本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Certificate Manager HTTP 验证
超文本传输协议 (HTTP) 是在万维网上进行数据通信的基础协议。当您为使用的证书选择 HTTP 验证时 CloudFront,ACM 会利用此协议来验证您的域所有权。ACM 与配合使用 CloudFront ,为您提供特定 URL 和唯一令牌,您网域上的该 URL 必须允许访问这些令牌。此令牌可作为您控制域名的证据。通过在 CloudFront 基础架构中设置从您的域名重定向到 ACM 控制的位置,您可以证明自己有能力修改域上的内容,从而验证您的所有权。ACM 之间的这种无缝集成 CloudFront简化了证书颁发流程,尤其是对于 CloudFront 分发而言。
重要
HTTP 验证不支持通配符域名证书(例如*.example.com)。对于通配符证书,必须改用 DNS 验证或电子邮件验证。
例如,如果您使用请求example.com域的证书www.example.com作为附加名称 CloudFront,ACM 会为您提供两组用 URLs 于 HTTP 验证的证书。每组都包含一个redirectFrom网址和一个redirectTo网址,它们是专门为你的域名和 AWS 账户创建的。redirectFromURL 是您需要配置的网域(例如http://example.com/.well-known/pki-validation/example.txt)上的路径。该 redirectTo URL 指向 CloudFront 基础设施中存储唯一验证令牌的 ACM 控制位置。您只需要设置一次这些重定向。当证书颁发机构尝试验证您的域名所有权时,它将请求来自网址的文件,redirectFrom网址会 CloudFront 重定向到redirectTo网址,从而允许访问验证令牌。只要证书正在使用并且您的重定向仍然有效,ACM 就会自动 CloudFront 续订您的证书。
使用为完全限定域名 (FQDN) 设置 HTTP 验证后 CloudFront,只要仍存在 HTTP 重定向,您就可以为该 FQDN 申请其他 ACM 证书,而无需重复验证过程。这意味着您可以创建具有相同域名的替换证书,也可以创建涵盖不同子域名的证书。由于 HTTP 验证令牌适用于任何可用的 AWS 区域,因此您可以在多个区域中重新创建相同的证书。 CloudFront 只要重定向仍处于活动状态,您也可以替换已删除的证书,而无需再次进行验证过程。
要停止自动续订 HTTP 验证的证书,您有两种选择。您可以将证书从与其关联的 CloudFront 分配中删除,也可以删除为验证而设置的 HTTP 重定向。如果您使用内容分发网络 (CDN) 或 Web 服务器 CloudFront 来管理重定向,请查阅他们的文档以了解如何删除重定向。如果您使用 CloudFront 管理重定向,则可以通过更新分配的配置来删除重定向。有关托管证书续订的更多信息,请参阅中的托管证书续订 AWS Certificate Manager。请记住,停止自动续订可能会导致证书过期,从而中断您的 HTTPS 流量。
ACM 的 HTTP 重定向的工作原理
注意
本部分 CloudFront 适用于使用内容交付和 ACM 进行 SSL/TLS 证书管理的客户。
在 ACM 和中使用 HTTP 验证时 CloudFront,您需要设置 HTTP 重定向。这些重定向允许 ACM 验证您的域名所有权,以便进行初始证书颁发和持续的自动续订。重定向机制的工作原理是将您域上的特定 URL 指向存储唯一验证令牌 CloudFront的基础架构中 ACM 控制的位置。
下表显示了域名的重定向配置示例。请注意,HTTP 验证不支持通配符域(例如*.example.com)。每个配置的 “重定向自-重定向至” 配对用于验证域名所有权。
| 域名 | 重定向自 | 重定向到 | 注释 |
|---|---|---|---|
| example.com |
|
|
唯一 |
| www.example.com |
|
|
唯一 |
| host.example.com |
|
|
唯一 |
| subdomain.example.com |
|
|
唯一 |
| host.subdomain.example.com |
|
|
唯一 |
文件名中的xN值和 ACM 控制的域中的yN值是 ACM 生成的唯一标识符。例如,
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
代表生成的 “重定向自 URL”。关联的 “重定向到” 网址可能是
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
以获得相同的验证记录。
注意
如果您的 Web 服务器或内容分发网络不支持在指定路径上设置重定向,请参阅 HTTP 验证问题疑难解答。
当您请求证书并指定 HTTP 验证时,ACM 会按以下格式提供重定向信息:
| 域名 | 重定向自 | 重定向到 |
|---|---|---|
| example.com | http://example.com/.well-known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation。 region.acm-validations.aws/ /.well-known/pki-a424c7224e9b validation/.txt a79865eb4cd1a6ab990a45779b4e0b96 |
域名是与证书关联的 FQDN。重定向来源是您网域上的 URL,ACM 将在其中查找验证文件。“重定向到” 是托管实际验证文件的 ACM 控制的 URL。
您需要将 Web 服务器或 CloudFront 分发版本配置为将请求从 “重定向自” URL 重定向到 URL 重定向。设置此重定向的确切方法取决于您的 Web 服务器软件或 CloudFront 配置。确保重定向设置正确,以允许 ACM 验证您的域名所有权并颁发或续订您的证书。
设置 HTTP 验证
在颁发用于的公共 SSL/TLS 证书时,ACM 使用 HTTP 验证来验证您的域所有权。 CloudFront本节介绍如何将公共证书配置为使用 HTTP 验证。
在控制台中设置 HTTP 验证
注意
此过程假设您已经通过申请了证书, CloudFront 并且您正在创建证书的 AWS 地区工作。HTTP 验证只能通过 “ CloudFront 分发租户” 功能进行。
-
打开 ACM 控制台,网址为。https://console.aws.amazon.com/acm/
-
在证书列表中,请选择要配置的状态为 Pending validation(等待验证)的证书的 Certificate ID(证书 ID)。此时将打开证书的详细信息页面。
-
在域名部分,您可以看到证书请求中每个域名的 “重定向自” 和 “重定向至” 值。
-
对于每个域,设置从 “重定向自” 网址到 “重定向至” 网址的 HTTP 重定向。你可以通过你的 CloudFront 分发配置来做到这一点。
-
将您的 CloudFront 分配配置为将请求从 “重定向自” URL 重定向到 URL 重定向。设置此重定向的方法取决于您的 CloudFront 配置。
-
设置重定向后,ACM 会自动尝试验证您的域名所有权。这一过程耗时最多 30 分钟。
如果 ACM 无法在域名生成重定向值后的 72 小时内验证域名,则 ACM 会将证书状态更改为验证超时。出现此结果的最可能原因是您未成功设置 HTTP 重定向。要修复此问题,您必须在查看重定向说明后申请新证书。
重要
为避免验证问题,请确保 “重定向自” 位置的内容与 “重定向至” 位置的内容相匹配。如果遇到问题,请参阅HTTP 验证问题疑难解答。
注意
与 DNS 验证不同,您无法以编程方式请求 ACM 自动创建您的 HTTP 重定向。您必须通过 CloudFront 分发设置配置这些重定向。
有关 HTTP 验证工作原理的更多信息,请参阅ACM 的 HTTP 重定向的工作原理。
