上传证书至 IAM - Amazon Elastic Beanstalk
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

上传证书至 IAM

如需配合 Elastic Beanstalk 环境的负载均衡器使用证书,请将证书和私有密钥上载至 Amazon Identity and Access Management (IAM)。您可以将存储在 IAM 中的证书与 Elastic Load Balancing 负载均衡器和 Amazon CloudFront 分配结合使用。

注意

Amazon Certificate Manager (ACM) 是预置、管理和部署您的服务器证书的首选工具。有关请求 ACM 证书的更多信息,请参阅 Amazon Certificate Manager 用户指南中的请求证书。有关将第三方证书导入 ACM 中的更多信息,请参阅 Amazon Certificate Manager 用户指南中的导入证书。仅当 ACM 在您所在的 Amazon 区域不可用时才使用 IAM 上载证书。

您可以使用 Amazon Command Line Interface (Amazon CLI) 上载证书。以下命令会上传名为 https-cert.crt 的带有名为 private-key.pem 的私有密钥的自签名证书:

$ aws iam upload-server-certificate --server-certificate-name elastic-beanstalk-x509 --certificate-body file://https-cert.crt --private-key file://private-key.pem { "ServerCertificateMetadata": { "ServerCertificateId": "AS5YBEIONO2Q7CAIHKNGC", "ServerCertificateName": "elastic-beanstalk-x509", "Expiration": "2017-01-31T23:06:22Z", "Path": "/", "Arn": "arn:aws:iam::123456789012:server-certificate/elastic-beanstalk-x509", "UploadDate": "2016-02-01T23:10:34.167Z" } }

file:// 前缀告知 Amazon CLI 加载当前目录中的文件内容。elastic-beanstalk-x509 指定该名称调用 IAM 中的证书。

如果您已从证书颁发机构购买了证书并已收到证书链文件,请包括 --certificate-chain 选项,将证书链文件同样上传:

$ aws iam upload-server-certificate --server-certificate-name elastic-beanstalk-x509 --certificate-chain file://certificate-chain.pem --certificate-body file://https-cert.crt --private-key file://private-key.pem

记下证书的 Amazon Resource Name (ARN)。当您更新负载均衡器配置设置以使用 HTTPS 时,您会使用它。

注意

上传到 IAM 的证书保持存储状态,即使在任何环境的负载均衡器中不再使用它也如此。它包含敏感数据。当您对于任何环境都不再需要该证书时,请务必将其删除。有关从 IAM 中删除证书的详细信息,请参阅https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_server-certs.html#delete-server-certificate

有关 IAM 中的服务器证书的更多信息,请参阅 IAM 用户指南 中的使用服务器证书