2016-11-12

如何匯入 SSL 憑證到 AWS Certificate Manager

AWS Certificate Manager (ACM) 是 AWS 推出用來管理、部署 SSL 憑證的免費 SaaS 服務 (前提是得搭配 Elastic Load Balancing (ELB)CloudFront 一起使用)。近日凍仁接獲幫公司更新 SSL 憑證的任務便把玩了一下,第一次接觸總有些膽顫心驚,相信這份筆記可以讓多年後的凍仁就不用再緊張一次了。

▲ AWS 官方的 ACM 介紹。

1. 登入 AWS Console 主控台,並找到 Certificate Manager

▲ 除了在 Dashboard 進入 Certificate Manager 外,我們還可以從 Security & Identity 分類進入。

2. 按下 Import a certificateReimport certificate
3. 參照 AWS 官方文件,依序填入 Certificate body, Certificate private key 和 Certificate chain 1

▲ ACM 匯入 SSL Certificate 的主界面。

  • Certificate body: 請填入憑證廠商給予的網頁伺服器憑證 (Web Server Certificate)
    -----BEGIN CERTIFICATE-----
    Base64-encoded certificate
    -----END CERTIFICATE-----
  • Certificate private key: 請填入製作憑證請求檔 (Certificate Signing Request, CSR) 時所產生的私鑰 (Private Key)
    -----BEGIN RSA PRIVATE KEY-----
    Base64-encoded private key
    -----END RSA PRIVATE KEY-----
  • Certificate chain: 請填入憑證廠商給予的憑證串鍊 (Intermediate CA)
    -----BEGIN CERTIFICATE-----
    Base64-encoded certificate
    -----END CERTIFICATE-----

4. 如果是使用 Reimport certificate 的話,則會看到前後兩個憑證的對照資訊。
▲ 左方為當前的 SSL 憑證,而右方為新匯入的 SSL 憑證。

5. 大功告成!記得把剛匯入的 Certificate 識別碼 (Identifier) 記好以免日後搞混。

SSL 憑證一般是 1 ~ 3 年換一次,下次再回來看這篇文章應該是 2, 3 年過了!期許那時的凍仁早已拿到至少一張的 AWS 相關證照!!!

1 本範例使用的 SSL 憑證是從 NameCheap 所核定的,別家廠商可能會用不同於 INTERMEDIATE CA 的字眼。

相關連結:
Generating CSR on Apache + OpenSSL/ModSSL/Nginx + Heroku | Namecheap.com Knowledgebase
Apache SSL 憑證請求檔製作與憑證安裝手冊 - GCA_Apache_CSR_and_INSTALL.pdf
Q&A - SSL 憑證推薦網 (code Sign)
常用 OPENSSL 指令介紹 | SSL 憑證推薦網 (code Sign)
Top #cloudcomputing news | paper.li

資料來源:
Importing Certificates into AWS Certificate Manager | AWS Certificate Manager