從AWS申請(qǐng)免費(fèi)的SSL證書(shū)并對(duì)DKIM排錯(cuò),aws入門(mén)證書(shū)-ESG跨境

從AWS申請(qǐng)免費(fèi)的SSL證書(shū)并對(duì)DKIM排錯(cuò),aws入門(mén)證書(shū)

從AWS申請(qǐng)免費(fèi)SSL證書(shū)并排除DKIM故障

今天給大家介紹一下使用AWS的免費(fèi)工具申請(qǐng)SSL證書(shū)。以下部分將討論如何使用AWS證書(shū)管理器(ACM)控制臺(tái)來(lái)請(qǐng)求公共ACM證書(shū)。

請(qǐng)求公共證書(shū)

登錄AWS管理控制臺(tái)并打開(kāi)位于以下URL的ACM控制臺(tái):https://console.aws.amazon.com/acm/home.

從下圖可以看出，有預(yù)置證書(shū)和私有證書(shū)兩種類型。個(gè)人用戶可以選擇預(yù)置證書(shū)，私人發(fā)行機(jī)構(gòu)是運(yùn)營(yíng)型，個(gè)人用戶基本不需要這種類型。

在下面的“申請(qǐng)證書(shū)”頁(yè)面上，鍵入您的域名。您可以使用完全限定的域名(FQDN)，如Example Domain，或者頂級(jí)域名，如Example Domain。您也可以在最左邊的位置使用星號(hào)(*)作為通配符來(lái)保護(hù)同一個(gè)域中的多個(gè)站點(diǎn)名稱。

您必須確認(rèn)您擁有或可以控制請(qǐng)求中指定的所有域名，然后亞馬遜證書(shū)頒發(fā)機(jī)構(gòu)(CA)才能為該網(wǎng)站頒發(fā)證書(shū)。請(qǐng)求證書(shū)時(shí)，您可以選擇電子郵件驗(yàn)證或DNS驗(yàn)證。

從DNS驗(yàn)證

下面我們主要討論DNS認(rèn)證的使用。

選擇DNS身份驗(yàn)證。

選擇審計(jì)

在驗(yàn)證頁(yè)面上，展開(kāi)域名信息或選擇下載的驗(yàn)證文件。如果您展開(kāi)域信息，ACM將顯示您必須添加到DNS數(shù)據(jù)庫(kù)中的CNAME記錄的名稱和值，以驗(yàn)證您是否控制該域。

記錄包含兩部分:名稱和標(biāo)簽。ACM生成的CNAME的名稱部分由一個(gè)下劃線字符()后跟一個(gè)令牌(綁定到您的AWS帳戶和域名的唯一字符串)構(gòu)成。ACM會(huì)在您的域名前添加一個(gè)下劃線和標(biāo)記來(lái)構(gòu)建名稱部分。ACM用一個(gè)下劃線字符后跟一個(gè)不同的標(biāo)記來(lái)構(gòu)建標(biāo)記，這個(gè)標(biāo)記也與您的AWS帳戶和附加域相關(guān)聯(lián)。在ACM下劃線和令牌后添加AWS用于身份驗(yàn)證的DNS域名:AWS Certificate ManagerAmazon Web Services(AWS)。以下示例顯示了示例域subdomain.example.com和* .example.com的CNAME格式

添加包含域名的CNAME記錄可能會(huì)導(dǎo)致域名重復(fù)。為了避免重復(fù)，可以只手動(dòng)復(fù)制所需的CNAME部件。格式為 3639 AC 514 e 785 e 898d 2646601 fa 951d 5(下面我們會(huì)詳細(xì)講解)。

更新DNS配置后，選擇繼續(xù)。ACM將顯示一個(gè)包含所有證書(shū)的表格視圖。它顯示您請(qǐng)求的證書(shū)及其狀態(tài)。在DNS提供商傳播您的記錄更新后，ACM最多需要幾個(gè)小時(shí)來(lái)驗(yàn)證域名并頒發(fā)證書(shū)。在此期間，ACM將驗(yàn)證狀態(tài)顯示為等待驗(yàn)證。驗(yàn)證域名后，ACM將驗(yàn)證狀態(tài)更改為成功。AWS頒發(fā)證書(shū)后，ACM將證書(shū)的狀態(tài)更改為已頒發(fā)。

最后可以成功申請(qǐng)到自己的免費(fèi)證書(shū)。

由于驗(yàn)證時(shí)間一般需要124小時(shí)，所以下面就不顯示了。

如何正確設(shè)置DKIM

DKIM是什么DKIM代表域名密鑰識(shí)別電子郵件。它提供了一種方法來(lái)驗(yàn)證發(fā)快遞電子郵件的組織是否有權(quán)這樣做。

DKIM需要在DNS區(qū)域添加公鑰。密鑰通常通過(guò)你的電子郵件發(fā)快遞，例如，組織為你提供SendGrid，郵戳。密鑰將作為T(mén)XT記錄直接插入到您的區(qū)域中，或者它將是指向提供商DNS中的密鑰的CNAME。

在做這篇博客的時(shí)候，我發(fā)現(xiàn)了一個(gè)問(wèn)題，就是在給DNS添加CNAME的時(shí)候，有些DNS提供商不能以下劃線開(kāi)頭，說(shuō)明主機(jī)名類型不匹配。

SES創(chuàng)建的記錄是CNAME記錄而不是TXT記錄，因此SES可以托管簽名密鑰。通過(guò)托管簽名密鑰，SES可以自動(dòng)輪換簽名憑據(jù)，并降低任何密鑰泄漏的風(fēng)險(xiǎn)。

一些DNS提供商不支持添加帶下劃線的CNAME記錄，盡管RFC明確允許這樣做。但是，DKIM規(guī)范要求記錄名中有下劃線，因此不能刪除下劃線。下劃線是記錄名稱中唯一不受SES或其客戶控制的部分。

雖然互聯(lián)網(wǎng)標(biāo)準(zhǔn)中dnsNames中不允許使用下劃線字符，但在TLS/SSL證書(shū)的SAN字段中使用時(shí)，它總是被視為灰色地帶。如果此類事件發(fā)生在我們的DNS提供商，可以使用以下方法解決:

第一種解決方案可以更改DNS提供商。Amazon Web Services提供了一個(gè)名為Amazon Route 53的可擴(kuò)展域名服務(wù)，它遵循RFC規(guī)定的標(biāo)準(zhǔn)，并允許SES生成CNAME記錄。使用SES與53號(hào)公路整合。如果您使用與Route 53上的SES相同的AWS帳戶設(shè)置域名，您可以通過(guò)一鍵操作過(guò)程設(shè)置域驗(yàn)證和DKIM。

第二種方法是使用子域(比如我們例子中的sales.sesexample.com)發(fā)快遞電子郵件，并將其委托給DNS提供商，比如Amazon Route 53，它正確地允許CNAME記錄中的下劃線。然后，您可以使用在主域上執(zhí)行的相同步驟在子域上執(zhí)行域驗(yàn)證和DKIM驗(yàn)證過(guò)程。該電子郵件將由DKIM簽名，但發(fā)件人的地址將包含一個(gè)子域(在我們的示例中，發(fā)件人的地址將是anylocalpart @ sales . sesexample . com)。

第三種選擇是自己簽名。這將使您能夠完全控制密鑰和簽名過(guò)程，但是需要更多的工作來(lái)實(shí)現(xiàn)和維護(hù)。

最后，您可以要求DNS提供商正確支持在RFC允許的CNAME記錄中添加下劃線。

對(duì)于我們的域名，我們假設(shè)我們的DNS提供商已經(jīng)啟用了對(duì)CNAME記錄中下劃線的支持，現(xiàn)在我們可以安全地添加DKIM文檔中指定的所需DNS條目。通過(guò)這一步，我們現(xiàn)在等待SES向我們發(fā)快遞確認(rèn)電子郵件，并在SES控制臺(tái)中將域的DKIM驗(yàn)證狀態(tài)從待定更改為已驗(yàn)證，這將確認(rèn)CNAME記錄的存在。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。