从AWS申请免费的SSL证书并对DKIM排错,aws入门证书-ESG跨境

从AWS申请免费的SSL证书并对DKIM排错,aws入门证书

从AWS申请免费SSL证书并排除DKIM故障

今天给大家介绍一下使用AWS的免费工具申请SSL证书。以下部分将讨论如何使用AWS证书管理器(ACM)控制台来请求公共ACM证书。

请求公共证书

登录AWS管理控制台并打开位于以下URL的ACM控制台:https://console.aws.amazon.com/acm/home.

从下图可以看出，有预置证书和私有证书两种类型。个人用户可以选择预置证书，私人发行机构是运营型，个人用户基本不需要这种类型。

在下面的“申请证书”页面上，键入您的域名。您可以使用完全限定的域名(FQDN)，如Example Domain，或者顶级域名，如Example Domain。您也可以在最左边的位置使用星号(*)作为通配符来保护同一个域中的多个站点名称。

您必须确认您拥有或可以控制请求中指定的所有域名，然后亚马逊证书颁发机构(CA)才能为该网站颁发证书。请求证书时，您可以选择电子邮件验证或DNS验证。

从DNS验证

下面我们主要讨论DNS认证的使用。

选择DNS身份验证。

选择审计

在验证页面上，展开域名信息或选择下载的验证文件。如果您展开域信息，ACM将显示您必须添加到DNS数据库中的CNAME记录的名称和值，以验证您是否控制该域。

记录包含两部分:名称和标签。ACM生成的CNAME的名称部分由一个下划线字符()后跟一个令牌(绑定到您的AWS帐户和域名的唯一字符串)构成。ACM会在您的域名前添加一个下划线和标记来构建名称部分。ACM用一个下划线字符后跟一个不同的标记来构建标记，这个标记也与您的AWS帐户和附加域相关联。在ACM下划线和令牌后添加AWS用于身份验证的DNS域名:AWS Certificate ManagerAmazon Web Services(AWS)。以下示例显示了示例域subdomain.example.com和* .example.com的CNAME格式

添加包含域名的CNAME记录可能会导致域名重复。为了避免重复，可以只手动复制所需的CNAME部件。格式为 3639 AC 514 e 785 e 898d 2646601 fa 951d 5(下面我们会详细讲解)。

更新DNS配置后，选择继续。ACM将显示一个包含所有证书的表格视图。它显示您请求的证书及其状态。在DNS提供商传播您的记录更新后，ACM最多需要几个小时来验证域名并颁发证书。在此期间，ACM将验证状态显示为等待验证。验证域名后，ACM将验证状态更改为成功。AWS颁发证书后，ACM将证书的状态更改为已颁发。

最后可以成功申请到自己的免费证书。

由于验证时间一般需要124小时，所以下面就不显示了。

如何正确设置DKIM

DKIM是什么DKIM代表域名密钥识别电子邮件。它提供了一种方法来验证发快递电子邮件的组织是否有权这样做。

DKIM需要在DNS区域添加公钥。密钥通常通过你的电子邮件发快递，例如，组织为你提供SendGrid，邮戳。密钥将作为TXT记录直接插入到您的区域中，或者它将是指向提供商DNS中的密钥的CNAME。

在做这篇博客的时候，我发现了一个问题，就是在给DNS添加CNAME的时候，有些DNS提供商不能以下划线开头，说明主机名类型不匹配。

SES创建的记录是CNAME记录而不是TXT记录，因此SES可以托管签名密钥。通过托管签名密钥，SES可以自动轮换签名凭据，并降低任何密钥泄漏的风险。

一些DNS提供商不支持添加带下划线的CNAME记录，尽管RFC明确允许这样做。但是，DKIM规范要求记录名中有下划线，因此不能删除下划线。下划线是记录名称中唯一不受SES或其客户控制的部分。

虽然互联网标准中dnsNames中不允许使用下划线字符，但在TLS/SSL证书的SAN字段中使用时，它总是被视为灰色地带。如果此类事件发生在我们的DNS提供商，可以使用以下方法解决:

第一种解决方案可以更改DNS提供商。Amazon Web Services提供了一个名为Amazon Route 53的可扩展域名服务，它遵循RFC规定的标准，并允许SES生成CNAME记录。使用SES与53号公路整合。如果您使用与Route 53上的SES相同的AWS帐户设置域名，您可以通过一键操作过程设置域验证和DKIM。

第二种方法是使用子域(比如我们例子中的sales.sesexample.com)发快递电子邮件，并将其委托给DNS提供商，比如Amazon Route 53，它正确地允许CNAME记录中的下划线。然后，您可以使用在主域上执行的相同步骤在子域上执行域验证和DKIM验证过程。该电子邮件将由DKIM签名，但发件人的地址将包含一个子域(在我们的示例中，发件人的地址将是anylocalpart @ sales . sesexample . com)。

第三种选择是自己签名。这将使您能够完全控制密钥和签名过程，但是需要更多的工作来实现和维护。

最后，您可以要求DNS提供商正确支持在RFC允许的CNAME记录中添加下划线。

对于我们的域名，我们假设我们的DNS提供商已经启用了对CNAME记录中下划线的支持，现在我们可以安全地添加DKIM文档中指定的所需DNS条目。通过这一步，我们现在等待SES向我们发快递确认电子邮件，并在SES控制台中将域的DKIM验证状态从待定更改为已验证，这将确认CNAME记录的存在。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。