AWS Certificate Manager， AWS 也提供免费证书了！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3221 天前的主题，其中的信息可能已经有所发展或是发生改变。

详见： https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

关于 AWS 也想做 CA 这件事，还有： https://www.amazontrust.com/index.html

一个示例： https://serverlesscode.com/

当然 AWS 的目前只能用于自家的 ELB 和 CloudFront...

19 条回复 • 2016-01-24 02:04:56 +08:00

rainy3636

2016-01-23 00:32:11 +08:00

还能再长一些吗

oojiayu

2016-01-23 00:42:37 +08:00

这也算是鸡肋吧，只能用于自家的产品……

moult

2016-01-23 00:57:31 +08:00

不过看图，好像支持野卡。

imWBB

2016-01-23 01:04:18 +08:00

好长好长
长长长长长
五个唉

function007

2016-01-23 01:59:10 +08:00

只能用于自家这个无爱了。。

SharkIng

2016-01-23 06:47:39 +08:00

为什么我这里看到的只有四个？？？
@rainy3636
@imWBB

imxieke

2016-01-23 09:08:43 +08:00 via Android

@moult 在控制面板可以申请的

qgy18

2016-01-23 09:58:58 +08:00

@SharkIng 因为 OSX 将 Starfield Services Root Certificate Authority - G2 也收录到受信任的系统根证书列表了。浏览器验证和显示证书链时，找到第一个根证书即可。

但是为了保证兼容性，服务端还是得输出四个证书，这会导致 TLS 握手阶段的 Certificate 响应变大，不好不好。

我之前的文章有写到证书这块：
https://imququ.com/post/optimize-tls-handshake.html#toc-2

SharkIng

2016-01-23 11:38:00 +08:00

@qgy18 原来是这样。。。。

Had

2016-01-23 13:42:06 +08:00

@qgy18 你又换回 RapidSSL 啦？

话说， RapidSSL 可以 reissue SHA-2 root 的证书了， Intermediate CA 是 RapidSSL SHA256 CA - G4

看 AWSTrust ，其实也有 ECC 的两条，但是受制于根证书的信任问题，暂时只能做交叉信任了...

qgy18

2016-01-23 13:51:14 +08:00

@Had 是啊，因为 Let's Encrypt 的中间证书在 XP 下有问题。我打算等它出 ECC 的时候再切过来，反正 XP 也不支持 ECC 。

qgy18

2016-01-23 14:11:08 +08:00

@Had 好奇怪，我港区 reissue 了一下，还是 G3 ，这个需要做什么特殊操作么？

Had

2016-01-23 14:35:33 +08:00

@qgy18
在 Reissue 界面，有个： Hashing Algorithm
可选项为：
1. SHA256 with RSA or DSA and SHA-1 root
2. SHA256 with RSA and SHA256 root

选 2 即可...

进入管理界面： https://products.geotrust.com/orders/orderinformation/authentication.do

qgy18

2016-01-23 14:40:04 +08:00

@Had 嗯，我是在 namecheap.com 买的证书，联系他们客服搞定了。
之前我都是在 namecheap 后台 reissue ，跟他们客服说了需求后，直接让我去 geotrust 后台操作。

namecheap 客服还是很专业的。

Had

2016-01-23 15:03:11 +08:00

@qgy18

你的 Nginx 还是这个配置么？
https://imququ.com/post/my-nginx-conf-for-security.html

我发现如果去掉 ssl_dhparam 在你的 cipher suite 下应该是没有影响的。

qgy18

2016-01-23 15:56:16 +08:00

@Had 去掉 ssl_dhparam 是走默认的 dhparam ，是没有影响的。

我现在 cipher suite 用的下面这个，换成了 cloudflare patch 的 openssl ，别的没有变动。
https://github.com/cloudflare/sslconfig/blob/master/conf

Had

2016-01-23 16:31:20 +08:00

@qgy18

我的意思是指，去掉 ssl_dhparam 并不影响 SSLLABS 评分（加密强度）。
之前的配置之所以要自己生成的原因是，默认的 dhparam 强度不够。

wdlth

2016-01-23 21:09:12 +08:00

Amazon 这种高大上的竟然买狗爹的 PKI ……

sky170

2016-01-24 02:04:56 +08:00

"自家"已无爱= =