有没有办法在不使用电子邮件流程的情况下验证域控制?因为我需要能够为新客户端的证书添加其他域......
我面临的问题是我无法添加到现有的 AWS 证书,必须创建一个包含所有域的新证书。当我这样做时,每个域的每个人都会收到电子邮件,并要求在以下位置进行确认:
administrator@domain.com
hostmaster@domain.com
admin@domain.com
postmaster@domain.com
webmaster@domain.com
所以我不得不注册一个单独的证书并将其上传到 ACM,这并不理想。主要是因为它仅限于 99 个域,并希望将整个过程自动化。
这在 AWS 上可能吗?
谢谢。
问:是否支持任何其他验证域或批准证书的方法?
目前不行。
https://aws.amazon.com/certificate-manager/faqs/#provisioning
出于其他原因,在一个证书上拥有如此多的域并不是一个好的做法。
您正在使证书在物理上越来越长,浪费了一些带宽,因为证书会在每个新连接上发送到每个连接客户端。
如果证书上的任何域不再指向您的站点,续订也会很混乱,因为自动续订要求每个主机名都可以在 Internet 上访问颁发的证书。
ACM 会尝试在亚马逊颁发的 SSL/TLS 证书过期之前自动续订这些证书,因此您无需执行任何操作。要自动续订证书,必须满足以下条件:
ACM 必须能够与证书中的每个域建立 HTTPS 连接。
对于每个连接,返回的证书必须与 ACM 续订的证书匹配。
http://docs.aws.amazon.com/acm/latest/userguide/configure-domain-for-automatic-validation.html
一种更简洁的解决方案(我正在使用的解决方案)是单独预置每个域的证书,并将每个证书附加到其自己的 CloudFront 分配,将其指向您的源服务器(在此上下文中我假设它是 ELB),并将所有标头列入白名单以转发到源,从而绕过缓存并导致 CloudFront 充当简单但分布式的反向代理。 在 CloudFront 中设置"自动压缩对象"还可以节省一些带宽费用,即使禁用了缓存,CloudFront 也应该通过在 AWS 网络上保留流量以提供更多源和查看器之间的路径来提高站点的响应能力。