什么是SSL证书？为什么你的网站需要它？

想象一下，你正在咖啡馆用公共WiFi网购，输入信用卡信息时，如果没有SSL证书保护，这些敏感数据就像明信片一样在网络中"裸奔"，任何人都能轻易截获。SSL证书（现在更准确的说法是TLS证书）就像给你的网站安装了一个加密隧道，所有传输的数据都会被"打乱"，只有你和服务器才能"读懂"。

在AWS上部署SSL证书后，你的网站会从危险的"http://"变成安全的"https://"，浏览器地址栏还会显示一个小锁图标。这不仅保护用户数据安全，还能：

1. 提升Google搜索排名（Google明确将HTTPS作为排名因素）

2. 避免浏览器显示"不安全"警告吓跑用户

3. 满足支付系统（如PCI DSS）和隐私法规（如GDPR）的合规要求

AWS SSL证书类型详解：选对才能省心又省钱

AWS提供了三种主要的SSL证书获取方式：

1. AWS Certificate Manager (ACM) - 最省心的选择

适用场景：用于AWS服务（如ELB、CloudFront、API Gateway）的免费证书

特点：

- 完全免费（但仅限AWS服务使用）

- 自动续期，永远不用担心过期

- 支持通配符证书（*.example.com）

例子：如果你的网站在EC2前面有Application Load Balancer(ALB)，直接在ACM申请并关联到ALB是最简单的方案。

2. 从第三方CA购买 - 最灵活的选择

适用场景：需要在非AWS服务器使用的证书或需要特定验证级别的证书

常见CA机构：

- DigiCert（高端企业首选）

- Sectigo（性价比高）

- GlobalSign（日企常用）

价格区间：单域名DV证书约$50/年，OV企业验证约$200/年，EV扩展验证约$300/年

3. Let's Encrypt - 技术控的最爱

适用场景：预算有限但技术能力强的团队

- 完全免费

- 每90天需要续期一次

- AWS官方不直接集成，需通过EC2上的客户端获取

ACM申请实战：5步搞定AWS免费SSL证书

让我们以最常见的ACM申请为例：

Step1: 登录AWS控制台

进入[ACM控制台](https://console.aws.amazon.com/acm/home)，选择"请求证书"

Step2: 选择证书类型


- 公有证书：用于互联网-facing的服务

- 私有证书：用于内部VPC通信

- **通配符选项：勾选可保护*.example.com的所有子域名

Step3: DNS验证 vs Email验证

建议选择DNS验证更可靠：

```plaintext

记录类型: CNAME

名称: _1234567890.example.com.

值: _abcd1234.abcd.acm-validations.aws.

TTL: 300

```

Step4: Tag设置（可选）

为成本中心分配标签是个好习惯：

Key: Department

Value: Marketing

Step5: Review & Confirm

确认域名拼写无误后提交请求。

SSL/TLS配置最佳实践：不只是拿到证就完事！

即使有了SSL证书，错误配置仍可能导致安全问题。以下是关键检查点：

A+级安全配置示例（使用SSL Labs测试）

```nginx

ssl_protocols TLSv1.2 TLSv1.3;

禁用老旧协议

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256...';

现代加密套件

ssl_prefer_server_ciphers on;

ssl_session_timeout 1d;

ssl_session_cache shared:MozSSL:10m;

HSTS头强制HTTPS(在CloudFront中设置)

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

OCSP装订提升性能(ACM自动启用)

减少客户端验证吊销状态时的延迟。

SSL部署后的必查清单

1. 混合内容问题检查

使用[Why No Padlock](https://www.whynopadlock.com/)工具找出页面中仍然通过HTTP加载的资源

2. 多域名覆盖检查

确保所有子域名都有对应保护：

- www.example.com

- api.example.com

- cdn.example.com

3. 有效期监控

对于非ACM管理的第三方证书，设置CloudWatch警报：

```bash

openssl x509 -enddate -noout -in cert.pem

```

AWS服务集成指南：不同场景下的部署方案

| AWS服务 | SSL部署方式 | TIPS |

||-|--|

| EC2直连 | Nginx/Apache安装第三方或Let's Encrypt | ELB+ACM方案通常更优 |

| ALB/NLB | ACM直接关联 | HTTP->HTTPS重定向在监听器设置 |

| CloudFront | ACM全局区域申请 | Edge优化减少延迟 |

| API Gateway | ACM自动管理 | REST和HTTP API都支持 |

| S3静态网站 | CloudFront+ACM | S3本身不支持自定义SSL |

TLS常见故障排除速查表

?? NET::ERR_CERT_COMMON_NAME_INVALID

→ SAN列表不匹配当前域名，重新签发或添加备用名称

?? "连接不是私密连接"

→ CA根证书未受信任，检查中间链是否完整

?? ERR_SSL_VERSION_OR_CIPHER_MISMATCH

→ 客户端不支持服务器配置的协议版本

运维小技巧：用openssl诊断连接问题：

```bash

openssl s_client -connect example.com:443 -servername example.com -tlsextdebug

SSL进阶玩法：让安全成为竞争力

对于电商等高安全性要求的业务：

1?? EV扩展验证证书

显示绿色公司名称地址栏(需营业执照等严格审核)

2?? 多域SAN证书

一个证保护多个完全不同的域名:

DNS Names:

? example.com

? example.net

? shop.example.org

3?? 双向TLS(mTLS)

API接口的双向认证防御中间人攻击:

```python

Flask mTLS示例代码片段

@app.before_request

def verify_client_cert():

cert = request.environ.get('werkzeug.socket').getpeercert()

if not cert or cert['subject'][4][0][1] != "Allowed Client":

abort(403)

记住在AWS世界，"安全责任共担模型"意味着你负责正确配置这些安全层。定期运行Amazon Inspector进行漏洞扫描也是明智之举。现在就去为你的云资源装上这把数字世界的防盗锁吧！

TAG:aws ssl证书申请,aws sysops认证,aws developer认证,aws security认证