輕鬆使用 AWS Certificate Manager（ACM），佈建、管理、安裝 SSL/TLS 憑證

AWS 雲端運算服務

2023/02/13

技術六處三部雲端解決方案架構師 Johnson Liu

在建置網站服務為了確保瀏覽器與伺服器之間的通訊傳輸是安全的，所以為了安全會在提供服務的網域下添加 SSL/TLS 憑證，添加了憑證的的網域在瀏覽器上的網址列會顯示一個鎖頭，表示已建立安全連線，詳細看網址的話會發現開頭是 https。AWS Certificate Manager（ACM）提供了輕鬆取得憑證的服務，在一般市面上申請憑證需要提供金鑰對（Key-Pair）或憑證簽署要求（CSR）給憑證授權機構，收到憑證後還需要上傳和安裝，但在AWS Certificate Manager 只需要按個幾下，憑證產生後開箱即用。

此篇文章將會示範如何在 AWS Certificate Manager請求公有 SSL/TLS 憑證，並將憑證運用在 Amazon Elastic Load Balancer（ELB）。

為什麼 SSL/TLS 憑證很重要？

1. 保護個人資料：像是在網站上輸入信用卡卡號或是其他敏感資訊，當然不希望敏感資訊外流，網站使用了 SSL/TLS 保護，可以確保與這個網站的通訊都會加密。

2. 增進使用者信心：當用戶在訪問網站時看到具有鎖頭圖示，代表此網站受到 SSL/TLS 保護，客戶就會放心的使用網站。

3. 法律合規：有些企業必須遵守當地政府的法規，確保資料的機密性與安全性。例如支付卡行業的企業必須遵守 PCI DSS，其要求使用 SSL/TLS 憑證保護網頁與伺服器間的傳輸安全。

4. 改善搜尋引擎：在某些搜尋引擎的網站可見度排名，已經將網站使用 SSL/TLS 憑證納入重要的指標，使用 SSL/TLS 憑證將會使網站獲得比較高的排名，更加容易被搜尋到。

( 圖片取自AWS Certificate Manager : https://aws.amazon.com/tw/what-is/ssl-certificate/ © Amazon Web Service )

透過 AWS Certificate Manager 佈建公有 SSL/TLS 憑證無需付費。
但如果透過 ACM 管理私有憑證機構（CA），請參考「AWS Certificate Manager定價」：
https://aws.amazon.com/tw/certificate-manager/pricing/

什麼是 AWS Certificate Manager？

AWS Certificate Manager 是一種管理公有或私有 SSL/TLS 憑證管理服務，並與其他 Amazon Web Service 整合，例如 Elastic Load Balancing、Amazon CloudFront。ACM 能夠輕鬆取得與管理憑證，能夠省去許多耗時且容易出錯的步驟，且憑證到期時還能夠自動續約。

在 ACM 上檢視、請求公有 SSL/TLS 憑證

1. 從 AWS Management Console 進入到 AWS Certificate Manager 後點選左側的列出憑證就能看到申請的所有憑證，下列圖片是第一次使用進入的範例，所以沒有任何憑證。

2. 請求新的公有憑證，點選右上角的請求按鈕，請求公有憑證。

3. 輸入此 SSL/TLS 憑證需要保護的網域名稱，並選擇驗證方法與金鑰演算法。

4. 回到頁面後點選重新整理後即可看到請求的憑證。

將 SSL/TLS 憑證掛載在 Elastic Load Balancer

申請好 SSL/TLS 憑證過後，接著我們需要將憑證安裝到對應的服務，此次將會示範安裝到 ELB，並假設您已經在 Amazon Route 53 申請好使用的網域，與假設 ELB 已經建立完成，如果要搭配其他的服務請參考網址：https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

1. 點選已經發行的憑證後，點選『在Route 53 中建立紀錄』，建立完成後在 Route 53 中就會有 CNAME 紀錄

2. 在 Route 53 添加紀錄類型 A，填入需要導向的網域，別名按鈕打開，選擇『Application 和 Classic Load Balancer 的別名』，接著選擇所在區域，最後選擇要導向的 ELB。

3. 在 ELB 內新增接聽程式，通訊協定選擇 HTTPS，連接埠與預設動作可依實際需求調整，最重要的是調整『預設 SSL/TLS 憑證』，選取從 ACM，接著選擇剛剛對應到此網域的憑證即可完成。

使用 AWS Certificate Manager 能依據專案需求在不同的 Region（地區）佈建 SSL/TLS 憑證，可以減少因為地理區域的網路傳輸延遲以及依據專案架構調整。使用 ACM 憑證服務不僅能夠輕鬆的佈建與管理，還能與其他 AWS 服務搭配使用。而目前在資安與法規的需求下，網站具有安全憑證的情況也越來越普及，使用憑證不僅是為了保障用戶的資料安全，同時也能增加用戶對網站的安全信賴。

MetaAge 邁達特，除了技術支援，也提供 7 x 24 全託管MSP服務

MetaAge 邁達特數位在資安、網路、儲存、伺服器、虛擬化、資料庫管理有豐富經驗，技術深厚的架構師群與維運團隊是企業雲服務的最佳幫手。客戶無論想要部署 AWS 服務，進一步代管維運（Cloud Managed Service）、基礎架構即代碼(Infrastructure-as-code)、 API 整合、雲地整合等加值服務，邁達特均能一站式滿足多構面需求。

專業資訊應用服務供應商

MetaAge 邁達特數位(原聚碩科技)於1998年創業之初，即以成為「The ICT Solution Provider專業資訊應用服務供應商」角色自期，為經銷夥伴與企業用戶提供一流產品與專業服務，成為業界最佳之加值服務名牌通路商。針對廣大的經銷商夥伴以及雲市集之獨立軟體供應商(ISV)，也可洽談經銷合作方案，設計後續合作的框架。

MetaAge 邁達特代理的軟硬體產品線均為全球知名品牌，針對廣大的經銷商夥伴以及雲市集之獨立軟體供應商(ISV)，提供強大的技術支援與量身訂作之經銷合作方案，擴大合作夥伴的服務範圍，在多樣化的場域中一同實現更優質的客戶服務體驗。

邁達特持續作為IT智能化最佳夥伴，竭誠歡迎舊雨新知攜手共創數位新局。

掃碼聯繫邁達特 MSP 服務團隊，或加入官方 LineID: @metaage_msp

MetaAge邁達特數位 AWS MSP 團隊導入次世代監控系統，提供客戶完全託管和完整監控的 MSP 整合服務。

聯絡方式 —— 24小時免付費電話: 080-000-8669 | Email: aws@metaage.com.tw | MSP服務官方LineID: @metaage_msp

參考資料

https://aws.amazon.com/tw/certificate-manager/pricing/
https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html