AWS Certificate Manager， AWS 也提供免费证书了！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Certbot 使用文档

Dehydrated

Stay.live 证书有效期监控

HTTP Strict Transport Security

What's My Chain Cert?

Certificate Search by Comodo

This topic created in 3756 days ago, the information mentioned may be changed or developed

详见： https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

关于 AWS 也想做 CA 这件事，还有： https://www.amazontrust.com/index.html

一个示例： https://serverlesscode.com/

当然 AWS 的目前只能用于自家的 ELB 和 CloudFront...

19 replies 2016-01-24 02:04:56 +08:00

rainy3636

Jan 23, 2016

还能再长一些吗

oojiayu

Jan 23, 2016

这也算是鸡肋吧，只能用于自家的产品……

moult

Jan 23, 2016

不过看图，好像支持野卡。

imWBB

Jan 23, 2016

好长好长
长长长长长
五个唉

function007

Jan 23, 2016

只能用于自家这个无爱了。。

SharkIng

Jan 23, 2016

为什么我这里看到的只有四个？？？
@rainy3636
@imWBB

imxieke

Jan 23, 2016 via Android

@moult 在控制面板可以申请的

qgy18

Jan 23, 2016

@SharkIng 因为 OSX 将 Starfield Services Root Certificate Authority - G2 也收录到受信任的系统根证书列表了。浏览器验证和显示证书链时，找到第一个根证书即可。

但是为了保证兼容性，服务端还是得输出四个证书，这会导致 TLS 握手阶段的 Certificate 响应变大，不好不好。

我之前的文章有写到证书这块：
https://imququ.com/post/optimize-tls-handshake.html#toc-2

SharkIng

Jan 23, 2016

@qgy18 原来是这样。。。。

Had

Jan 23, 2016

@qgy18 你又换回 RapidSSL 啦？

话说， RapidSSL 可以 reissue SHA-2 root 的证书了， Intermediate CA 是 RapidSSL SHA256 CA - G4

看 AWSTrust ，其实也有 ECC 的两条，但是受制于根证书的信任问题，暂时只能做交叉信任了...

qgy18

Jan 23, 2016

@Had 是啊，因为 Let's Encrypt 的中间证书在 XP 下有问题。我打算等它出 ECC 的时候再切过来，反正 XP 也不支持 ECC 。

qgy18

Jan 23, 2016

@Had 好奇怪，我港区 reissue 了一下，还是 G3 ，这个需要做什么特殊操作么？

Had

Jan 23, 2016

@qgy18
在 Reissue 界面，有个： Hashing Algorithm
可选项为：
1. SHA256 with RSA or DSA and SHA-1 root
2. SHA256 with RSA and SHA256 root

选 2 即可...

进入管理界面： https://products.geotrust.com/orders/orderinformation/authentication.do

qgy18

Jan 23, 2016

@Had 嗯，我是在 namecheap.com 买的证书，联系他们客服搞定了。
之前我都是在 namecheap 后台 reissue ，跟他们客服说了需求后，直接让我去 geotrust 后台操作。

namecheap 客服还是很专业的。

Had

Jan 23, 2016

@qgy18

你的 Nginx 还是这个配置么？
https://imququ.com/post/my-nginx-conf-for-security.html

我发现如果去掉 ssl_dhparam 在你的 cipher suite 下应该是没有影响的。

qgy18

Jan 23, 2016

@Had 去掉 ssl_dhparam 是走默认的 dhparam ，是没有影响的。

我现在 cipher suite 用的下面这个，换成了 cloudflare patch 的 openssl ，别的没有变动。
https://github.com/cloudflare/sslconfig/blob/master/conf

Had

Jan 23, 2016

@qgy18

我的意思是指，去掉 ssl_dhparam 并不影响 SSLLABS 评分（加密强度）。
之前的配置之所以要自己生成的原因是，默认的 dhparam 强度不够。

wdlth

Jan 23, 2016

Amazon 这种高大上的竟然买狗爹的 PKI ……

sky170

Jan 24, 2016

"自家"已无爱= =