首页 » 亚马逊云科技解决方案 » 内容发布与边缘计算 » China CloudFront SSL 插件指南
China CloudFront SSL 插件指南
此亚马逊云科技解决方案有何用途 ?
China CloudFront SSL Plugin 解决方案可以帮助您在亚马逊云科技中国区域生成、更新和下载免费的 SSL 证书,并支持与 Amazon CloudFront 的集成及关联 SSL 证书的自动更新。该解决方案是完全无服务器的架构;通过 Let’s Encrypt 与开源工具 Certbot 自动、定期生成免费的 SSL 证书;自动将颁发的证书上传至 Amazon IAM SSL 证书存储以 CloudFront 集成及自动更新;备份 SSL 证书至 Amazon S3 中;方便下载;提供基于 IAM SSL 证书存储的 API 接口及管理界面。
方案优势
低成本
用无服务器架构及开源工具搭建,根据无服务器服务的调用次数收费,默认每 80 天才进行一次调用。
开箱即用
仅需三分钟即可完成解决方案的部署及证书的颁发,并支持证书下载以及与 Amazon CloudFront 的集成与自动更新。
完全开源
此方案中所有的代码均以开源的方式提供,若有不同的需求,您也可以在源代码基础上进行定制化开发。
解决方案架构及说明
此方案通过 Amazon CloudFormation 模版自动化部署一系列无服务器资源,包括 Amazon Lambda、Amazon SNS 主题、Amazon EventBridge 规则、Amazon API Gateway 等,以实现通过 Let’s Encrypt 与开源工具 Certbot 自动、定期生成免费的 SSL 证书,并自动将颁发的证书上传至 Amazon IAM SSL 证书存储以及 Amazon S3 中,并支持自动更新 Amazon CloudFront 中的 IAM SSL 证书。同时,本解决方案还提供基于 IAM SSL 证书存储的 API 接口及管理界面。
方案实施指南
- Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构 (CA)。
- Certbot 是一款免费的开源软件工具,可自动化的获取、部署和更新由 Let's Encrypt 颁发的 SSL 证书。
- Amazon Lambda 用于运行 Certbot 证书颁发及更新程序、API 管理界面以及 IAM SSL 证书管理 API。
- Amazon Route 53 用于域名解析,Certbot 证书颁发程序将根据域名以及托管在 Amazon Route53 中的托管区,自动生成并添加 DNS 验证记录,以满足 Let’s Encrypt 颁发机构对域名控制权的验证。如果您尚未将域名解析迁移至 Amazon Route 53,请点击参考文档。
- Amazon SNS 用于发送证书颁发状态的邮件通知。
- Amazon EventBridge 用于进行事件驱动,在解决方案堆栈部署与更新成功时自动运行 Certbo 证书 t 颁发程序,以实现证书的颁发。同时通过定时任务,默认每 80 天定期生成免费的 SSL 证书用于证书的续期。
- Amazon API Gateway 用于集成管理 SSL 证书的操作,提供调用接口。
- Amazon S3 存储桶用于存储备份的 SSL 证书,可通过 Amazon S3 控制台将证书下载到本地。
- IAM SSL 证书存储用于存储与 Amazon CloudFront 关联的 SSL 证书。在亚马逊云科技中国区域如果您需要使用 Amazon CloudFront 通过 HTTPS 提供内容,您需要使用 IAM SSL 证书存储,具体详情请参考 Amazon CloudFront 功能可用性和实现差异。本解决方案自动将颁发后的 SSL 证书添加至 IAM SSL 证书存储中,您需要在 Amazon CloudFront 分配中手动选择您需要关联的 SSL 证书,关联后即可实现 SSL 证书在 Amazon CloudFront 中的自动更新。