AWS 推出可导出的公共 SSL/TLS 证书

AWS 证书管理器新增公共SSL/TLS证书导出功能，回应了社区持续多年的一项诉求。用户可通过此功能将证书及其私钥导出并用于 AWS 托管服务之外的环境。

可导出的公共证书让用户能在亚马逊 EC2 实例、容器和本地部署的主机上部署 ACM 颁发的证书，支持 AWS、混合云和多云的工作负载。AWS 首席博主Channy Yun解释道：

可导出的公告证书有效期为 395 天，证书的签发和续期都要收费。从 ACM 导出的公告证书由亚马逊 Trust Service 颁发，受苹果、微软等常用平台，以及谷歌 Chrome、Mozilla 火狐等主流浏览器的广泛信任。

此前，用户只能通过在 AWS 证书管理器中创建公共证书，或导入第三方证书颁发机构（CA）颁发的证书用于 ELB（弹性负载均衡）、CloudFront 和 API Gateway 等 AWS 服务，但却无法将这些证书导出或为外部服务及 EC2 实例创建和管理证书。

Duckbill Group 首席云经济学家 Corey Quinn 发表了一篇题为《AWS证书管理器推出可导出TLS证书，我基本认可》的长文评价该新功能。Quinn 写道：

定价相当合理。单域名证书每张 15 美元，通配符证书 149 美元。开始我还觉得有点小贵，但想起这类证书过去（以及现在）的价格，可信供应商每张证书收费 400 美元并不算少见（……）相比之下 ACM 的定价堪称实惠。

虽然许多云从业者质疑这项新服务相比 Let's Encrypt 等免费方案的优势，但 AWS 解决方案架构师 Wojtek Szczepucha强调了该功能的主要目标：

从治理角度满足法规合规要求，从运维角度简化管理流程。这不是凭空创造的需求，而是基于客户实际诉求开发的。

尽管证书导出功能广受社区好评，且目前新证书的有效期超过一年，但据InfoQ此前报道，SSL/TLS 证书有效期预计将逐年缩短：明年降至 200 天，2027 年缩减至 100 天，到 2029 年仅有 47 天。客户在 AWS 证书管理器续期证书时，需按新证书签发标准付费。Yun 补充说明：

你可以通过 Amazon EventBridge 为可导出公共证书配置自动续期事件，监控证书续期状态并创建自动化流程处理证书部署（……）也可随时进行手动续期

Quinn 特别提醒：

至少在当前首发版本中，该功能不支持 ACME 协议的自动续期，这意味着续期过程可能仍需人工介入。虽然可通过 AWS API 实现全自动证书签发流程，但根据我多年企业级软件经验判断，实际落地时往往仍会变成人工操作流程。

客户必须在证书签发前明确选择“允许导出”的选项，已投入使用的证书无法再补设导出功能。这一设计确保不会默认导出带有私钥的证书。

可导出公共证书的签发能力是近期re:Inforce大会的核心发布之一。在费城举办的为期三天的活动中，这家云服务商还推出了其他新的安全功能和服务，其中包括：AWS Backup 中逻辑隔离保管库的多方审批机制，以及用于大规模风险优先级排序和响应的全新AWS Security Hub。