前言:
最近AWS的SSL证书增加了导出型证书的使用,非常利好一些需要能够导出证书给外部ec2或者nginx使用的场景。
1.跟集成型证书的收费方式区别
集成型证书(禁用导出):
- 仅能用于 AWS 服务(如 ELB、CloudFront、API Gateway),不能下载私钥。
- 免费:申请和续期不收费。
导出型证书(启用导出):
- 可以下载证书和私钥,用于 任意 TLS/HTTPS 工作流(包括非 AWS 环境)。
- 收费:
- 按证书申请时的 域名验证请求数量计费(一般是每个域名验证一次)。
- 按证书有效期和续期计费(通常是 13 美元/年起,具体看 AWS 价格表)。
- 不像集成证书那样永久免费。
2.使用场景
- 如果你证书只给 AWS 内部服务 用 → 选 禁用导出(免费)
- 如果你需要在 自建服务器、CDN 或第三方环境 部署这个证书 → 必须 启用导出(付费)
3.导出的证书具体如何使用呢
导出的证书文件主要分为3个部分
- 证书正文(第一部分)
- 证书链(第二部分)
通常需要把这两部分合并成一个文件,例如:
cat certificate.pem chain.pem > fullchain.pem
然后在 Nginx 中使用:
ssl_certificate /path/to/fullchain.pem;
- 证书私钥(第三部分)
注意:你的私钥是加密格式(BEGIN ENCRYPTED PRIVATE KEY),使用前需要解密:
openssl rsa -in encrypted.key -out decrypted.key
然后在 Nginx 中配置:
ssl_certificate_key /path/to/decrypted.key;
里面的文件自己定义就可以了
特别注意
ACM 导出证书 90 天限制,这个还没有进行验证,如果真的有90天就要重新导出的限制,那么在实际使用中并没有太大的意义。
评论区