AWS ACM 支援 ACME:TLS 憑證就嚟短到唔應該再人手續
Tech News

AWS ACM 支援 ACME:TLS 憑證就嚟短到唔應該再人手續

圖片:via iThome — https://www.ithome.com.tw/news/177134
TechLab 編輯部(譯)·

Let’s Encrypt 工作流可以接入 ACM,但權限、audit 同收費要先計清楚

點解而家先值得留意

iThome 報道指,AWS 6 月 30 日放出 AWS Certificate Manager(ACM)嘅 ACME 支援。簡單講,以前你用 Certbot、cert-manager、acme.sh 呢類 ACME 客戶端,大多數會打去 Let’s Encrypt 或其他 CA;而家可以改為指去 AWS 管住嘅 ACME endpoint,由 Amazon Trust Services 簽發公開 TLS 憑證。App 本身未必要改,改嘅係簽發同續證條管道。

值得睇嘅位,係公開 TLS 憑證有效期愈縮愈短。CA/Browser Forum baseline requirements 已經寫實:2026 年 3 月 15 日起上限 200 日,2027 年 3 月 15 日起 100 日,到 2029 年 3 月 15 日起 47 日;同一日域名驗證資料重用期得 10 日。以前一年一次人手續證都已經會出事,到 47 日年代,靠 spreadsheet 同 calendar reminder 會好快變成 outage 製造機。

AWS ACM 入面嘅 ACME certificates console,顯示 endpoint 同憑證列表

圖片:AWS

AWS 賣嘅係管控同 audit

AWS 今次嘅賣點其實係治理。ACM 文件嘅講法係兩層:control plane 由 PKI admin 建 ACME endpoint、預先驗好域名、出 External Account Binding(EAB);data plane 就由 app team 用 ACME 客戶端登記同申請 cert。呢個分工幾實際,因為 DNS 權限留喺 admin 手上,app team 唔使攞 Route 53 或其他 DNS API key 周圍放。AWS docs 亦寫明,ACME 客戶端自己產生 private key,key 唔會離開客戶端系統。

EAB 亦唔只係一組 token。AWS 文件講,每個 EAB 都會綁 IAM role,ACM 用個 role 去批核 ACME 客戶端可唔可以簽發或撤銷 cert;endpoint 可以限制 exact domain、subdomain、wildcard 呢啲 scope。AWS blog 仲提到 CloudTrail 會記錄憑證 request,CloudWatch 可跟 operational metrics,ACM 亦會喺憑證接近續期時出通知。對多 team、多客戶域名嘅公司,呢啲實際價值高過「自動續證」四隻字好多。

AWS ACM 建 ACME endpoint 時嘅 DNS 驗證設定畫面

圖片:AWS

同 Let’s Encrypt 工作流點分

Let’s Encrypt 仍然係好多開發者嘅預設答案:免費、成熟、客戶端多;Let’s Encrypt 文件本身都係講,你要揀一隻 ACME client 去同佢嘅 API 拎 cert。Certbot、cert-manager、acme.sh 呢啲工具多年嚟已經幫人做域名控制權 proof、續期同安裝。換句話講,ACME 生態本身已經好成熟,AWS 今次吸引人嘅位,係你可以保留原本工具,但 CA、可見性同 AWS 權限模型可以收返一個地方。

如果你只係一兩個 Nginx site,Certbot renew 跑得好地地,DNS plugin 又冇壞,轉去 ACM ACME 未必有著數。反過來講,如果你有幾十個 service、幾隊 app team、好多客戶子域名,仲要交 audit trail,ACM 呢種集中管法就有意思。尤其係唔想 DNS API key 周圍派到每個 workload,EAB + IAM role 呢個設計會好啱 security team 口味。

AWS blog 示範用 Certbot 經 ACM ACME endpoint 申請憑證嘅命令畫面

圖片:AWS

唔好當免費 Let’s Encrypt 替代品

成本要講清楚。AWS pricing page 寫明,普通 ACM public cert 用喺 ELB、CloudFront、API Gateway 呢類 ACM 整合服務冇額外收費;ACME-enrolled cert 就按域名喺簽發同每次自動續期時計錢,憑證最長 45 日。FQDN 以每月域名出現次數分層,首 1,000 個每個 US$1;wildcard 首 500 個每個 US$5;首 30,000 次 ACME API call 冇額外收費,之後每多 10,000 次 US$0.50。

所以呢個選擇唔可以淨係睇功能。幾個內部 service 用落可能只係細數;agency、multi-tenant SaaS 或有大量 staging/preview domain 嘅團隊,續期密度、wildcard 用量同 SAN 數量都會直接變帳單。AWS 話會隨住行業短期憑證時間表調整 pricing structure,目標係令全年成本同而家接近;但未見實際調整前,財務模型要自己計。

香港 AWS team 要睇咩

AWS blog 寫明 ACME support 已喺所有 commercial AWS Regions 開放;AWS General Reference 亦列出 ACM 喺 Asia Pacific (Hong Kong) ap-east-1 有 endpoint。換句話講,用香港區域嘅 team 可以先喺自己 account console 確認到功能先試。不過香港角度好實際,呢次冇本地獨家功能可講;SaaS、網店、agency、公司 IT 只要有公開 TLS 憑證,就同全球一樣要面對短期憑證同自動續證。

我會咁揀:成本敏感、站點少、現有 Let’s Encrypt workflow 穩,就繼續用;已經重度用 AWS、要 IAM 分權、CloudTrail 留痕、CloudWatch 監察、又想收走散落各處嘅 DNS key,就開一個低風險域名做 PoC。試嘅時候唔好淨係測首次簽發,仲要測 renew、revoke、EAB rotation、alert 同帳單,因為短期憑證最易出事,通常唔係第一次簽發,而係之後續期有冇穩定跑到。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook