V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Had
V2EX  ›  SSL

AWS Certificate Manager, AWS 也提供免费证书了!

  •  
  •   Had · 2016-01-23 00:25:59 +08:00 · 6096 次点击
    这是一个创建于 3253 天前的主题,其中的信息可能已经有所发展或是发生改变。
    详见: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

    关于 AWS 也想做 CA 这件事,还有: https://www.amazontrust.com/index.html

    一个示例: https://serverlesscode.com/

    当然 AWS 的目前只能用于自家的 ELB 和 CloudFront...
    19 条回复    2016-01-24 02:04:56 +08:00
    rainy3636
        1
    rainy3636  
       2016-01-23 00:32:11 +08:00
    还能再长一些吗
    oojiayu
        2
    oojiayu  
       2016-01-23 00:42:37 +08:00
    这也算是鸡肋吧,只能用于自家的产品……
    moult
        3
    moult  
       2016-01-23 00:57:31 +08:00
    不过看图,好像支持野卡。
    imWBB
        4
    imWBB  
       2016-01-23 01:04:18 +08:00


    好长好长
    长长长长长
    五个唉
    function007
        5
    function007  
       2016-01-23 01:59:10 +08:00
    只能用于自家这个无爱了。。
    SharkIng
        6
    SharkIng  
       2016-01-23 06:47:39 +08:00
    为什么我这里看到的只有四个???
    @rainy3636
    @imWBB


    imxieke
        7
    imxieke  
       2016-01-23 09:08:43 +08:00 via Android
    @moult 在控制面板可以申请的
    qgy18
        8
    qgy18  
       2016-01-23 09:58:58 +08:00
    @SharkIng 因为 OSX 将 Starfield Services Root Certificate Authority - G2 也收录到受信任的系统根证书列表了。浏览器验证和显示证书链时,找到第一个根证书即可。

    但是为了保证兼容性,服务端还是得输出四个证书,这会导致 TLS 握手阶段的 Certificate 响应变大,不好不好。

    我之前的文章有写到证书这块:
    https://imququ.com/post/optimize-tls-handshake.html#toc-2
    SharkIng
        9
    SharkIng  
       2016-01-23 11:38:00 +08:00
    @qgy18 原来是这样。。。。
    Had
        10
    Had  
    OP
       2016-01-23 13:42:06 +08:00
    @qgy18 你又换回 RapidSSL 啦?

    话说, RapidSSL 可以 reissue SHA-2 root 的证书了, Intermediate CA 是 RapidSSL SHA256 CA - G4

    看 AWSTrust ,其实也有 ECC 的两条,但是受制于根证书的信任问题,暂时只能做交叉信任了...
    qgy18
        11
    qgy18  
       2016-01-23 13:51:14 +08:00
    @Had 是啊,因为 Let's Encrypt 的中间证书在 XP 下有问题。我打算等它出 ECC 的时候再切过来,反正 XP 也不支持 ECC 。
    qgy18
        12
    qgy18  
       2016-01-23 14:11:08 +08:00
    @Had 好奇怪,我港区 reissue 了一下,还是 G3 ,这个需要做什么特殊操作么?

    Had
        13
    Had  
    OP
       2016-01-23 14:35:33 +08:00   ❤️ 1
    @qgy18
    在 Reissue 界面,有个: Hashing Algorithm
    可选项为:
    1. SHA256 with RSA or DSA and SHA-1 root
    2. SHA256 with RSA and SHA256 root

    选 2 即可...

    进入管理界面: https://products.geotrust.com/orders/orderinformation/authentication.do
    qgy18
        14
    qgy18  
       2016-01-23 14:40:04 +08:00
    @Had 嗯,我是在 namecheap.com 买的证书,联系他们客服搞定了。
    之前我都是在 namecheap 后台 reissue ,跟他们客服说了需求后,直接让我去 geotrust 后台操作。



    namecheap 客服还是很专业的。
    Had
        15
    Had  
    OP
       2016-01-23 15:03:11 +08:00
    @qgy18

    你的 Nginx 还是这个配置么?
    https://imququ.com/post/my-nginx-conf-for-security.html

    我发现如果去掉 ssl_dhparam 在你的 cipher suite 下应该是没有影响的。
    qgy18
        16
    qgy18  
       2016-01-23 15:56:16 +08:00
    @Had 去掉 ssl_dhparam 是走默认的 dhparam ,是没有影响的。

    我现在 cipher suite 用的下面这个,换成了 cloudflare patch 的 openssl ,别的没有变动。
    https://github.com/cloudflare/sslconfig/blob/master/conf
    Had
        17
    Had  
    OP
       2016-01-23 16:31:20 +08:00
    @qgy18

    我的意思是指,去掉 ssl_dhparam 并不影响 SSLLABS 评分(加密强度)。
    之前的配置之所以要自己生成的原因是,默认的 dhparam 强度不够。
    wdlth
        18
    wdlth  
       2016-01-23 21:09:12 +08:00
    Amazon 这种高大上的竟然买狗爹的 PKI ……
    sky170
        19
    sky170  
       2016-01-24 02:04:56 +08:00
    "自家"已无爱= =
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2814 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:54 · PVG 22:54 · LAX 06:54 · JFK 09:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.