本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为安全 Lightsail 容器服务域创建 SSL/TLS 证书
你可以为你的 Lightsail 容器服务创建亚马逊 Lightsail TLS/SSL 证书。创建证书时,您可以指定证书的主域名和备用域名。为容器服务启用自定义域并选择证书时,最多可以从要添加作为容器服务的自定义域的证书中选择四个域。更新域的 DNS 记录以将流量指向您的容器服务后,您的服务将接受流量并使用 HTTPS 提供内容。可以创建的证书数量存在配额。有关更多信息,请参阅 [Lightsail Service Quotas](https://docs.aws.amazon.com/general/latest/gr/lightsail.html)。
有关 SSL/TLS 证书的更多信息,请参阅[容器服务证书](understanding-tls-ssl-certificates-in-lightsail-https.md)。
## 先决条件
在开始之前,您需要创建 Lightsail 容器服务。有关更多信息,请参阅[创建容器服务](amazon-lightsail-creating-container-services.md)和[容器服务](amazon-lightsail-container-services.md)。
## 为您的容器服务创建 SSL/TLS 证书
完成以下步骤,为您的容器服务创建 SSL/TLS 证书。
1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。
1. 在左侧导航窗格中,选择**容器**。
1. 选择所需的容器服务的名称,以为其创建证书。
1. 在容器服务管理页面上选择 **Custom domains**(自定义域)选项卡。
1. 向下滚动到页面的 **Attached certificates**(附加的证书)部分。
您的所有证书都列在页面的 “附加证书” 部分下,包括为其他 Lightsail 资源创建的证书,以及正在使用但未使用的证书。
1. 选择**创建证书**。
1. 在 **Certificate name**(证书名称)文本框中输入唯一的名称以标识您的证书。然后,选择 **Continue**(继续)。
1. 在 **Specify up to 10 domains or subdomains**(最多指定 10 个域或子域)字段中,输入要用于证书的主域名(例如,`example.com`)。
1. (可选)在 **Specify up to 10 domains or subdomains**(最多指定 10 个域或子域)字段中输入其他域名(例如,www.example.com)。
您最多可以向证书添加九个备用代域。启用自定义域并为服务选择证书后,最多可以将证书的四个域用于容器服务。
1. 选择**创建证书**。
将提交您的证书请求,并且新证书的状态将更改为**Attempting to validate your certificate**(正在尝试验证您的证书)。在此期间,Lightsail 会尝试将证书的验证记录添加到主域名的 DNS 中。过段时间以后,状态将更改为 **Valid**(有效)。
如果自动验证失败,您需要先使用您的域验证证书,然后才能将证书用于您的容器服务。有关更多信息,请参阅[验证容器服务 SSL/TLS 证书](amazon-lightsail-validating-container-services-certificates.md)。
**Topics**
+ [先决条件](#creating-container-service-certificate-prerequisites)
+ [为您的容器服务创建 SSL/TLS 证书](#creating-container-service-certificate)
+ [验证证书](amazon-lightsail-validating-container-services-certificates.md)
+ [查看证书](amazon-lightsail-viewing-container-services-certificates.md)
# 验证 Lightsail 容器服务的 SSL/TLS 证书
Amazon Lightsail SSL/TLS 证书在创建后必须经过验证,然后才能将其与 Lightsail 容器服务一起使用。提交您的证书请求后,新证书的状态将更改为 **Attempting to validate your certificate**(正在尝试验证您的证书)。在此期间,Lightsail 会尝试将证书的验证记录添加到您为证书指定的域名的 DNS 中。过段时间以后,状态将更改为 **Valid**(有效)或 **Validation timed out**(验证超时)。
如果自动验证失败,则必须验证您是否控制了您在创建证书时为证书指定的所有域名。可以通过将别名记录 (CNAME) 添加到证书上指定的每个域的 DNS 区域,完成此操作。您需要添加的记录列在证书的 **Validation details**(验证详细信息)部分。
在本指南中,我们为您提供了使用 Lightsail DNS 区域手动验证证书的程序。使用其他 DNS 托管服务提供商(例如 Domain.com 或 GoDaddy)验证证书的过程可能类似。[有关 Lightsail DNS 区域的更多信息,请参阅 DNS。](understanding-dns-in-amazon-lightsail.md)
有关 SSL/TLS 证书的更多信息,请参阅 [SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。
## 先决条件
在开始之前,您需要为容器服务创建 SSL/TLS 证书。有关更多信息,请参阅[创建容器服务的 SSL/TLS 证书](amazon-lightsail-creating-container-services-certificates.md)。
## 获取别名记录值以验证证书
完成以下过程,以获取要验证证书必须添加到域的别名记录。
1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。
1. 在左侧导航窗格中,选择**容器**。
1. 选择所需的容器服务的名称,以为其创建证书。
1. 在容器服务管理页面上选择 **Custom domains**(自定义域)选项卡。
1. 向下滚动到页面的 **Attached certificates**(附加的证书)部分。
您的所有证书都列在页面的 “**附加证书**” 部分下,包括为其他 Lightsail 资源创建的证书和待验证的证书。
1. 找到要验证的证书,展开 **Validation details**(验证详细信息),记下必须为列出的各个域添加的 CNAME 记录的 **Name**(名称)和 **Value**(值)。
您必须准确地添加这些列出的记录。我们建议您将这些值复制并粘贴到文本文件中,以供之后参考。有关更多信息,请参阅本指南的以下部分[将别名记录添加到域的 DNS 区域](#add-container-service-certificate-cname)。
## 将别名记录添加到域的 DNS 区域
完成以下过程以将别名记录添加到域的 DNS 区域。
1. 在左侧导航窗格中,选择**域和 DNS**。
1. 在此页面的 **DNS zones**(DNS 区域)部分,选择所需域名,以将别名记录添加到其中并验证证书。
1. 选择 **DNS records**(DNS 记录)选项卡。
1. 在 DNS 记录管理页面上,选择 **Add record**(添加记录)。
1. 在 **Record type**(记录类型)下拉菜单中,选择 **CNAME**。
1. 在 **Record name**(记录名称)文本框中,输入从证书获得的 CNAME 记录的 **Name**(名称)值。
Lightsail 控制台会预先填充域的顶级域部分。例如,如果想要添加子域 `www.example.com`,您只需在文本框中输入 `www`,您保存此记录时 Lightsail 会添加 `.example.com` 部分。
1. 在 **Route traffic to**(将流量路由到)文本框中,输入从证书中获得的 CNAME 记录的 **Value**(值)部分。
1. 确认您输入的值与要验证的证书上列出的值完全一致。
1. 选择保存图标以将记录保存到 DNS 区域。
重复这些步骤,为需要验证的证书上的域添加其他别名记录。留出时间以便更改通过 Internet 的 DNS 传播。几分钟后,您应能够查看证书的状态是否已更改为 **Valid**(有效)。有关更多信息,请参阅本指南的以下[查看证书的状态](#view-container-service-certificate-status)部分。
## 查看证书的状态
完成以下步骤以查看您的 SSL/TLS 证书状态。
1. 在左侧导航窗格中,选择**容器**。
1. 选择所需的容器服务的名称,以查看其证书的状态。
1. 在容器服务管理页面上选择 **Custom domains**(自定义域)选项卡。
1. 向下滚动到页面的 **Attached certificates**(附加的证书)部分。
所有证书都列在页面的 **Attached certificates**(附加的证书)部分下方,包括状态为 **Pending validation**(等待验证)和 **Valid**(有效)的证书。
**注意**
如果在验证证书时让 **Custom domains**(自定义域)页面保持了打开状态,则您可能需要刷新才能查看更新的证书状态。
**Valid**(有效)状态可确认您已成功使用添加到域的别名记录验证证书。选择 **Details**(详细信息)以查看证书的重要日期、加密详细信息、标识和验证记录。证书自验证之日起生效,有效期为 13 个月,之后 Lightsail 会尝试自动重新验证证书。在列出的 **Valid until**(有效期至)日期重新验证证书时,需要使用添加到域的别名记录,因此请勿删除这些记录。
验证 SSL/TLS 证书后,应为容器服务启用自定义域名,以便在服务上使用证书的域名。有关更多信息,请参阅[启用和管理容器服务的自定义域](amazon-lightsail-enabling-container-services-custom-domains.md)。
# 查看 Lightsail 容器服务的 SSL/TLS 证书
您可以查看您为 Lightsail 容器服务创建的亚马逊 Lightsail SSL/TLS 证书。您可以通过访问 Lightsail 控制台中任何容器服务的管理页面来完成此操作。
有关 SSL/TLS 证书的更多信息,请参阅 [SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。
## 先决条件
在开始之前,您需要创建 Lightsail 容器服务。有关更多信息,请参阅[创建 Amazon Lightsail 容器服务和[容器](amazon-lightsail-container-services.md)服务](amazon-lightsail-creating-container-services.md)。
您还应该为容器服务创建 SSL/TLS 证书。有关更多信息,请参阅[创建容器服务 SSL/TLS 证书](amazon-lightsail-creating-container-services-certificates.md)。
## 查看您的容器服务 SSL/TLS 证书
完成以下过程以查看容器服务 SSL/TLS 证书。
1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。
1. 在左侧导航窗格中,选择**容器**。
1. 选择容器服务的名称。
无论您选择哪种容器服务,都可以查看您的所有证书。
1. 在容器服务管理页面上选择 **Custom domains**(自定义域)选项卡。
1. 向下滚动到页面的 **Attached certificates**(附加的证书)部分。
所有证书都列在页面的 **Attached certificates**(附加的证书)部分下方。选择 **Details**(详细信息)以查看证书的重要日期、加密详细信息、标识和域。选择 **Validation details**(验证详细信息)以查看证书的验证记录。证书自创建之日起生效,有效期为 13 个月,之后 Lightsail 会尝试自动重新验证证书。在列出的 **Valid until**(有效期至)日期重新验证证书时,需要使用添加到域的别名记录,因此请勿删除这些记录。
获得可与容器服务配合使用的有效 SSL/TLS 证书后,应启用自定义域名,以便可以在服务上使用证书的域名。有关更多信息,请参阅[启用和管理自定义域](amazon-lightsail-enabling-container-services-custom-domains.md)。