做过AWS中国区运维的人都知道,给CloudFront配置HTTPS是个让人头疼的“体力活”。和全球区可以直接用ACM一键申请、自动续期不同,中国区因为合规要求不支持ACM,这意味着你必须走一条繁琐的“手工路线”:找第三方申请证书、手动拆分、上传到IAM,再手动去CloudFront控制台替换。一旦手里管的域名多了,证书续期简直就是一场随时可能出错的噩梦。
好在,亚马逊云科技官方给出了一个破局方案——China CloudFront SSL Plugin。这个方案最大的亮点就是“自动化”和“几乎免费”。它通过CloudFormation一键部署,底层用无服务器架构(Lambda)配合开源的Certbot工具,直接对接Let's Encrypt来自动签发免费证书。
到了V2版本,这个插件更是解决了很多痛点。以前一个堆栈只能管一个项目,现在一个堆栈就能统一管理多个项目的域名集合,而且提供了一个直观的图形化前端页面,点几下鼠标就能完成证书颁发和管理,彻底告别了以前那种需要手动敲API命令的硬核操作。
整个流程非常丝滑:你只需要把域名解析托管在Route 53上,插件就会自动完成DNS验证、签发证书,并把证书存到S3和IAM里。最爽的是,它默认每30天就会自动触发一次更新,新证书生成后会自动替换CloudFront里关联的旧证书,真正实现了“零停机”无感续期。
至于大家关心的费用,它基本可以忽略不计。因为是无服务器架构,只有调用时才产生极少的Lambda运行费和少量的S3、DynamoDB存储费。唯一需要注意的是,如果你的域名还没托管在Route 53,迁移过去会产生每月3块多的托管费。
总而言之,如果你还在为AWS中国区的CloudFront证书手动续期而焦头烂额,强烈建议试试这个官方开源插件。只需三分钟部署,就能把原本复杂的运维工作变成后台自动运行的后台任务,彻底解放双手。
评论已关闭