從AWS申請免費的SSL證書并對DKIM排錯,aws入門證書

從AWS申請免費SSL證書并排除DKIM故障

今天給大家介紹一下使用AWS的免費工具申請SSL證書。以下部分將討論如何使用AWS證書管理器(ACM)控制臺來請求公共ACM證書。

請求公共證書

登錄AWS管理控制臺并打開位于以下URL的ACM控制臺:https://console.aws.amazon.com/acm/home.

從下圖可以看出，有預置證書和私有證書兩種類型。個人用戶可以選擇預置證書，私人發(fā)行機構(gòu)是運營型，個人用戶基本不需要這種類型。

在下面的“申請證書”頁面上，鍵入您的域名。您可以使用完全限定的域名(FQDN)，如Example Domain，或者頂級域名，如Example Domain。您也可以在最左邊的位置使用星號(*)作為通配符來保護同一個域中的多個站點名稱。

您必須確認您擁有或可以控制請求中指定的所有域名，然后亞馬遜證書頒發(fā)機構(gòu)(CA)才能為該網(wǎng)站頒發(fā)證書。請求證書時，您可以選擇電子郵件驗證或DNS驗證。

從DNS驗證

下面我們主要討論DNS認證的使用。

選擇DNS身份驗證。

選擇審計

在驗證頁面上，展開域名信息或選擇下載的驗證文件。如果您展開域信息，ACM將顯示您必須添加到DNS數(shù)據(jù)庫中的CNAME記錄的名稱和值，以驗證您是否控制該域。

記錄包含兩部分:名稱和標簽。ACM生成的CNAME的名稱部分由一個下劃線字符()后跟一個令牌(綁定到您的AWS帳戶和域名的唯一字符串)構(gòu)成。ACM會在您的域名前添加一個下劃線和標記來構(gòu)建名稱部分。ACM用一個下劃線字符后跟一個不同的標記來構(gòu)建標記，這個標記也與您的AWS帳戶和附加域相關(guān)聯(lián)。在ACM下劃線和令牌后添加AWS用于身份驗證的DNS域名:AWS Certificate ManagerAmazon Web Services(AWS)。以下示例顯示了示例域subdomain.example.com和* .example.com的CNAME格式

添加包含域名的CNAME記錄可能會導致域名重復。為了避免重復，可以只手動復制所需的CNAME部件。格式為 3639 AC 514 e 785 e 898d 2646601 fa 951d 5(下面我們會詳細講解)。

更新DNS配置后，選擇繼續(xù)。ACM將顯示一個包含所有證書的表格視圖。它顯示您請求的證書及其狀態(tài)。在DNS提供商傳播您的記錄更新后，ACM最多需要幾個小時來驗證域名并頒發(fā)證書。在此期間，ACM將驗證狀態(tài)顯示為等待驗證。驗證域名后，ACM將驗證狀態(tài)更改為成功。AWS頒發(fā)證書后，ACM將證書的狀態(tài)更改為已頒發(fā)。

最后可以成功申請到自己的免費證書。

由于驗證時間一般需要124小時，所以下面就不顯示了。

如何正確設(shè)置DKIM

DKIM是什么DKIM代表域名密鑰識別電子郵件。它提供了一種方法來驗證發(fā)快遞電子郵件的組織是否有權(quán)這樣做。

DKIM需要在DNS區(qū)域添加公鑰。密鑰通常通過你的電子郵件發(fā)快遞，例如，組織為你提供SendGrid，郵戳。密鑰將作為TXT記錄直接插入到您的區(qū)域中，或者它將是指向提供商DNS中的密鑰的CNAME。

在做這篇博客的時候，我發(fā)現(xiàn)了一個問題，就是在給DNS添加CNAME的時候，有些DNS提供商不能以下劃線開頭，說明主機名類型不匹配。

SES創(chuàng)建的記錄是CNAME記錄而不是TXT記錄，因此SES可以托管簽名密鑰。通過托管簽名密鑰，SES可以自動輪換簽名憑據(jù)，并降低任何密鑰泄漏的風險。

一些DNS提供商不支持添加帶下劃線的CNAME記錄，盡管RFC明確允許這樣做。但是，DKIM規(guī)范要求記錄名中有下劃線，因此不能刪除下劃線。下劃線是記錄名稱中唯一不受SES或其客戶控制的部分。

雖然互聯(lián)網(wǎng)標準中dnsNames中不允許使用下劃線字符，但在TLS/SSL證書的SAN字段中使用時，它總是被視為灰色地帶。如果此類事件發(fā)生在我們的DNS提供商，可以使用以下方法解決:

第一種解決方案可以更改DNS提供商。Amazon Web Services提供了一個名為Amazon Route 53的可擴展域名服務，它遵循RFC規(guī)定的標準，并允許SES生成CNAME記錄。使用SES與53號公路整合。如果您使用與Route 53上的SES相同的AWS帳戶設(shè)置域名，您可以通過一鍵操作過程設(shè)置域驗證和DKIM。

第二種方法是使用子域(比如我們例子中的sales.sesexample.com)發(fā)快遞電子郵件，并將其委托給DNS提供商，比如Amazon Route 53，它正確地允許CNAME記錄中的下劃線。然后，您可以使用在主域上執(zhí)行的相同步驟在子域上執(zhí)行域驗證和DKIM驗證過程。該電子郵件將由DKIM簽名，但發(fā)件人的地址將包含一個子域(在我們的示例中，發(fā)件人的地址將是anylocalpart @ sales . sesexample . com)。

第三種選擇是自己簽名。這將使您能夠完全控制密鑰和簽名過程，但是需要更多的工作來實現(xiàn)和維護。

最后，您可以要求DNS提供商正確支持在RFC允許的CNAME記錄中添加下劃線。

對于我們的域名，我們假設(shè)我們的DNS提供商已經(jīng)啟用了對CNAME記錄中下劃線的支持，現(xiàn)在我們可以安全地添加DKIM文檔中指定的所需DNS條目。通過這一步，我們現(xiàn)在等待SES向我們發(fā)快遞確認電子郵件，并在SES控制臺中將域的DKIM驗證狀態(tài)從待定更改為已驗證，這將確認CNAME記錄的存在。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。