本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Lightsail 中的 SSL/TLS 证书
Amazon Lightsail 使用 SSL/TLS 证书来验证可与 Lightsail 负载均衡器、内容分发网络 (CDN) 分发和容器服务配合使用的自定义(注册)域名。将经过验证的证书附加到其中一个 Lightsail 资源后,将使用安全超文本传输协议 (HTTPS) 对通过该域路由到该资源的流量进行加密。
您可以在 Amazon Lightsail 中创建传输层安全 (TLS) 证书,以便为您想要与 Lightsail 负载均衡器、内容分发、网络分发和容器服务一起使用的自定义(注册)域启用加密网络流量。TLS 是一个更安全的更新安全套接字层 (SSL) 版本。**在 Lightsail 文档和控制台中,你会看到我们将其称为 SSL/TLS。**
**重要**
您可以附加到负载均衡器、CDN 分发和容器服务的 Lightsail 证书由 AWS Certificate Manager (ACM) 服务颁发。从 2022 年 10 月 11 日起,通过 Lightsail 为您的负载均衡器、CDN 分发和容器服务获取的任何公共证书都将从 ACM 管理的多个中间证书颁发机构之一 (ICAs) 或下 CAs 级证书颁发机构颁发。有关更多信息,请参阅*亚马逊云科技安全博客*中的 [Amazon introduces dynamic intermediate certificate authorities](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/)(Amazon 引入动态中间证书颁发机构)。
## 为什么使用 HTTPS?
首先是安全,这也是最重要的。HTTPS 提供额外的安全层,因为它使用 TLS 移动数据。HTTPS 加密在 Web 服务器和客户端的浏览器之间是机密的,因为它们是唯一两个可解密流量的实体。HTTPS 连接也更加安全,因为其他方无法修改客户端与服务器交换的数据。
除了上面提到的安全优势以外,还有其他一些原因在 HTTP 基础上额外使用 HTTPS。例如,2014 年,Google 开始在搜索结果中为安全网站提供更高的排名。换句话说,与仅使用 HTTP 的网站相比,使用 HTTPS(所有其他条件相同)的网站的搜索结果排名更靠前。
[了解有关将 HTTPS 作为排名指标的更多信息](https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html)
## 过程概述
使用 Lightsail 证书的过程很简单。它涉及以下步骤:
1. 创建可以使用 Lightsail 证书的 Lightsail 资源,例如负载均衡器、CDN 分发或容器服务。
1. 使用 Lightsail 为您的域名创建证书。
1. 通过将规范名称(CNAME)记录添加到域的 DNS 来验证证书
1. 将经过验证的证书附加到您的 Lightsail 资源。
1. 修改您的域名的 DNS 以将流量路由到您的 Lightsail 资源。
将经过验证的证书挂载到该资源后,通过域路由到该资源的流量将使用 HTTPS 进行加密。
## 在分发或容器服务中使用 SSL/TLS 证书
Lightsail 发行版和容器服务需要使用 HTTPS。创建其中任何一个资源时,默认情况下会为资源的默认域启用 HTTPS(例如,`https://123456abcdef.cloudfront.net/` 用于分配或 `https://container-service-1.123456abcdef.us-west-2.cs.amazonlightsail.com/` 用于容器服务)。如果您想将注册的域名(例如`example.com`)用于分发或容器服务,则必须创建 Lightsail SSL/TLS 证书,使用您的域名对其进行验证,并在资源上启用自定义域。在分配或容器服务中启用自定义域还会将域经过验证的证书挂载到资源。
通过访问以下链接,您可以开始在分配上启用自定义域和 HTTPS。
+ [创建分配的 SSL/TLS 证书](amazon-lightsail-create-a-distribution-certificate.md)
+ [验证您的发行版的 SSL/TLS 证书](amazon-lightsail-validating-a-distribution-certificate.md)
+ [查看分配的 SSL/TLS 证书](amazon-lightsail-viewing-distribution-certificates.md)
+ [启用分配的自定义域](amazon-lightsail-enabling-distribution-custom-domains.md)
+ [将域指向分配](amazon-lightsail-point-domain-to-distribution.md)
有关分配的更多信息,请参阅[内容分发网络分配](amazon-lightsail-content-delivery-network-distributions.md)。
通过访问以下链接,您可以开始在容器服务上启用自定义域和 HTTPS。
+ [创建容器服务 SSL/TLS 证书](amazon-lightsail-creating-container-services-certificates.md)
+ [验证容器服务 SSL/TLS 证书](amazon-lightsail-validating-container-services-certificates.md)
+ [启用和管理自定义域](amazon-lightsail-enabling-container-services-custom-domains.md)
有关容器服务的更多信息,请参阅[容器服务](amazon-lightsail-container-services.md)。
## 在负载均衡器中使用 SSL/TLS 证书
创建 Lightsail 负载均衡器时,端口 80 默认处于打开状态,用于处理常规 HTTP 流量。要通过端口 443 启用 HTTPS 流量,您必须创建 SSL/TLS 证书,并使用域名验证该证书,并将其附加到负载均衡器。
每个负载均衡器最多可以创建两个 SSL/TLS 证书。每个负载均衡器一次只能使用一个证书。如果从您的负载均衡器中删除正在使用的有效证书,负载均衡器将无法再处理特定域的 HTTPS 流量,直到您挂载另一个有效的证书。
通过访问以下链接,您可以开始在负载均衡器上启用 HTTPS。
+ [创建负载均衡器并向其附加实例](create-lightsail-load-balancer-and-attach-lightsail-instances.md)
+ [创建 SSL/TLS 证书](create-tls-ssl-certificate-and-attach-to-lightsail-load-balancer-https.md)
+ [验证域所有权](verify-tls-ssl-certificate-using-dns-cname-https.md)
+ [附加已验证的证书以启用 HTTPS](attach-validated-certificate-to-load-balancer.md)
有关负载均衡器的更多信息,请参阅[负载均衡器](understanding-lightsail-load-balancers.md)。