AWS CloudFront SSL插件使用文档

该部署方式提供在亚马逊云科技中国区域自动生成、更新和下载SSL证书的解决方案，支持与Amazon CloudFront集成和自动更新，要求使用Amazon Route 53解析域名。

用途

该部署方式可以帮助您在亚马逊云科技中国区域生成、更新和下载SSL证书(DV、OV、EV)，并支持与 Amazon CloudFront 的集成及关联 SSL 证书的自动更新。使用该方式部署SSL证书的前置条件为使用Amazon Route 53 解析您的域名。如果你想将域名解析迁移至Amazon Route 53，请参考域名解析迁移教程。

说明

该方案是基于AWS China CloudFront SSL 插件进行定制化开发，方案架构图如下所示：

架构图

Certbot 是一款免费的开源ACME客户端工具，可自动化的获取、部署和更新 SSL 证书。
Lambda is 用于 Certbot 及、以及。
Route is 用于 53 ， Certbot 将根据以及在 Route53 中的，并，以满足对的。
Amazon SNS 用于发送证书颁发状态的邮件通知。
Amazon EventBridge 用于进行事件驱动，在方案堆栈部署与更新成功时自动运行 Certbot 证书颁发程序(Lambda)，以实现证书的颁发。同时通过定时任务，默认每 80 天定期生成免费的 SSL 证书用于证书的续期。
Amazon API Gateway 用于集成管理 SSL 证书的操作，提供调用接口。
Amazon S3 存储桶用于存储备份的 SSL 证书，可通过 Amazon S3 控制台将证书下载到本地。

几乎 * ：无及，根据无的，每 80 天才进行一次。

即用：仅三分钟完成的及的，并以及与的与。

完全开源：此方案中所有的代码均以开源的方式提供，若有不同的需求，您也可以在源代码基础上进行定制化开发。

本无，会产生的，例如无，少量的 3 和等。但因的需要，使用 53 将会 3 . 575 元 / 的。

使用

准备

您 is 有需要在 CertCloud 有一个的的或一个的。的ACME部署 或签发策略的申请证书`,如下所示：

ACME部署

AWS平台部署方式,最终跳转到AWS CloudFormation堆栈创建页面，如下图所示：

ACME部署

创建堆栈

Certcloud已为你自动创建了初始化部署相应的模板，只需要点击右下角下一步,结果如下所示：

ACME部署

堆栈 is 名称：为你的，可以是或等，中其他时的会该。
Email: 邮箱,默认值为账户配置的通知邮箱，用于接受SNS服务和CA机构的邮件通知，可修改。
Domain : ，的域名 is 建议，不
SSL Renew Interval Days: 证书轮换周期，默认值为80天，可修改。

当上述后，继续 下一步，您 is 自定义可以的一些，也可使用的；继续 下一步进行确认部署信息后，确认完毕后在页面底部勾选最下方蓝色窗口内的“我确认”，并点击右下角提交按钮。

确认部署信息

完成后，你 is 进行可以在 Formation – 进行， 5 分钟左右完成。

等待堆栈部署过程请及时查看您刚刚填写的邮箱，您将收到由如图所示的邮件地址发送的 SNS 邮件提醒订阅的确认请求。请尽快点击订阅确认链接以便及时接收 SNS 消息通知，否则您可能会错过首次证书颁发的信息。

ACME部署

订阅成功后的提示如下所示：

订阅成功

后，您 is 看到可以在 – 中看到三个，如下：

CloudfrontConsole：访问 Amazon CloudFront 控制台，快速绑定已经颁发的证书
ManagementWebURL：访问 SwaggerUI，查看或删除 IAM 中已有的 SSL 证书
S3BucketURL：访问 Amazon S3 控制台，查看或下载颁发的 SSL 证书,桶中的.tar.gz即为证书，桶的命名前缀为堆栈的名称，每次签发都会在桶中新增一个证书对象

使用证书

堆栈部署成功后，将自动为您的域名申请 SSL 证书。如果已经及时在邮件中订阅 SNS 主题，您会收到由如图所示的邮件地址发送的邮件提醒，以提示您成功颁发 SSL 证书。证书名称由堆栈名称与 SSL 证书过期时间组成。例如：Certbot-2023-11-14-1540，名称后的数字代表证书过期时间，如图所示为 2023 年 11 月 14 日 15 点 40 分。

签发成功通知

接下来就是使用证书，打开 CloudFront 控制台，创建或选择您已有的分配，找到编辑备用域名与 SSL 证书的选项入口。

CloudFront编辑

然后再自定义 SSL 证书的下拉菜单中选择对应的 SSL 证书，证书名称的前缀为堆栈的名称,选择后进行保存。

选择证书