本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 SSL/TLS 憑證保護 Lightsail CDN 分佈
<a name="amazon-lightsail-create-a-distribution-certificate"></a>

您可以建立 Amazon Lightsail 分發的 Lightsail TLS/SSL 憑證。建立憑證時，請指定憑證的主要和替代網域名稱。當您啟用分發的自訂網域，並選擇憑證時，這些網域會新增為分發的自訂網域。在您更新網域的 DNS 記錄來指向分發後，分發就會接受流量並使用 HTTPS 提供內容。您可以建立的憑證數量有配額。如需詳細資訊，請參閱 [Lightsail 服務配額](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)。

如需有關 SSL/TLS 憑證的詳細資訊，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。

**重要**  
您為分發建立 SSL/TLS 憑證時指定的域名稱，不能為 Amazon Web Services (AWS) 帳戶中別的分發所用，包括 Amazon CloudFront 服務上的分發。您能夠為網域建立憑證，但無法將憑證與分發搭配使用。

## 先決條件
<a name="create-distribution-prerequisite"></a>

開始之前，您需要建立 Lightsail 分發。如需詳細資訊，請參閱[建立分發](amazon-lightsail-creating-content-delivery-network-distribution.md)和[內容交付網路分發](amazon-lightsail-content-delivery-network-distributions.md)。

## 建立分發的 SSL/TLS 憑證
<a name="create-distribution-certificate"></a>

請完成下列程序，為分發建立 SSL/TLS 憑證。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇要建立憑證之分發的名稱。

1. 選擇分發管理頁面上的 **Custom domains** (自訂網域) 索引標籤。

1. 向下捲動至頁面的 **Attached certificates** (連接的憑證) 區段。

   您的所有分發憑證都會列在該頁面的 **Attached certificates** (連接的憑證) 區段下，包括為其他分發建立的憑證，以及使用中和未使用的憑證。

1. 選擇 **Create certificate (建立憑證)**。

1. 在 **Certificate name** (憑證名稱) 文字方塊中輸入唯一名稱，以識別您的憑證。然後選擇 **Continue** (繼續)。

1. 將您要搭配憑證使用的主要網域名稱 (例如 `example.com`)，輸入 **Specify up to 10 domains or subdomains** (指定最多 10 個網域或子網域) 欄位中。

1. (選用) 將替代網域名稱 (例如 `www.example.com`)，輸入剩餘 **Specify up to 10 domains or subdomains** (指定最多 10 個網域或子網域) 欄位中。

   您可新增最多 9 個替代網域至憑證。啟用自訂網域並選取分發的憑證之後，就能夠將憑證的所有網域與分發搭配使用。

1. 選擇**建立**。

   系統會提交您的憑證請求，新憑證的狀態會變更為 **Attempting to validate your certificate** (正在嘗試驗證您的憑證)。在此期間，Lightsail 會嘗試將憑證的驗證記錄新增至主要網域的 DNS。一段時間後，狀態會變更為 **Valid** (有效)。

   如果自動驗證失敗，您必須使用您的網域驗證憑證，才能搭配分發使用。如需詳細資訊，請參閱[驗證分發的 SSL/TLS 憑證](amazon-lightsail-validating-a-distribution-certificate.md)。

**Topics**
+ [先決條件](#create-distribution-prerequisite)
+ [建立分發的 SSL/TLS 憑證](#create-distribution-certificate)
+ [檢視 SSL/TLS 憑證](amazon-lightsail-viewing-distribution-certificates.md)
+ [驗證 SSL/TLS 憑證](amazon-lightsail-validating-a-distribution-certificate.md)
+ [設定 TLS 通訊協定](amazon-lightsail-configure-distribution-tls-version.md)
+ [刪除分發憑證](amazon-lightsail-deleting-distribution-certificates.md)

# 檢視Lightsail分發的 SSL/TLS 憑證
<a name="amazon-lightsail-viewing-distribution-certificates"></a>

您可以檢視為 Lightsail 分發建立的 Amazon Lightsail SSL/TLS 憑證。您可以在 Lightsail 主控台中存取任何分發的管理頁面來執行此操作。

如需有關 SSL/TLS 憑證的詳細資訊，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。

## 先決條件
<a name="view-distribution-certificates-prerequisite"></a>

開始之前，您需要建立 Lightsail 分發。如需詳細資訊，請參閱[建立分發](amazon-lightsail-creating-content-delivery-network-distribution.md)和[內容交付網路分發](amazon-lightsail-content-delivery-network-distributions.md)。

您還應該為分發建立 SSL/TLS 憑證。如需詳細資訊，請參閱[為分發建立 SSL/TLS 憑證](amazon-lightsail-create-a-distribution-certificate.md)。

## 檢視分發的 SSL/TLS 憑證
<a name="view-distribution-certificates"></a>

請完成下列程序，以檢視分發的 SSL/TLS 憑證。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇分發的名稱。

   無論您選擇的分發為何，您都可以檢視所有憑證。

1. 選擇分發管理頁面上的 **Custom domains** (自訂網域) 索引標籤。

1. 向下捲動至頁面的 **Attached certificates** (連接的憑證) 區段。

   所有的分發憑證都會列在頁面的 **Attached certificates** (連接的憑證) 區段下。展開 **Validation details** (驗證詳細資訊)，檢視憑證的重要日期、加密詳細資訊、身分識別和驗證記錄。您的憑證自建立之日起 13 個月內有效，此後 Lightsail 會嘗試自動重新驗證這些憑證。請勿刪除您新增至網域的 CNAME 記錄，因為在列出的 **Valid until** (有效期) 日期重新驗證憑證時需要這些記錄。

   在您擁有有效的 SSL/TLS 憑證與分發搭配使用之後，您應該啟用自訂網域，以便您可以在分發上使用憑證的網域名稱。如需詳細資訊，請參閱[啟用分發的自訂域](amazon-lightsail-enabling-distribution-custom-domains.md)。

# 驗證Lightsail分發的 SSL/TLS 憑證
<a name="amazon-lightsail-validating-a-distribution-certificate"></a>

您必須在建立 Amazon Lightsail SSL/TLS 憑證之後加以驗證，然後才能將其用於 Lightsail 分發。提交憑證請求後，新憑證的狀態會變更為 **Attempting to validate your certificate** (正在嘗試驗證您的憑證)。在此期間，Lightsail 會嘗試將憑證的驗證記錄新增至您為憑證指定之網域名稱的 DNS。一段時間後，狀態會變更為 **Valid** (有效) 或 **Validation timed out** (驗證逾時)。

如果自動驗證失敗，您必須確認控制了在建立憑證時，為該憑證指定的所有網域名稱。若要執行此操作，您可以將正式名稱 (CNAME) 記錄新增至憑證上指定的每個網域的 DNS 區域。您必須新增的記錄列於憑證的 **Validation details** (驗證詳細資訊) 區段。

在本指南中，我們為您提供使用 Lightsail DNS 區域來手動驗證憑證的程序。使用不同的 DNS 託管提供者 (例如 Domain.com 或 GoDaddy) 來驗證憑證的程序可能很類似。如需有關 Lightsail DNS 區域的詳細資訊，請參閱 [DNS](understanding-dns-in-amazon-lightsail.md)。

如需有關 SSL/TLS 憑證的詳細資訊，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。

**內容**
+ [必要條件](#validate-distribution-certificate-prerequisite)
+ [取得 CNAME 記錄值以驗證憑證](#get-distribution-certificate-cname-records)
+ [新增 CNAME 記錄至網域的 DNS 區域](#add-distribution-certificate-cname-records)
+ [檢視分發憑證的狀態](#viewing-distribution-certificate-status)

## 先決條件
<a name="validate-distribution-certificate-prerequisite"></a>

開始之前，您需要為分發建立 SSL/TLS 憑證。如需詳細資訊，請參閱[為分發建立 SSL/TLS 憑證](amazon-lightsail-create-a-distribution-certificate.md)。

## 取得 CNAME 記錄值以驗證憑證
<a name="get-distribution-certificate-cname-records"></a>

請完成下列程序，以取得必須新增至網域以驗證憑證的 CNAME 記錄。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇要取得憑證的 CNAME 記錄值的分發名稱。  
![\[Lightsail 首頁的網路區段。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/lightsail-home-page-networking.png)

1. 選擇分發管理頁面上的 **Custom domains** (自訂網域) 索引標籤。  
![\[Lightsail 分發的 Custom domains (自訂網域) 索引標籤。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)

1. 向下捲動至頁面的 **Attached certificates** (連接的憑證) 區段。

   您的所有分發憑證都會列在頁面的 **Attached certificates** (連接的憑證) 區段下，包括為其他 Lightsail 資源建立的憑證，以及待驗證的憑證。

1. 尋找您要驗證的憑證，展開 **Validation details** (驗證詳細資訊)，並記下您必須為列出的每個網域新增之 CNAME 記錄的 **Name** (名稱) 和 **Value** (值)。

   您必須完全依照列出的方式新增這些記錄。建議您複製這些值並貼至稍後可參考的文字檔案中。如需詳細資訊，請參閱本指南的下列[將 CNAME 記錄新增至網域的 DNS 區域](#add-distribution-certificate-cname-records)章節。

## 新增 CNAME 記錄至網域的 DNS 區域
<a name="add-distribution-certificate-cname-records"></a>

請完成以下程序，將 CNAME 記錄新增至網域的 DNS 區域。

1. 在左側導覽窗格中，選擇**網域和 DNS**。

1. 在頁面的 **DNS zones** (DNS 區域) 區段下，選擇您要新增 CNAME 記錄以驗證憑證的網域名稱。

1. 選擇 **DNS records** (DNS 記錄) 索引標籤。

1. 在 DNS 記錄管理頁面上，選擇 **Add record** (新增記錄)。

1. 在 **Record type** (記錄類型) 下拉式選單中，選擇 **CNAME**。

1. 在 **Record name** (記錄名稱) 文字方塊中，輸入您從憑證取得之 CNAME 記錄的 **Name** (名稱) 值。

   Lightsail 主控台會預先填入您網域的頂點部分。例如，如果您要新增 `www.example.com` 子網域，則只需在文字方塊中輸入 `www`，當您儲存記錄時，Lightsail 會新增 `.example.com` 部分。

1. 在 **Route traffic to** (將流量路由至) 文字方塊中，輸入您從憑證取得之 CNAME 記錄的 **Value** (值) 部分。

1. 確認您輸入的值與您要驗證的憑證上列出的值完全相同。

1. 選擇儲存圖示，將記錄儲存到 DNS 區域。

   重複這些步驟，為憑證上需要驗證的網域新增其他 CNAME 記錄。允許透過網際網路 DNS 傳播的變更時間。幾分鐘後，分發憑證的狀態應該變更為 **Valid** (有效)。如需詳細資訊，請參閱本指南的[檢視分發憑證的狀態](#viewing-distribution-certificate-status)一節。

## 檢視分發憑證的狀態
<a name="viewing-distribution-certificate-status"></a>

請完成下列程序，以檢視分發的 SSL/TLS 憑證的狀態。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇要檢視憑證狀態的分發名稱。  
![\[Lightsail 首頁的網路區段。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/lightsail-home-page-networking.png)

1. 選擇分發管理頁面上的 **Custom domains** (自訂網域) 索引標籤。  
![\[Lightsail 分發的 Custom domains (自訂網域) 索引標籤。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)

1. 向下捲動至頁面的 **Attached certificates** (連接的憑證) 區段。

   所有的分發憑證都會列在頁面的 **Attached certificates** (連接的憑證) 區段下，包括狀態為 **Pending validation** (待驗證) 和 **Valid** (有效) 的憑證。  
![\[已驗證的 SSL/TLS 憑證\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/lightsail-validated-certificate.png)

   **Valid** (有效) 狀態確認您已使用新增至網域的 CNAME 記錄成功驗證憑證。選擇 **Details** (詳細資訊)，檢視憑證的重要日期、加密詳細資訊、身分識別和驗證記錄。您的憑證自驗證之日起 13 個月內有效，此後 Lightsail 會嘗試自動重新驗這些證憑證。請勿刪除您新增至網域的 CNAME 記錄，因為在列出的 **Valid until** (有效期) 日期重新驗證憑證時需要這些記錄。

   驗證 SSL/TLS 憑證之後，您應該啟用分發的自訂網域，以便在分發上使用憑證的網域名稱。如需詳細資訊，請參閱[啟用分發的自訂域](amazon-lightsail-enabling-distribution-custom-domains.md)。

# 使用最低 TLS 通訊協定版本保護您的Lightsail分發
<a name="amazon-lightsail-configure-distribution-tls-version"></a>

Amazon Lightsail 使用 SSL/TLS 憑證來驗證您可以搭配 Lightsail分佈使用的自訂 （已註冊） 網域。本指南提供您可以為 SSL/TLS 憑證設定的檢視器最低 TLS 通訊協定版本 （通訊協定版本） 的相關資訊。如需有關 SSL/TLS 憑證的詳細資訊，請參閱 [Lightsail 中的 SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。檢視器是一種應用程式，可對與您的Lightsail分佈相關聯的節點提出 HTTP 請求。如需有關分發的詳細資訊，請參閱 [Lightsail 中的內容交付網路分發](amazon-lightsail-content-delivery-network-distributions.md)。

當您為分佈啟用自訂網域時，預設會設定`TLSv1.2_2021`通訊協定版本。您可以設定不同的通訊協定版本，如本指南稍後所述。 Lightsail分佈不支援自訂 TLS 通訊協定版本。

## 支援的通訊協定
<a name="load-balancer-supported-policies"></a>

Lightsail 分佈可以使用下列 TLS 通訊協定進行設定：
+ （建議） TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016

## 先決條件
<a name="configure-distribution-tls-policy-prerequisites"></a>

請先完成事前準備 (若尚未完成)：
+ [建立Lightsail內容交付網路分發](amazon-lightsail-creating-content-delivery-network-distribution.md)
+ [建立分發的 SSL/TLS 憑證](amazon-lightsail-create-a-distribution-certificate.md)
+ [驗證分發的 SSL/TLS 憑證](amazon-lightsail-validating-a-distribution-certificate.md)
+ [啟用分發的自訂域](amazon-lightsail-point-domain-to-distribution.md)
+ [將您的網域指向分佈](amazon-lightsail-point-domain-to-distribution.md)

## 識別分發的最低 TLS 通訊協定版本
<a name="identify-distribution-tls-policy-prerequisites"></a>

完成下列步驟，以識別Lightsail分發的最低 TLS 通訊協定版本

**注意**  
在本指南中，您將使用 AWS CloudShell 來執行升級。CloudShell 是一種以瀏覽器為基礎的預先驗證 Shell，您可以直接從Lightsail主控台啟動。使用 CloudShell，您可以使用您偏好的 shell 執行 AWS CLI 命令，例如 Bash、PowerShell 或 Z shell。無需下載或安裝命令列工具即可執行此操作。如需如何設定和使用 CloudShell 的詳細資訊，請參閱 [AWS CloudShell 中的 Lightsail](amazon-lightsail-cloudshell.md)以取得詳細資訊。

1. 開啟終端機[AWS CloudShell](amazon-lightsail-cloudshell.md)、 或命令提示字元視窗。

1. 輸入下列命令來識別Lightsail分發的最低 TLS 通訊協定版本。

   ```
   aws lightsail get-distributions --distribution-name DistributionName --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   在 命令中，將 *DistributionName* 取代為您要修改的分佈名稱。

   **範例**

   ```
   aws lightsail get-distributions --distribution-name Distribution-1 --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   命令會傳回分發的最低 TLS 通訊協定版本的 ID。

   **範例**

   ```
   "viewerMinimumTlsProtocolVersion": "TLSv1.2_2021"
   ```

## 使用 設定最低 TLS 通訊協定版本 AWS CLI
<a name="configure-distribution-tls-version-cli"></a>

完成下列程序，使用 AWS Command Line Interface () 設定 TLS 通訊協定版本AWS CLI。您可以使用 `update-distribution` 命令來執行此動作。如需詳細資訊，請參閱《 *AWS CLI 命令參考*》中的 [update-distribution 屬性](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-distribution.html)。

1. 開啟終端機[AWS CloudShell](amazon-lightsail-cloudshell.md)、 或命令提示字元視窗。

1. 輸入下列命令來變更分發的最低 TLS 通訊協定版本。

   ```
   aws lightsail update-distribution --distribution-name DistributionName --viewer-minimum-tls-protocol-version ProtocolVersion
   ```

   將命令中的以下範例文字取代為自訂文字：
   + 具有您要更新之分佈名稱的 *DistributionName*。
   + *ProtocolVersion* 搭配有效的 TLS 通訊協定版本。例如 `TLSv1.2_2021` 或 `TLSv1.2_2019`。

   範例：

   ```
   aws lightsail update-distribution --distribution-name  MyDistribution --viewer-minimum-tls-protocol-version TLSv1.2_2021
   ```

   您所做的變更需要一些時間才會生效。

# 從Lightsail分發中刪除未使用的 SSL/TLS 憑證
<a name="amazon-lightsail-deleting-distribution-certificates"></a>

**警告**  
刪除 SSL/TLS 憑證是最終的步驟，而且無法還原。

您可以刪除不會再於分發上使用的 Amazon Lightsail SSL/TLS 憑證。例如，您的憑證可能已過期，而您已連接通過驗證的更新憑證。如需憑證的詳細資訊，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。如需有關分發的詳細資訊，請參閱[內容交付網路分發](amazon-lightsail-content-delivery-network-distributions.md)。

您有可在 365 天期間內建立的憑證配額。如需詳細資訊，請參閱《Lightsail》**中的 [AWS 一般參考服務配額](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)。

## 刪除分發的 SSL/TLS 憑證
<a name="deleting-distribution-certificate"></a>

**重要**  
如果您要刪除的憑證正在使用中，則 **Delete** (刪除) 選項無法使用。若要刪除使用中的憑證，您必須先變更使用憑證之分佈的自訂網域，或在使用憑證的分佈上停用自訂網域。

請完成下列程序以刪除分發的 SSL/TLS 憑證。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇您要從中刪除 SSL/TLS 憑證之分發的名稱。因為所有憑證都會列於每個分發中，如果憑證目前未在使用中，您便可以選擇任何分發。

1. 選擇分發管理頁面上的 **Custom domains** (自訂網域) 索引標籤。

1. 在該頁面的**憑證**區段中，為您要刪除的憑證選擇省略符號圖示 (⋮)，然後選擇**刪除**。

   如果您要刪除的憑證正在使用中，則 **Delete** (刪除) 選項無法使用。若要刪除使用中的憑證，您需要先變更使用憑證之分發的自訂網域，或停用使用憑證之分發上的自訂網域。如需詳細資訊，請參閱[變更分發的自訂域](amazon-lightsail-changing-distribution-custom-domains.md)和[啟用分發的自訂域](amazon-lightsail-disabling-distribution-custom-domains.md#amazon-lightsail-disabling-distribution-custom-domains.title)。

1. 選擇 **Yes, Delete** (是，刪除) 以確認刪除。