Aws ACM - DNS 中 SSL 证书的验证如何工作
Aws ACM - how does the verification of SSL cert in DNS work
假设我在 ACM 中创建了一个 public SSL 证书并选择 DNS 验证。
之后,我将在我的 Cloudfront Distribution 中使用这个 SSL 证书。
我对 DNS 服务器的工作原理只有基本的了解。
来自 AWS。
The Domain Name System (DNS) is a directory service for resources connected to a network. On the internet, DNS servers are used primarily to translate from domain names to the numerical IP addresses that identify and locate resources such as computers and other devices. The databases on DNS servers contain domain records that are used for this translation and to enable other functionality. For example, A records are a type of DNS record used to map domain names to IPV4 addresses. MX records are used to route email. NS records list all of the name servers for the domain.
ACM uses CNAME (Canonical Name) records to validate that you own or control a domain. When you choose DNS validation, ACM provides you one or more CNAME records to insert into your DNS database. For example, if you request a certificate for the example.com domain with www.example.com as an additional name, ACM creates two CNAME records for you.
发送证书请求后,我需要在我的 DNS 记录中添加此证书的 DNS 配置以验证证书。
我不确定这一步的作用。
- 这一步的目的是什么?
- 如果我将此 DNS 配置而不是我的添加到其他人的 DNS 记录中,会发生什么情况?
更新
1.)
抱歉,我知道这似乎是个愚蠢的问题。
根据评论,下面的情况永远不会发生?
我的 DNS 记录
www.MyDomain.com. A 123.120.110.1
Tom DNS 记录
www.TomDomain.com. A 123.120.110.1
2.)
假设我帮助客户改造网站 ABC(域名:https://example.com)
客户想使用ABC网站的同一个域名
完成网站后,我为 example.com 创建了 SSL 证书并为构建文件创建了 Cloudfront 分发。
我应该执行的步骤:
a) 向客户端提供从ACM中的SSL证书获得的DNS配置文件,让他们添加到他们的DNS记录中。
b) 在我的云端分发中添加 SSL 证书。
c) 客户端为 https://example.com 添加 CNAME 记录以指向云端分发域名(d8abcbdbwbd.cloudfront.net 等)
正确吗?
3.)
域 myDomain.com.
有一个 SSL 证书
我的 DNS 记录
www.MyDomain.com. A 123.120.110.1
Tom DNS 记录
www.TomDomain.com. A 123.120.110.2
如果 Tom 在他的 DNS 记录中添加我的 SSL 证书,他这边会发生错误吗?
- What is the purpose of this step?
您的引述解释了您必须这样做的原因:to validate that you own or control a domain。
- What will happen if I add this DNS configuration in other people's DNS record instead of mine?
将不会颁发 SSL,因为域验证将失败。如果您拥有(或控制)域,则只能验证 SSL,在这种情况下,您可以明确添加 ACM 将提供给您用于验证的 CNAME 记录。
更新:
如果您同时控制 www.MyDomain.com 和 www.TomDomain.com 那么您可以将它们指向同一个 IP。因此,这样的设置是可能的。
是的。 ACM 生成的用于验证的 CNAME 必须手动添加。只有当您使用 R53 管理您的域时,它才能自动添加。另请记住,SSL 必须在 us-east-1 区域颁发。
您可以在一个证书上有不同的域。因此,如果您为这两个域注册 SSL,将生成两个 CNAME 记录以供验证,您必须将这些记录添加到它们各自的域中以进行验证。
以下是您的两个示例域的示例:
因为我不控制它们中的任何一个,所以在 72 小时后,验证到期。
假设我在 ACM 中创建了一个 public SSL 证书并选择 DNS 验证。
之后,我将在我的 Cloudfront Distribution 中使用这个 SSL 证书。
我对 DNS 服务器的工作原理只有基本的了解。
来自 AWS。
The Domain Name System (DNS) is a directory service for resources connected to a network. On the internet, DNS servers are used primarily to translate from domain names to the numerical IP addresses that identify and locate resources such as computers and other devices. The databases on DNS servers contain domain records that are used for this translation and to enable other functionality. For example, A records are a type of DNS record used to map domain names to IPV4 addresses. MX records are used to route email. NS records list all of the name servers for the domain.
ACM uses CNAME (Canonical Name) records to validate that you own or control a domain. When you choose DNS validation, ACM provides you one or more CNAME records to insert into your DNS database. For example, if you request a certificate for the example.com domain with www.example.com as an additional name, ACM creates two CNAME records for you.
发送证书请求后,我需要在我的 DNS 记录中添加此证书的 DNS 配置以验证证书。
我不确定这一步的作用。
- 这一步的目的是什么?
- 如果我将此 DNS 配置而不是我的添加到其他人的 DNS 记录中,会发生什么情况?
更新
1.)
抱歉,我知道这似乎是个愚蠢的问题。
根据评论,下面的情况永远不会发生?
我的 DNS 记录
www.MyDomain.com. A 123.120.110.1
Tom DNS 记录
www.TomDomain.com. A 123.120.110.1
2.)
假设我帮助客户改造网站 ABC(域名:https://example.com)
客户想使用ABC网站的同一个域名
完成网站后,我为 example.com 创建了 SSL 证书并为构建文件创建了 Cloudfront 分发。
我应该执行的步骤:
a) 向客户端提供从ACM中的SSL证书获得的DNS配置文件,让他们添加到他们的DNS记录中。
b) 在我的云端分发中添加 SSL 证书。
c) 客户端为 https://example.com 添加 CNAME 记录以指向云端分发域名(d8abcbdbwbd.cloudfront.net 等)
正确吗?
3.)
域 myDomain.com.
我的 DNS 记录
www.MyDomain.com. A 123.120.110.1
Tom DNS 记录
www.TomDomain.com. A 123.120.110.2
如果 Tom 在他的 DNS 记录中添加我的 SSL 证书,他这边会发生错误吗?
- What is the purpose of this step?
您的引述解释了您必须这样做的原因:to validate that you own or control a domain。
- What will happen if I add this DNS configuration in other people's DNS record instead of mine?
将不会颁发 SSL,因为域验证将失败。如果您拥有(或控制)域,则只能验证 SSL,在这种情况下,您可以明确添加 ACM 将提供给您用于验证的 CNAME 记录。
更新:
如果您同时控制
www.MyDomain.com和www.TomDomain.com那么您可以将它们指向同一个 IP。因此,这样的设置是可能的。是的。 ACM 生成的用于验证的 CNAME 必须手动添加。只有当您使用 R53 管理您的域时,它才能自动添加。另请记住,SSL 必须在
us-east-1区域颁发。您可以在一个证书上有不同的域。因此,如果您为这两个域注册 SSL,将生成两个 CNAME 记录以供验证,您必须将这些记录添加到它们各自的域中以进行验证。
以下是您的两个示例域的示例:
因为我不控制它们中的任何一个,所以在 72 小时后,验证到期。