问题标签 [amazon-acm]

我运行具有多个子域的 SaaS，并且客户也可以选择使用自己的域。

这意味着，我们托管例如：

通过 ACM 创建证书时，我必须确认所有域的新证书，这很公平，因为我可以接受。但是我们的客户无法忍受每次我们添加新证书时确认他们的域（因为我们仍然无法将域更新/添加到现有证书。）。

我的问题是，当必须确认域时，我可以以某种方式拦截正在发送的邮件吗？当然，我不能总是收到他们的邮件，但只是为了例如。hostmaster@customer3.com

如果需要，这些域可以移动到 Route 53，客户通常拥有它们很长时间，托管在其他地方。我们通常只为我们的 ELB 创建一个 CNAME。

其他人如何处理这个问题？

最好的问候，提前谢谢

当我将 AWS 证书与我的 Elastic Beanstalk 应用程序关联并使用 https 访问域时，我收到“无法访问此站点，mydomain.com 拒绝连接。” 我可以使用http访问该网站。

我使用 AWS 的 ACM 创建了一个安全证书。我将我的域名 example.com 以及作为子域的其他名称添加到证书中。在我的应用程序的环境“负载平衡”部分中，我进行了设置：

我设置了为我的环境命名的 SecurityGroup awseb-e-abc123-stack-*，如下所示：

还有一个名为 的安全组awseb-e-abc123-stack-AWSEBLoadBalancerSecurityGroup-*，如下所示。它与上述组具有相同的名称标签，与我的环境名称相同：

不过，“AWSEBLoadBalancerSecurityGroup”安全组的条目似乎什么也没做，因为删除所有条目仍然允许 HTTP 流量工作。

在.elasticbeanstalk\securelistener.config，我有以下

但是，如果我在此文件中添加语法错误，似乎部署仍然成功。

这是输出curl -vL https://<my domain>：

我使用单独的域名注册器来设置我的域名，并设置我的域的 DNS A 记录 IP 地址等于我的弹性 IP。

[编辑]

我在上面提到过，更改负载均衡器安全组的规则无济于事。这是因为我的 EC2 实例的安全组指向实例的安全组，而不是负载均衡器的安全组。当我将 EC2 的安全组指向负载均衡器的安全组时，就会执行安全组的规则。我通过从负载均衡器安全组中删除所有规则并看到没有接受任何请求来验证这一点。但是，如果我将 HTTP 和 HTTPS 规则添加回负载均衡器安全组，但从实例安全组中删除所有规则，则所有 HTTP 请求都会通过。这不是预期的行为，因为负载均衡器应该将流量转发到实例。

还有什么我想念的吗？

[编辑 2]

我误读了 gkrizek 的评论。如果我使用负载均衡器的公共 DNS，我可以使用 HTTP 或 HTTPS 进行连接。我可以使用 telnet 连接到这两个版本。因此，我没有创建将 testdomain.com 设置为我的弹性 IP 的 A 记录，而是为负载均衡器创建了一个 sub.testdomain.com CNAME 记录集。现在我可以同时浏览http://sub.testdomain.com和https://sub.testdoamin.com。两个问题：

• 在 CNAME 记录中使用负载均衡器的公共 DNS 是否可以？我不能使用 *.elasticbeanstalk.com URL，因为它可能会改变，所以我想知道同样的情况是否适用于这里
• 我怎样才能保护https://testdomain.com（没有子域）。使用这种方法似乎是不可能的，https://testdomain.com因为我无法创建带有域名的 A 记录。

我们在 us-west-2 中拥有基础设施设置所需的一切。我们在 us-east-1 中有一个 ssl 证书设置。API Gateway 要求它在该区域中。

在 us-west-2 中，我们使用 API Gateway 中的证书就好了。我们也想在我们的 ELB 上使用它。但是 ELB 要求 ACM 证书在同一区域。

证书是 *.domain.com，因此它适用于我们所有的子域。将证书与 API Gateway 和 ELB 一起使用的正确方法是什么？

由于我的 SSL 证书过期，我收到了证书颁发机构的续订并在 AWS Certificate Manager 控制台上重新导入，它立即从Expired回更改为Issued. 它直接链接到 CloudFront 分配，看起来一段时间后不会反映这种变化。然后我检查了它的 SSL 证书标识符，它与正确的 ACM 条目匹配。之后我已经使所有缓存失效，以确保它甚至可以反映在匿名窗口上，但目前还没有运气。

我无法在 AWS 文档中找到是否需要几个小时来反映或需要任何其他操作才能使其正常工作。我没有尝试的一件事是清除本地浏览器缓存，因为我知道有几个用户依赖它，并且我希望这个更新对所有人都是透明的。

我很欣赏有关此事的任何线索或提示。

我使用 angular5 将我的静态网站托管在 S3 存储桶中，并使用 Route53 映射到自定义域。我想为我的站点使用 SSL/TLS(HTTPS)，因此我使用 ACM 生成证书并使用 CloudFront 将其映射到我的站点。发出 ACM 状态并表示它正在使用中。但我的网站未 启用HTTPS 。

一切都托管在 us-east-1 中，我正在从东亚访问我的网站。这是一个问题吗？

我错过了什么吗？

我有一个 terraform 模块，主要在 eu-west-1 中提供资源。我需要一个 ACM 证书才能附加到 Cloudfront 发行版。证书必须在 us-east-1 中提供。

因此，我配置了两个提供程序：

在我的模块中，我像这样提供证书：

问题 #1：我尝试使用以下方法导入现有的 ACM 证书：

这失败了：“找不到带有 id 的证书”。terraform 是否在错误的区域中寻找？我通过 aws CLI 确认证书确实存在（例如 ARN 中没有拼写错误）。

好的，所以我想我可以创建新证书。这确实有效，我现在有两个证书，但是我遇到了问题 #2：

这会尝试为 ACM 设置 DNS 验证。托管区域存在于 eu-west-1 中，所以我预计这里会出现问题。但是，这仍然因“找不到证书...”而失败，我假设 terraform 对区域感到困惑。我也尝试添加provider = "aws.us-east-1"到这个资源，但它仍然以同样的方式失败。

因此，无论我做什么，Terraform 都无法找到我的证书，即使它自己创建了它。难道我做错了什么？

我正在尝试最简单的部署以在 Fargate 中启动并运行 https Web 服务器。

我已经使用 Amazon Certificate Manager 创建了一个公共证书。

我有一个 Application Load Balancer 在两个端口上与 Fargate 容器通信：80 用于 http，443 用于 https

这就是问题所在：当我在端口 80 (http) 上运行我的网络服务器并通过 ALB 连接时，它工作正常（不安全，但它提供了 html）。

当我在启用 TLS 的端口 443 上运行我的网络服务器时，它不会通过 ALB 连接。

另一点是，当在端口 443 上启用了 TLS 运行我的网络服务器时，我没有证书或证书密钥，因此很困惑如何从 Amazon 获取。

我的另一个问题是：说 ELB 将通过 HTTPS 与客户端通信但 ELB 可以通过 HTTP 与容器通信对我来说有意义吗？这安全吗？

感谢您的帮助，我的网络知识非常生疏。

我目前在 AWS 上托管一个前端和后端网站。这是我当前的设置：

前端：

• 托管在 S3 上的静态网站
• 云端 CDN
• Cloudfront 上 HTTPS 的 ACM 证书

后端：

• EC2 上的 Nginx Docker 映像
• 针对单个 EC2 实例的 ELB 设置

通过使用 Route 53 为 Cloudfront 生成证书，我使前端 HTTPS 正常工作。对于后端，我设置了 ELB，以便我可以使用 ACM 来管理我的后端证书，而不是直接在服务器上进行。

我对应该为 ELB 创建证书的域感到困惑。我是否需要创建一个指向 EC2 实例的 DNS 位置的子域？我尝试添加域 ( [...].compute-1.amazonaws.com) 的 DNS 位置来生成证书，但是当我尝试在 ACM 中对其进行 DNS 验证时，它失败了。

有什么想法吗？

我正在尝试在此处的 terraform 代码中使用我的组织证书。

crtf文件

错误：应用计划时出错：

发生 1 个错误：

• aws_iam_server_certificate.acm_crt：发生 1 个错误：

• aws_iam_server_certificate.acm_crt：上传服务器证书时出错，错误：MalformedCertificate：无法解析证书。请确保证书为 PEM 格式。