AWS证书管理器(ACM)现支持导出公钥证书 | AWS安全博客
作者:Pravin Nair, Chandan Kundapur和Santosh Vallurupalli
发布日期:2025年6月30日
分类:AWS证书管理器, 专家级(400), 安全/身份/合规, 技术指南
2025年7月2日更新:本文末尾新增FAQ章节,包含关于证书有效期变更及定价政策的回应。
AWS证书管理器(ACM)简化了公有/私有TLS证书的申请、管理和部署流程。为进一步增强灵活性,我们推出了ACM可导出公钥证书功能。该功能允许将ACM中的公钥TLS证书及关联私钥导出,用于保护Amazon EC2实例、Amazon EKS容器、本地服务器或其他云服务商环境的业务负载。此功能支持AWS账户中新创建的公有证书。
本文将演示如何自动化导出证书并分发至混合基础设施:
- 创建自动交付证书到EC2实例和混合环境虚拟机的工作流
- 利用Amazon EventBridge在证书签发/续期时触发自动导出
- 通过逐步指南详解自动化部署架构
背景:ACM证书管理机制
ACM作为托管服务,消除了购买、上传和续期TLS证书的复杂性。其核心优势包括:
- 为Elastic Load Balancing(ELB)、CloudFront等服务提供免费公有证书
- 支持导入第三方证书及通过AWS私有CA签发私有证书
- 新增导出功能前,ACM证书仅限集成AWS服务使用
工作原理:证书签发与续期
证书签发流程
- 申请证书:通过AWS控制台/CLI/API指定域名(如example.com)
- 域名验证:
- Route 53托管域名:自动验证
- 外部域名:DNS验证(CNAME记录)或邮件验证
- 证书签发:包含公钥、私钥和证书链
- 启用导出:创建证书时选择"Enable export"选项(图1)
- 导出证书:通过控制台/CLI/API导出PKCS#12格式文件(图2)
证书自动续期
- 续期触发:到期前60天自动启动
- 事件通知:通过EventBridge发送证书更新事件,新增
Exportable字段标识导出状态
{"detail": {"Exportable": "TRUE|FALSE" // 新增字段}
}
自动化部署方案
架构组件
- AWS Secrets Manager:安全存储导出密码
- DynamoDB:记录证书元数据(含Secrets Manager引用)
- Systems Manager:执行证书安装文档
- EventBridge:监听ACM事件触发工作流
工作流示例
-
初始导出流程(图3):
- API Gateway接收包含
CertificateArn和TargetTagKey的请求 - Step Functions协调Lambda生成随机密码并存储至Secrets Manager
- SSM文档将证书部署到标记的EC2实例(默认路径:/etc/ssl/)
- API Gateway接收包含
-
续期更新流程(图5):
- EventBridge捕获续期事件触发Lambda
- 查询DynamoDB获取目标实例标签
- 复用初始导出流程完成证书更新
定价与可用性
- 支持区域:全球商业区/AWS GovCloud/中国区
- 定价模型:按使用量计费,集成服务证书仍免费
FAQ
Q:是否支持更短有效期证书?
A:将分阶段实施CA/Browser Forum标准:
- 2026年3月前:最长398天
- 2026年3月起:200天
- 2027年3月起:100天
- 2029年3月起:47天
Q:短期证书如何定价?
A:AWS承诺保持合理年费水平,具体调整方案将提前公布。
完整解决方案代码已发布在GitHub,包含部署验证指南。通过该功能可实现跨环境统一证书管理,降低运维复杂度。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
