有没有办法在不使用电子邮件流程的情况下验证域控制?因为我需要能够为新客户的证书添加其他域...
我面临的问题是我无法添加到现有的AWS证书中,必须创建一个包含所有域的新证书。当我这样做时,每个域的每个人都可以通过电子邮件发送并要求确认:
checked所以我必须注册一个单独的证书并将其上传到ACM,这不是理想的。主要是因为它仅限于99个域,并希望自动化整个过程。
这可以通过AWS实现吗?
谢谢。
答案 0 :(得分:1)
问:是否支持验证域或批准证书的其他方法?
目前还没有。
https://aws.amazon.com/certificate-manager/faqs/#provisioning
由于其他原因,在一个证书上拥有这么多域名并不是一个好习惯。
您的证书在物理上越来越长,浪费了一些带宽,因为证书会在每个新连接上发送到每个连接的客户端。
如果证书上的任何域不再指向您的站点,则续订也将变得混乱,因为自动续订要求在Internet上可以为每个主机名访问颁发的证书。
ACM尝试在亚马逊发布的SSL / TLS证书过期之前自动续订,以便您无需执行任何操作。要自动续订证书,必须满足以下条件:
ACM必须能够与证书中的每个域建立HTTPS连接。
对于每个连接,返回的证书必须与ACM正在续订的证书匹配。
http://docs.aws.amazon.com/acm/latest/userguide/configure-domain-for-automatic-validation.html
一个更清洁的解决方案(我正在使用的解决方案)是单独配置每个域的证书,并将每个域附加到其自己的CloudFront分配,指向您的源服务器(我假设在此上下文中是ELB)并将所有标头列入白名单以转发到原点,绕过缓存并使CloudFront作为简单但分布式的反向代理运行。设置"自动压缩对象"在CloudFront中也可以节省一些带宽费用,即使禁用了缓存,CloudFront也可以通过在AWS网络上保留流量来提高站点的响应速度,以便在源和查看器之间获得更多路径。