****

当你在AWS上部署了HTTPS服务（比如ALB、CloudFront或EC2实例），可能会遇到需要导出SSL证书的场景：可能是为了迁移到其他平台、本地测试或备份。但AWS的控制台并没有直接的"导出证书"按钮，这让很多新手头疼。本文会用最直白的语言+实操案例，教你3种从AWS导出SSL证书的方法。

一、SSL证书在AWS中的存在形式

在AWS中，SSL证书主要通过 ACM（AWS Certificate Manager） 管理，但ACM的设计理念是"托管式服务"，所以：

- 特点1：证书私钥由AWS完全托管，用户无法直接获取（安全考虑）

- 特点2：若需完整证书链+私钥，必须通过其他途径

> ?? 举例：就像你把钱存在银行（ACM），平时刷卡消费（HTTPS访问）很方便，但想取出钞票（私钥）必须走特定流程。

二、方法1：直接从ACM导出（仅公钥部分）

适用场景：只需要证书文件（不含私钥），用于验证或配置其他服务

操作步骤：

1. 登录AWS控制台 → 搜索 ACM

2. 选择要导出的证书 → 点击 "导出证书"

3. 你会获得两个文件：

- `certificate.pem` （服务器证书）

- `certificate_chain.pem` （中间CA证书）

> ?? 注意：这种方法拿不到私钥！如果Nginx等服务需要`.key`文件会报错。

三、方法2：通过IAM服务导出（完整PEM文件）

如果证书最初是通过IAM上传的（非ACM申请），可以这样操作：

```bash

aws iam get-server-certificate --server-certificate-name YOUR_CERT_NAME

```

返回的响应中包含`CertificateBody`和`PrivateKey`字段，分别保存为：

- `server-cert.pem`

- `server-key.pem`

> ?? 案例：某用户曾在2025年通过IAM上传旧版证书，后来迁移到阿里云时就用了此方法。

四、方法3：从负载均衡器/CloudFront反向提取

当你的证书已绑定到ALB/CloudFront时：

步骤1：用OpenSSL抓包获取公钥

openssl s_client -connect your-domain.com:443 -showcerts

复制从`--BEGIN CERTIFICATE--`到结尾的内容到`.pem`文件。

步骤2：通过EC2实例提取私钥（需满足条件）

如果证书部署在EC2上（如Nginx/Apache），可登录服务器找到配置路径：

Nginx常见路径

/etc/nginx/ssl/server.key

私钥

/etc/nginx/ssl/server.crt

公钥

> ??? 真实故障案例：某公司因员工离职丢失了原始.key文件，最终从测试环境的EC2备份中恢复了Nginx配置。

五、关键注意事项

1. 私钥安全性

`.key`文件相当于保险箱密码，务必：

- 用`chmod 400 server.key`设置权限

- 通过SCP传输时启用SSH加密

2. 格式转换常见需求

如果需要`.pfx/.p12`格式（比如Windows IIS）：

```bash

openssl pkcs12 -export -out bundle.pfx -inkey server.key -in server.crt

```

3. ACM的限制规避技巧

如果必须使用ACM且需要私钥：

- 提前在本地生成CSR+密钥对 → AWS文档称此为[「BYO-PK」方案](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)

六、表格对比

| 方法 | 获取内容 | 是否需要权限 | 适用场景 |

||-|--||

| ACM控制台导出 | 仅公钥+CA链 | ACM只读 | HTTPS验证/CDN配置 |

| IAM CLI工具 | 完整PEM | IAM管理员 | IAM历史遗留证书 |

| EC2/Nginx配置文件 | 公钥+私钥 | EC2 SSH访问 | 紧急恢复/迁移 |

延伸问题解答

Q: AWS为什么不让直接下载私钥？

A: ACM的设计遵循"最小权限原则"，就像Gmail不允许导出密码一样，降低泄露风险。如需完全控制，建议使用自签名证书或第三方CA。

TAG:aws 怎么导出ssl证书,aws exam,aws certificate,aws上传文件