡器、CDN分發器和容器服務取得的任何公開憑證,都將從管理的多個中繼憑證授權單位 (ICAs) 或下屬CAs之一發行。ACM如需詳細資訊,請參閱 Amazon 在AWS安全部落格中介紹動態中繼憑證授權單
為什麼要使用 HTTPS?
首先,最重要的部分就是安全考量。HTTPS提供額外的安全層,因為它會用TLS來移動資料。HTTPSWeb 伺服器和用戶端瀏覽器之間的加密是機密的,因為它們是唯一可以解密流量的兩個實體。HTTPS連接也更安全,因為客戶端與服務器交換的數據不能被另一方修改。
除了上面提到的安全優勢外,還有其他原因可以使用HTTPSHTTP。舉例來說,2014 年時,Google 開始提高安全網站在搜尋結果中的排名。換句話說,與僅使用的網站相比,使用的HTTPS排名更接近搜索結果頂部的網站HTTP(所有其他事情都是相同的)。
程序概觀
使用 Lightsail 憑證的程序很簡單。包括下列步驟:
-
建立可使用 Lightsail 憑證的 Lightsail 資源,例如負載平衡器、CDN散發或容器服務。
-
使用 Lightsail 為您的網域建立憑證。
-
在您DNS的網域中新增標準名稱 (CNAME) 記錄來驗證憑證
-
將經過驗證的憑證附加至您的 Lightsail 資源。
-
修改您DNS的網域,將流量路由至您的 Lightsail 資源。
憑證附加至資源後,會使用加密透過網域路由至該資源的流量HTTPS。
在您的分發或容器服務中使用SSL/TLS憑證
HTTPS在 Lightsail 配送和容器服務上是必需的。當您建立這些資源時,HTTPS預設會針對資源的預設網域啟用 (例如,https://123456abcdef.cloudfront.net/針對散佈或https://container-service-1.123456abcdef.us-west-2.cs.amazonlightsail.com/容器服務)。如果您想要將註冊的網域名稱 (例如example.com) 用於分發或容器服務,您必須建立 LightsailSSL/TLS憑證、使用您的網域名稱驗證,並在資源上啟用自訂網域。啟用分發或容器服務上的自訂網域也會將網域經驗證的憑證連接至資源。
您可以通過以下鏈接開始啟用自定義域和HTTPS分發。
如需有關分發的詳細資訊,請參閱內容交付網路分發。
您可以按照以下鏈接開始啟用自定義域和HTTPS容器服務。
如需有關容器服務的詳細資訊,請參閱容器服務。
搭配負載平衡器使用SSL/TLS憑證
當您建立 Lightsail 負載平衡器時,預設會開啟連接埠 80 以處理一般HTTP流量。若要透過連接埠 443 啟用HTTPS流量,您必須建立SSL/TLS憑證、使用您的網域名稱進行驗證,然後將其附加至負載平衡器。
每個負載平衡器最多可以建立兩個SSL/TLS憑證。每個負載平衡器一次只能使用一個憑證。如果您從負載平衡器刪除有效的使用中憑證,則在您附加另一個有效憑證之前,負載平衡器將無法處理指定網域的HTTPS流量。
您可以按照以下連結開始HTTPS在負載平衡器上啟用。
如需負載平衡器的詳細資訊,請參閱負載平衡器。
