本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用Lightsail負載平衡器的 SSL/TLS 憑證啟用 HTTPS
<a name="create-tls-ssl-certificate-and-attach-to-lightsail-load-balancer-https"></a>

在您建立 Lightsail 負載平衡器之後，即可連接 Transport Layer Security (TLS) 憑證以啟用 HTTPS。SSL/TLS 憑證可讓您的負載平衡器處理加密的 Web 流量，讓您可以為使用者提供更安全的體驗。若要進一步了解，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。

## 先決條件
<a name="create-ssl-tls-certificate-prerequisites"></a>

在開始使用之前，您將需要滿足以下條件。
+ Lightsail 負載平衡器。若要進一步了解，請參閱[建立負載平衡器](create-lightsail-load-balancer-and-attach-lightsail-instances.md)。

## 建立憑證請求
<a name="create-ssl-tls-certificate"></a>

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇您要設定 SSL/TLS 憑證的負載平衡器名稱。

1. 選擇 **Custom domains** (自訂網域) 索引標籤。

1. 選擇 **Create certificate (建立憑證)**。

1. 輸入憑證的名稱或接受預設。

   資源名稱：
   +  AWS 區域 在您的Lightsail帳戶中的每個 中必須是唯一的。
   + 必須包含 2 到 255 個字元。
   + 開頭和結尾必須是英數字元或數字。
   + 可以包含英數字元、數字、句點、破折號和底線。

1. 輸入您的主要網域 (`www.example.com`)，以及最多 9 個替代網域或子網域。

   如需詳細資訊，請參閱[將替代網域和子網域新增至 SSL/TLS 憑證](add-alternate-domain-names-to-tls-ssl-certificate-https.md)

1. 選擇 **Create certificate (建立憑證)**。

   Lightsail 開始驗證程序。您有 72 小時可以驗證您擁有您的網域。

   在您建立憑證之後，您會看到憑證與網域名稱以及所有替代網域和子網域。您必須為每個網域和子網域建立 DNS 記錄。

## 下一步驟
<a name="create-ssl-tls-certificate-next-steps"></a>
+  [驗證您擁有您的網域](verify-tls-ssl-certificate-using-dns-cname-https.md) 

**Topics**
+ [先決條件](#create-ssl-tls-certificate-prerequisites)
+ [建立憑證請求](#create-ssl-tls-certificate)
+ [下一步驟](#create-ssl-tls-certificate-next-steps)
+ [新增替代網域](add-alternate-domain-names-to-tls-ssl-certificate-https.md)
+ [驗證 SSL/TLS 憑證](verify-tls-ssl-certificate-using-dns-cname-https.md)
+ [將憑證連線至負載平衡器](attach-validated-certificate-to-load-balancer.md)
+ [移除 SSL/TLS 憑證](delete-tls-ssl-certificate-lightsail-load-balancer-https.md)

# 將替代網域和子網域新增至您的 Lightsail SSL/TLS 憑證
<a name="add-alternate-domain-names-to-tls-ssl-certificate-https"></a>

建立 Lightsail 負載平衡器的 SSL/TLS 憑證時，您可在此新增替代網域和子網域。這些替代名稱有助於確保所有到達您負載平衡器的流量都經過加密。

指定主要網域時，可使用完全合格的網域名稱 (如 `www.example.com`) 或 apex 網域名稱 (如 `example.com`)。

網域和子網域的總數不得超過 10，因此您至多可將 9 個替代網域和子網域新增到您的憑證。建議您新增如下列清單的項目。
+ example。com
+ example.net
+ blog。example。com
+ myexamples。com

## 建立具有替代網域和子網域的憑證
<a name="create-certificate-with-alternate-domains-and-subdomains"></a>

1. 請先[建立負載平衡器](create-lightsail-load-balancer-and-attach-lightsail-instances.md) (若您還沒有的話)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇您的 Lightsail 負載平衡器。

1. 選擇 **Custom domains** (自訂網域) 索引標籤。

1. 選擇 **Create certificate (建立憑證)**。

1. 輸入憑證的名稱，或接受預設名稱。

   資源名稱：
   +  AWS 區域 在您的Lightsail帳戶中的每個 中必須是唯一的。
   + 必須包含 2 到 255 個字元。
   + 開頭和結尾必須是英數字元或數字。
   + 可以包含英數字元、數字、句點、破折號和底線。

1. 輸入您的主要網域 (`www.example.com`)，以及最多 9 個替代網域或子網域。

1. 選擇 **Create certificate (建立憑證)**。

   建立後，您有 72 小時可以驗證您擁有您的網域。

## 後續步驟
<a name="add-alternate-domain-names-next-steps"></a>
+  [使用 DNS 驗證網域所有權](verify-tls-ssl-certificate-using-dns-cname-https.md) 

  驗證後，您可選取經過驗證的憑證，將之與您的 Lightsail 負載平衡器建立關聯。
+  [啟用工作階段持續性](update-settings-for-lightsail-load-balancer-health-check-path-https-session-stickiness-persistence-cookie-duration.md) 

# 在 中使用 CNAME 記錄驗證 SSL/TLS 憑證網域 Lightsail
<a name="verify-tls-ssl-certificate-using-dns-cname-https"></a>

在 Lightsail 中建立 SSL/TLS 憑證後，您必須驗證您控制新增至憑證的所有網域和子網域。

**內容**
+ [步驟 1：建立網域的 Lightsail DNS 區域](#verify-ssl-tls-create-dns-zone)
+ [步驟 2：新增記錄至網域的 DNS 區域](#verify-ssl-tls-create-dns-records)
+ [下一步驟](#verify-ssl-tls-next-step)

## 步驟 1：建立網域的 Lightsail DNS 區域
<a name="verify-ssl-tls-create-dns-zone"></a>

如果您尚未建立網域的 Lightsail DNS 區域，請執行該操作。如需詳細資訊，請參閱[建立 DNS 區域以管理域的 DNS 記錄](lightsail-how-to-create-dns-entry.md)。

## 步驟 2：新增記錄至網域的 DNS 區域
<a name="verify-ssl-tls-create-dns-records"></a>

您建立的憑證會提供一組正式名稱 (CNAME) 記錄。您可以將這些記錄新增至網域的 DNS 區域，藉此驗證自己擁有或能控制該網域。

**重要**  
Lightsail 會嘗試自動驗證您可控制在建立憑證時指定的網域或子網域。選取 **Create certificate** (建立憑證) 後，CNAME 記錄會新增至您網域的 DNS 區域。如果自動驗證成功，憑證的狀態會從 **Attempting to validate your certificate** (正在嘗試驗證您的憑證)，變更為 **Valid, in use** (有效，使用中)。  
如果自動驗證失敗，請繼續執行下列步驟。

在下列步驟中，我們將示範如何取得 CNAME 記錄，並將其新增至 Lightsail主控台中的網域 DNS 區域。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在Lightsail首頁上，選擇頂端導覽功能表上的使用者或角色。

1. 在下拉式選單中選擇 **Account** (帳戶)。  
![\[Lightsail 帳戶索引標籤\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/amazon-lightsail-console-account-menu.png)

1. 選擇 **Certificates (憑證)** 索引標籤。

1. 尋找您要驗證的憑證，並記下您必須為每個網域新增之 CNAME 記錄的 **Name** (名稱) 和 **Value** (值)。

   請將這些記錄複製到剪貼簿。如果您使用的是 Windows，按下 **Ctrl\$1C (Ctrl\$1C)**；如果您使用的是 Mac，則需按下 **Cmd\$1C (Cmd\$1C)**。  
![\[憑證正在等待網域和子網域驗證。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/example.certificate-validation-with-subdomains.png)

1. 開啟文字編輯器。如果您使用的是 Windows，請開啟記事本；如果您使用的是 Mac，則請開啟 TextEdit。在文字檔案中，請按下 **Ctrl\$1V (Ctrl\$1V)** (適用於 Windows 作業系統)，或是按下 **Cmd\$1V (Cmd\$1V)** (適用於 Mac 作業系統)，以將該值貼至文字檔案中。

   請勿關閉此文字檔案。在本指南的後續步驟中，您需要使用這些 CNAME 值，才能新增記錄至網域的 DNS 區域。  
![\[內含憑證 CNAME 記錄的文字檔案。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/amazon-lightsail-ssl-tls-cname-records-text-file.png)

1. 選擇 Lightsail 主控台頂部導覽列上的 **Home** (首頁)。

1. 選擇 Lightsail 首頁上的 **Domains & DNS** (網域和 DNS)。

1. 選擇要使用該憑證的網域 DNS 區域。

1. 選擇 **DNS records** (DNS 記錄) 索引標籤中的 **Add record** (新增記錄)。

1. 選擇 **CNAME** 記錄類型。

1. 切換至文字檔案，其中包含憑證的 CNAME 記錄。

   複製該 CNAME 記錄的 **Name (名稱)**。例如 `_1bfb0b9ef15a50f9041e559d2c67b760`。

1. 切換至 DNS 記錄頁面，然後將 **Name** (名稱) 貼到 **Record name** (記錄名稱) 欄位中。
**重要**  
如果新增包含網域名稱 (如 `.example.com`) 的 CNAME 記錄，將會產生重複的網域名稱 (如 `.example.com.example.com`)。為避免重複，請編輯該項目並確保僅新增 CNAME 中需要的部分。此處指的是 `_1bfb0b9ef15a50f9041e559d2c67b760`。

1. 複製該 CNAME 記錄的 **Value (數值)**。例如 `_c9a0c385eda13283350e35f297469a13.hkvuiqjoua.acm-validations.aws.`。

1. 切換至 DNS 記錄頁面，然後將 **Value** (值) 貼到 **Route traffic to** (將流量路由至) 欄位中。

1. 選擇 **Save** (儲存)，即可新增記錄。

1. 若您有替代子網域，則需選擇 **Add record** (新增記錄) 以新增另一個記錄。
**注意**  
 若要進一步了解替代網域或子網域，請參閱[在 Amazon Lightsail 中將替代網域和子網域新增至 SSL/TLS 憑證](add-alternate-domain-names-to-tls-ssl-certificate-https.md)。

1. 請重複步驟 11 到 17，藉此新增替代子網域的 CNAME 記錄。

   在 DNS 區域管理頁面上，您還可以[新增別名 (A) 記錄以指向負載平衡器](add-alias-record-for-lightsail-load-balancer.md)或其他 Lightsail 資源。

   完成後，DNS 區域應如下列螢幕擷取畫面所示。  
![\[Lightsail 已準備好提交要驗證的 CNAME。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/dns-validation-cname-with-alternate-names.png)

   請稍待一段時間，網域通過驗證後，您會在憑證上看到以下訊息。  
![\[網域驗證成功。\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/example-com-verified-and-ready-to-use.png)

## 下一步驟
<a name="verify-ssl-tls-next-step"></a>

一旦域通過驗證，您即可[將經過驗證的 SSL/TLS 憑證附接至負載平衡器](attach-validated-certificate-to-load-balancer.md)。

# 將經過驗證的 SSL/TLS 憑證連接至 Lightsail 負載平衡器
<a name="attach-validated-certificate-to-load-balancer"></a>

驗證您可控制網域後，憑證的狀態會變更為 **Valid** (有效)。

![\[網域驗證成功\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/example-com-verified-and-ready-to-use.png)


您的下一個步驟是將憑證連接到 Lightsail 負載平衡器。

1. 從 Lightsail 首頁選擇 **Networking (聯網)**。

1. 選擇您的 負載平衡器。

1. 選擇 **Custom domains** (自訂網域) 索引標籤。

1. 在 **Certificates** (憑證) 區段中，選擇 **Attach certificate** (連接憑證)。

1. 從下拉式清單中選取憑證。

1. 選擇**連接**，以連接憑證。

# 從Lightsail負載平衡器移除 SSL/TLS 憑證
<a name="delete-tls-ssl-certificate-lightsail-load-balancer-https"></a>

您可以刪除不再使用的 SSL/TLS 憑證。例如，您的憑證可能已過期，而您已連接通過驗證的更新憑證。如果您要在刪除憑證之前複製憑證，可在與下方步驟 5 的相同捷徑選單中選擇 **Duplicate** (複製)。

**重要**  
如果您刪除的憑證是有效的且正在使用中，您的負載平衡器將不再能夠處理加密 (HTTPS) 流量。您的 Lightsail 負載平衡器仍支援未加密的 (HTTP) 流量。  
刪除 SSL/TLS 憑證是最終的步驟，而且無法還原。您在 365 天的期間內，可建立的憑證數量是有配額的。如需詳細資訊，請參閱《AWS Certificate Manager 使用者指南》的[配額](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇您的 SSL/TLS 憑證所連接的負載平衡器。

1. 選擇負載平衡器管理頁面上的 **Inbound traffic** (傳入流量) 索引標籤。

1. 在該頁面的**憑證**區段中，為您要刪除的憑證選擇省略符號圖示 (⋮)，然後選擇**刪除**。

   如果您要刪除的憑證正在使用中，則 **Delete** (刪除) 選項無法使用。若要刪除使用中的憑證，您必須先變更使用該憑證之負載平衡器的憑證，或在使用該憑證的負載平衡器上停用 HTTPS。