AWS推出可导出的公共 SSL/TLS证书，可在任何地方使用。

亚马逊宣布推出可从AWS Certificate Manager (ACM)导出的公有 SSL/TLS 证书。可以免费颁发自己的公有证书或导入第三方证书颁发机构 (CA) 颁发的证书，并将其与Elastic Load Balancing (ELB)、Amazon CloudFront分发和Amazon API Gateway等集成的 AWS 服务一起部署。

近期，亚马逊云科技（AWS）宣布了一项重要更新：AWS Certificate Manager（ACM）现在支持导出公有SSL/TLS证书。此举为用户提供了更大的灵活性，因为它允许将证书及其私钥部署到AWS生态系统之外的工作负载上，如本地主机、容器或Amazon EC2实例。

主要特性与操作流程

证书导出功能：在此项功能推出前，ACM颁发的免费公共证书仅限于AWS内部服务，如Elastic Load Balancing（ELB）和Amazon CloudFront。现在，用户可以申请新的“可导出”公共证书，并在颁发后访问其私钥，将其用于需要SSL/TLS加密的任何工作负载。

申请与验证：申请新证书时，用户需要在ACM控制台中选择“启用导出”，或在AWS CLI中使用 request-certificate命令并添加 Export=ENABLED参数。申请后，需要完成域名验证以证明所有权，验证通过后证书即可颁发。

导出与使用：当证书状态变为“已颁发”时，用户可以选择“导出”并设置密码来加密私钥。导出的文件为PEM编码，可供复制或下载。用户还可以使用 export-certificate命令通过CLI进行导出。

重要事项与费用

• 有效期与续订：可导出的公共证书有效期为395天。续订时，您需要支付新证书的签发费用。
• 费用：使用此功能需额外付费。每个完全限定域名的费用为15美元，通配符域名的费用为149美元。费用在证书有效期内只需支付一次，续订时再次收费。
• 密钥安全：由于私钥现在可以被导出，用户需自行负责其安全存储和访问控制，以防泄露。
• 撤销：用户可以根据组织政策或安全需求撤销导出的证书。撤销是全局且永久性的，一旦撤销，证书将无法恢复使用。
• 自动化续订：用户可以利用Amazon EventBridge配置自动续订事件，以简化证书的管理和部署流程。

这项新功能的推出为希望在AWS内部和外部统一管理SSL/TLS证书的用户提供了更多选择和便利，供大家参考！