我直接从亚马逊购买了域名“jimtough.org”,以便将其与Cloudfront分发一起使用。现在,我在https://jimtough.org/上拥有一个非常简单的虚荣网站,并使用证书。我还尝试了AWS API Gateway并确认可以使用相同的证书来提供HTTPS安全的URL以便与API Gateway一起使用。
我还在EC2服务器上运行Java/Spring Boot Web应用程序。我已经将Route53 DNS名称与托管我的Spring Boot应用程序的EC2服务器相关联,如此:http://instance-b.jimtough.org/。这个方法可行,但它是使用不安全的HTTP。当我尝试在应用程序中执行基本身份验证时,会收到一堆警告,因为它将通过不安全的连接发送我的用户名/密码。这很公正。
所以我的下一步是启用Spring Security中的HTTPS并强制对应用程序进行安全连接。为此,我首先需要为EC2主机上的Java运行时提供证书。我找到了使用自签名证书的示例:
问题:如何在基于Java的Web应用程序中使用我的AWS颁发的证书?
在AWS证书管理器(https://console.aws.amazon.com/acm/home?region=us-east-1#/)中,我没有看到任何“导出”或保存证书的方法。我错过了什么吗?也许亚马逊不希望我在他们自己的服务之外使用这个证书?
请注意,我最初设置了域名为“jimtough.org”,附加名称字段设置为“*.jimtough.org”,因此我可以在子域上使用证书,就像我在这里尝试的那样。
我还在EC2服务器上运行Java/Spring Boot Web应用程序。我已经将Route53 DNS名称与托管我的Spring Boot应用程序的EC2服务器相关联,如此:http://instance-b.jimtough.org/。这个方法可行,但它是使用不安全的HTTP。当我尝试在应用程序中执行基本身份验证时,会收到一堆警告,因为它将通过不安全的连接发送我的用户名/密码。这很公正。
所以我的下一步是启用Spring Security中的HTTPS并强制对应用程序进行安全连接。为此,我首先需要为EC2主机上的Java运行时提供证书。我找到了使用自签名证书的示例:
- https://mkyong.com/spring-boot/spring-boot-ssl-https-examples/
- https://www.baeldung.com/spring-boot-https-self-signed-certificate
问题:如何在基于Java的Web应用程序中使用我的AWS颁发的证书?
在AWS证书管理器(https://console.aws.amazon.com/acm/home?region=us-east-1#/)中,我没有看到任何“导出”或保存证书的方法。我错过了什么吗?也许亚马逊不希望我在他们自己的服务之外使用这个证书?
请注意,我最初设置了域名为“jimtough.org”,附加名称字段设置为“*.jimtough.org”,因此我可以在子域上使用证书,就像我在这里尝试的那样。
编辑
julien-b的答案是正确的。我进行了更多的研究,发现SSL证书并不便宜,并且有不同的类型。最便宜的是“DV”(域验证)类型,仅验证SSL证书由控制相关域名的DNS记录的人控制(例如“mydomain.com”)。还有更彻底(也更昂贵)的证书类型可以颁发,其中颁发机构必须对拥有组织进行背景调查。这些证书适用于处理电子商务、金融交易等网站。这完全不是我需要的。
还有多种类型的多站点证书可供选择。最便宜的单域名证书只覆盖您的主域名和“www”子域名(mysite.com和www.mysite.com)。如果您想要覆盖主域名的所有子域名(app.mysite.com,ftp.mysite.com等),那么您将需要一个“通配符”证书。这些证书价格显著更高。更奇特的证书类型可以涵盖多个不同的域。这些似乎旨在为管理许多不同域的组织简化证书管理,并且不需要为每个域使用不同的证书。这不是我所需要的,因此我没有进一步调查。我决定选择来自Comodo(最近更名为Sectigo?)的“带子域通配符”的单域名证书,他们似乎是目前最实惠的证书供应商。
参考:https://www.techradar.com/news/best-ssl-certificate-provider
似乎亚马逊错过了一个机会,他们没有发行自己的SSL证书并收费。AWS已经有了完成此类操作所需的所有基础设施,至少对于DV级别的证书来说是如此。