本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用证书保护 Lightsail CDN 发行版 SSL/TLS
<a name="amazon-lightsail-create-a-distribution-certificate"></a>

你可以为你的 Lightsail 发行版创建亚马逊 Lightsail TLS/SSL 证书。创建证书时，您可以指定证书的主域名和备用域名。当您为启用分配的自定义域并选择证书时，这些域将添加成为分配的自定义域。更新域的 DNS 记录以指向您的分配后，您的分配将接受流量并使用 HTTPS 提供内容。可以创建的证书数量存在配额。有关更多信息，请参阅 [Lightsail Service Quotas](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)。

有关 SSL/TLS 证书的更多信息，请参阅 [SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。

**重要**  
您在为分配创建 SSL/TLS 证书时指定的域名不能被其他分配用于所有 Amazon Web Services (AWS) 账户（包括亚马逊 CloudFront 服务上的分配）使用。您可以为域创建证书，但您将无法将证书用于您的分配。

## 先决条件
<a name="create-distribution-prerequisite"></a>

在开始之前，你需要创建一个 Lightsail 发行版。有关更多信息，请参阅[创建分配](amazon-lightsail-creating-content-delivery-network-distribution.md)和[内容分发网络分配](amazon-lightsail-content-delivery-network-distributions.md)。

## 为您的发行版创建 SSL/TLS 证书
<a name="create-distribution-certificate"></a>

完成以下步骤为您的发行版创建 SSL/TLS 证书。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择**联网**。

1. 选择要为其创建证书的分配的名称。

1. 在分配的管理页面上选择**自定义域**选项卡。

1. 向下滚动到页面的 **Attached certificates**（附加的证书）部分。

   所有的分配证书都将列在页面的 **Attached certificates**（附加的证书）部分下方，包括为其他分配创建的证书以及正在使用和未使用的证书。

1. 选择**创建证书**。

1. 在 **Certificate name**（证书名称）文本框中输入唯一的名称以标识您的证书。然后，选择 **Continue**（继续）。

1. 在 **Specify up to 10 domains or subdomains**（最多指定 10 个域或子域）字段中，输入要用于证书的主域名（例如，`example.com`）。

1. （可选）在剩余的 **Specify up to 10 domains or subdomains**（最多指定 10 个域或子域）字段中输入备用域名（例如 `www.example.com`）。

   您最多可以向证书添加九个备用代域。启用自定义域并为您的分配选择证书后，可以将证书的所有域用于您的分配。

1. 选择**创建**。

   将提交您的证书请求，并且新证书的状态将更改为**Attempting to validate your certificate**（正在尝试验证您的证书）。在此期间，Lightsail 会尝试将证书的验证记录添加到主域名的 DNS 中。过段时间以后，状态将更改为 **Valid**（有效）。

   如果自动验证失败，您需要先使用您的域验证证书，然后才能将证书用于您的分配。有关更多信息，请参阅[验证您的分配的 SSL/TLS 证书](amazon-lightsail-validating-a-distribution-certificate.md)。

**Topics**
+ [先决条件](#create-distribution-prerequisite)
+ [为您的发行版创建 SSL/TLS 证书](#create-distribution-certificate)
+ [查看 SSL/TLS 证书](amazon-lightsail-viewing-distribution-certificates.md)
+ [验证 SSL/TLS 证书](amazon-lightsail-validating-a-distribution-certificate.md)
+ [配置 TLS 协议](amazon-lightsail-configure-distribution-tls-version.md)
+ [删除分配证书](amazon-lightsail-deleting-distribution-certificates.md)

# 查看 Lightsail 发行版的 SSL/TLS 证书
<a name="amazon-lightsail-viewing-distribution-certificates"></a>

您可以查看您为 Lightsail 发行版创建的亚马逊 Lightsail SSL/TLS 证书。为此，您可以在 Lightsail 控制台中访问任何发行版的管理页面。

有关 SSL/TLS 证书的更多信息，请参阅 [SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。

## 先决条件
<a name="view-distribution-certificates-prerequisite"></a>

在开始之前，你需要创建一个 Lightsail 发行版。有关更多信息，请参阅[创建分配](amazon-lightsail-creating-content-delivery-network-distribution.md)和[内容分发网络分配](amazon-lightsail-content-delivery-network-distributions.md)。

您还应该为发行版创建 SSL/TLS 证书。有关更多信息，请参阅[为您的发行版创建 SSL/TLS 证书](amazon-lightsail-create-a-distribution-certificate.md)。

## 查看您的分发 SSL/TLS 证书
<a name="view-distribution-certificates"></a>

完成以下步骤以查看您的分发 SSL/TLS 证书。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择**联网**。

1. 选择分配的名称。

   无论您选择哪个分配，都可以查看您的所有证书。

1. 在分配的管理页面上选择 **Custom domains**（自定义域）选项卡。

1. 向下滚动到页面的 **Attached certificates**（附加的证书）部分。

   您的所有分配证书都列在此页面的 **Attached certificates**（附加的证书）部分下方。展开 **Validation details**（验证详细信息）查看证书的重要日期、加密详细信息、标识和验证记录。证书自创建之日起生效，有效期为 13 个月，之后 Lightsail 会尝试自动重新验证证书。在列出的 **Valid until**（有效期至）日期重新验证证书时，需要使用添加到域的别名记录，因此请勿删除这些记录。

   在获得可用于分配的有效 SSL/TLS 证书后，应启用自定义域，以便可以在分配中使用证书的域名。有关更多信息，请参阅[启用分配的自定义域](amazon-lightsail-enabling-distribution-custom-domains.md)。

# 验证 Lightsail 发行版的 SSL/TLS 证书
<a name="amazon-lightsail-validating-a-distribution-certificate"></a>

Amazon Lightsail SSL/TLS 证书在创建后必须经过验证，然后才能将其用于 Lightsail 发行版。提交您的证书请求后，新证书的状态将更改为 **Attempting to validate your certificate**（正在尝试验证您的证书）。在此期间，Lightsail 会尝试将证书的验证记录添加到您为证书指定的域名的 DNS 中。过段时间以后，状态将更改为 **Valid**（有效）或 **Validation timed out**（验证超时）。

如果自动验证失败，则必须验证您是否控制了您在创建证书时为证书指定的所有域名。可以通过将别名记录 (CNAME) 添加到证书上指定的每个域的 DNS 区域，完成此操作。您需要添加的记录列在证书的 **Validation details**（验证详细信息）部分。

在本指南中，我们为您提供了使用 Lightsail DNS 区域手动验证证书的程序。使用其他 DNS 托管服务提供商（例如 Domain.com 或 GoDaddy）验证证书的过程可能类似。[有关 Lightsail DNS 区域的更多信息，请参阅 DNS。](understanding-dns-in-amazon-lightsail.md)

有关 SSL/TLS 证书的更多信息，请参阅 [SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。

**内容**
+ [先决条件](#validate-distribution-certificate-prerequisite)
+ [获取别名记录值以验证您的证书](#get-distribution-certificate-cname-records)
+ [将别名记录添加到域的 DNS 区域](#add-distribution-certificate-cname-records)
+ [查看分配证书的状态](#viewing-distribution-certificate-status)

## 先决条件
<a name="validate-distribution-certificate-prerequisite"></a>

在开始之前，您需要为发行版创建 SSL/TLS 证书。有关更多信息，请参阅[为您的发行版创建 SSL/TLS 证书](amazon-lightsail-create-a-distribution-certificate.md)。

## 获取别名记录值以验证证书
<a name="get-distribution-certificate-cname-records"></a>

完成以下过程，以获取要验证证书必须添加到域的别名记录。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择**联网**。

1. 选择要获取其证书别名记录值的分配的名称。  
![\[Lightsail 主页的网络部分。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/lightsail-home-page-networking.png)

1. 在分配的管理页面上选择**自定义域**选项卡。  
![\[Lightsail 发行版的 “自定义域” 选项卡。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)

1. 向下滚动到页面的 **Attached certificates**（附加的证书）部分。

   您的所有分发证书都列在页面的 “**附加证书**” 部分下，包括为其他 Lightsail 资源创建的证书和待验证的证书。

1. 找到要验证的证书，展开 **Validation details**（验证详细信息），记下必须为列出的各个域添加的 CNAME 记录的 **Name**（名称）和 **Value**（值）。

   您必须准确地添加这些列出的记录。我们建议您将这些值复制并粘贴到文本文件中，以供之后参考。有关更多信息，请参阅本指南的以下部分[将别名记录添加到域的 DNS 区域](#add-distribution-certificate-cname-records)。

## 将别名记录添加到域的 DNS 区域
<a name="add-distribution-certificate-cname-records"></a>

完成以下过程以将别名记录添加到域的 DNS 区域。

1. 在左侧导航窗格中，选择**域和 DNS**。

1. 在此页面的 **DNS zones**（DNS 区域）部分，选择所需域名，以将别名记录添加到其中并验证证书。

1. 选择 **DNS records**（DNS 记录）选项卡。

1. 在 DNS 记录管理页面上，选择 **Add record**（添加记录）。

1. 在 **Record type**（记录类型）下拉菜单中，选择 **CNAME**。

1. 在 **Record name**（记录名称）文本框中，输入从证书获得的 CNAME 记录的 **Name**（名称）值。

   Lightsail 控制台会预先填充域的顶级域部分。例如，如果想要添加子域 `www.example.com`，您只需在文本框中输入 `www`，您保存此记录时 Lightsail 会添加 `.example.com` 部分。

1. 在 **Route traffic to**（将流量路由到）文本框中，输入从证书中获得的 CNAME 记录的 **Value**（值）部分。

1. 确认您输入的值与要验证的证书上列出的值完全一致。

1. 选择保存图标以将记录保存到 DNS 区域。

   重复这些步骤，为需要验证的证书上的域添加其他别名记录。留出时间以便更改通过 Internet 的 DNS 传播。几分钟后，您应能够看到分配证书的状态是否变为**有效**。有关更多信息，请参阅本指南的以下[查看分配证书的状态](#viewing-distribution-certificate-status)部分。

## 查看分配证书的状态
<a name="viewing-distribution-certificate-status"></a>

完成以下步骤以查看您的分发 SSL/TLS 证书的状态。

1. 在左侧导航窗格中，选择**联网**。

1. 选择所需分配的名称，以查看其证书状态。  
![\[Lightsail 主页的网络部分。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/lightsail-home-page-networking.png)

1. 在分配的管理页面上选择**自定义域**选项卡。  
![\[Lightsail 发行版的 “自定义域” 选项卡。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)

1. 向下滚动到页面的 **Attached certificates**（附加的证书）部分。

   所有的分配证书都列在页面的 **Attached certificates**（附加的证书）部分下方，包括状态为 **Pending validation**（等待验证）和 **Valid**（有效）的证书。  
![\[经过验证的 SSL/TLS 证书\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/lightsail-validated-certificate.png)

   **Valid**（有效）状态可确认您已成功使用添加到域的别名记录验证证书。选择 **Details**（详细信息）以查看证书的重要日期、加密详细信息、标识和验证记录。证书自验证之日起生效，有效期为 13 个月，之后 Lightsail 会尝试自动重新验证证书。在列出的 **Valid until**（有效期至）日期重新验证证书时，需要使用添加到域的别名记录，因此请勿删除这些记录。

   验证 SSL/TLS 证书后，您应为分配启用自定义域名，以便在分配中使用证书的域名。有关更多信息，请参阅[启用分配的自定义域](amazon-lightsail-enabling-distribution-custom-domains.md)。

# 使用最低的 TLS 协议版本保护你的 Lightsail 发行版
<a name="amazon-lightsail-configure-distribution-tls-version"></a>

Amazon Lightsail 使用 SSL/TLS 证书来验证您可以在 Lightsail 发行版中使用的自定义（注册）域名。本指南提供了有关您可以为证书配置的查看器最低 TLS 协议版本（协议版本）的信息，请参阅 Lightsail [中的 SSL/TLS SSL/TLS certificate. For more information about SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。查看器是一种向与您的 Lightsail 发行版关联的边缘站点发出 HTTP 请求的应用程序。有关发行版的更多信息，请参阅 [Lightsail 中的内容分发网络分发](amazon-lightsail-content-delivery-network-distributions.md)。

当您为分配启用自定义域时，默认情况下会配置 `TLSv1.2_2021` 协议版本。如本指南后面所述，您可以配置不同的协议版本。Lightsail 发行版不支持自定义 TLS 协议版本。

## 受支持的协议
<a name="load-balancer-supported-policies"></a>

Lightsail 发行版可以使用以下 TLS 协议进行配置：
+ （推荐） TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016

## 先决条件
<a name="configure-distribution-tls-policy-prerequisites"></a>

满足以下先决条件（如果尚未满足）：
+ [创建 Lightsail 内容分发网络发行版](amazon-lightsail-creating-content-delivery-network-distribution.md)
+ [为您的发行版创建 SSL/TLS 证书](amazon-lightsail-create-a-distribution-certificate.md)
+ [验证您的发行版的 SSL/TLS 证书](amazon-lightsail-validating-a-distribution-certificate.md)
+ [启用分配的自定义域](amazon-lightsail-point-domain-to-distribution.md)
+ [将域指向该分配](amazon-lightsail-point-domain-to-distribution.md)

## 确定您的分配的最低 TLS 协议版本
<a name="identify-distribution-tls-policy-prerequisites"></a>

完成以下步骤以确定您的 Lightsail 发行版的最低 TLS 协议版本

**注意**  
在本指南中，您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳，您可以直接从 Lightsail 控制台启动它。使用 CloudShell，您可以使用首选外壳运行 AWS CLI 命令，例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具，即可完成此操作。有关如何设置和使用的更多信息 CloudShell，请参阅 [Lightsai AWS CloudShell l 中的](amazon-lightsail-cloudshell.md)。

1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。

1. 输入以下命令来确定您的 Lightsail 发行版的最低 TLS 协议版本。

   ```
   aws lightsail get-distributions --distribution-name DistributionName --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   在命令中，*DistributionName*替换为要修改的发行版的名称。

   **示例**

   ```
   aws lightsail get-distributions --distribution-name Distribution-1 --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   该命令将返回分配的最低 TLS 协议版本的 ID。

   **示例**

   ```
   "viewerMinimumTlsProtocolVersion": "TLSv1.2_2021"
   ```

## 使用配置最低 TLS 协议版本 AWS CLI
<a name="configure-distribution-tls-version-cli"></a>

完成以下过程以使用 AWS Command Line Interface （AWS CLI）配置 TLS 协议版本。使用 `update-distribution` 命令完成此操作。*有关更多信息，请参阅AWS CLI 命令参考*中的 [update-distribution 属性](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-distribution.html)。

1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。

1. 输入以下命令以更改分配的最低 TLS 协议版本。

   ```
   aws lightsail update-distribution --distribution-name DistributionName --viewer-minimum-tls-protocol-version ProtocolVersion
   ```

   在该命令中，将以下示例文本替换为自己的文本：
   + *DistributionName*使用您要更新的发行版的名称。
   + *ProtocolVersion*使用有效的 TLS 协议版本。例如，`TLSv1.2_2021` 或 `TLSv1.2_2019`。

   示例：

   ```
   aws lightsail update-distribution --distribution-name  MyDistribution --viewer-minimum-tls-protocol-version TLSv1.2_2021
   ```

   您的更改需要一些时间才能生效。

# 从 Lightsail 发行版中删除未使用的 SSL/TLS 证书
<a name="amazon-lightsail-deleting-distribution-certificates"></a>

**警告**  
删除 SSL/TLS 证书是最终的，无法撤消。

您可以删除不再在分配中使用的亚马逊 Lightsail SSL/TLS 证书。例如，您的证书可能已过期，并且您已附加已验证的更新证书。有关证书的更多信息，请参阅 [SSL/TLS 证书](understanding-tls-ssl-certificates-in-lightsail-https.md)。有关分配的更多信息，请参阅[内容分发网络分配](amazon-lightsail-content-delivery-network-distributions.md)。

您在 365 天的期限内可以创建的证书数量有一个配额。有关更多信息，请参阅中的 [Lightsail 服务配额](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)。*AWS 一般参考*

## 删除分发版的 SSL/TLS 证书
<a name="deleting-distribution-certificate"></a>

**重要**  
如果要删除的证书处于使用状态，**Delete**（删除）选项将不可用。要删除正在使用的证书，必须先更改使用该证书的分配的自定义域，或者在使用该证书的分配上禁用自定义域。

完成以下步骤以删除分发的 SSL/TLS 证书。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择**联网**。

1. 选择要删除 SSL/TLS 证书的分配的名称。如果证书当前未使用，则可以选择任何分配，因为会在每个分配中列出所有的证书。

1. 在分配的管理页面上选择**自定义域**选项卡。

1. 在此页面的**证书**部分中，选择要删除的证书的省略号图标（⋮），然后选择**删除**。

   如果正在使用要删除的证书，则无法使用**删除**选项。要删除正在使用的证书，您需要先更改使用证书的分配的自定义域，或者在使用证书的分配上禁用自定义域。有关更多信息，请参阅[更改分配的自定义域](amazon-lightsail-changing-distribution-custom-domains.md)和[启用分配的自定义域](amazon-lightsail-disabling-distribution-custom-domains.md#amazon-lightsail-disabling-distribution-custom-domains.title)。

1. 选择**是，删除**以确认删除。