AWS证书管理器现支持导出公钥证书 - 增强混合环境TLS管理能力

AWS证书管理器(ACM)现支持导出公钥证书 | AWS安全博客

作者：Pravin Nair, Chandan Kundapur和Santosh Vallurupalli
发布日期：2025年6月30日
分类：AWS证书管理器, 专家级(400), 安全/身份/合规, 技术指南

---

2025年7月2日更新：本文末尾新增FAQ章节，包含关于证书有效期变更及定价政策的回应。

AWS证书管理器(ACM)简化了公有/私有TLS证书的申请、管理和部署流程。为进一步增强灵活性，我们推出了ACM可导出公钥证书功能。该功能允许将ACM中的公钥TLS证书及关联私钥导出，用于保护Amazon EC2实例、Amazon EKS容器、本地服务器或其他云服务商环境的业务负载。此功能支持AWS账户中新创建的公有证书。

本文将演示如何自动化导出证书并分发至混合基础设施：

1. 创建自动交付证书到EC2实例和混合环境虚拟机的工作流
2. 利用Amazon EventBridge在证书签发/续期时触发自动导出
3. 通过逐步指南详解自动化部署架构

背景：ACM证书管理机制

ACM作为托管服务，消除了购买、上传和续期TLS证书的复杂性。其核心优势包括：

• 为Elastic Load Balancing(ELB)、CloudFront等服务提供免费公有证书
• 支持导入第三方证书及通过AWS私有CA签发私有证书
• 新增导出功能前，ACM证书仅限集成AWS服务使用

工作原理：证书签发与续期

证书签发流程

1. 申请证书：通过AWS控制台/CLI/API指定域名(如example.com)
2. 域名验证：
   • Route 53托管域名：自动验证
   • 外部域名：DNS验证(CNAME记录)或邮件验证
3. 证书签发：包含公钥、私钥和证书链
4. 启用导出：创建证书时选择"Enable export"选项（图1）
5. 导出证书：通过控制台/CLI/API导出PKCS#12格式文件（图2）

证书自动续期

• 续期触发：到期前60天自动启动
• 事件通知：通过EventBridge发送证书更新事件，新增Exportable字段标识导出状态

{
  "detail": {
    "Exportable": "TRUE|FALSE"  // 新增字段
  }
}

自动化部署方案

架构组件

• AWS Secrets Manager：安全存储导出密码
• DynamoDB：记录证书元数据（含Secrets Manager引用）
• Systems Manager：执行证书安装文档
• EventBridge：监听ACM事件触发工作流

工作流示例

1. 初始导出流程（图3）：

   • API Gateway接收包含CertificateArn和TargetTagKey的请求
   • Step Functions协调Lambda生成随机密码并存储至Secrets Manager
   • SSM文档将证书部署到标记的EC2实例（默认路径：/etc/ssl/）

2. 续期更新流程（图5）：

   • EventBridge捕获续期事件触发Lambda
   • 查询DynamoDB获取目标实例标签
   • 复用初始导出流程完成证书更新

定价与可用性

• 支持区域：全球商业区/AWS GovCloud/中国区
• 定价模型：按使用量计费，集成服务证书仍免费

FAQ

Q：是否支持更短有效期证书？
A：将分阶段实施CA/Browser Forum标准：

• 2026年3月前：最长398天
• 2026年3月起：200天
• 2027年3月起：100天
• 2029年3月起：47天

Q：短期证书如何定价？
A：AWS承诺保持合理年费水平，具体调整方案将提前公布。

完整解决方案代码已发布在GitHub，包含部署验证指南。通过该功能可实现跨环境统一证书管理，降低运维复杂度。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码