使用 SSL/TLS 证书

SSL/TLS 证书是一种数字文档，它允许 Web 浏览器使用安全 SSL/TLS 协议识别和建立与网站的加密网络连接。设置自定义域名时，可以使用 Amplify 为您提供的默认托管证书，也可以使用自己的自定义证书。

使用托管证书，Amplify 会为连接到您的应用程序的所有域名颁发 SSL/TLS 证书，以便通过 HTTPS/2 保护所有流量。由 AWS Certificate Manager (ACM) 生成的默认证书有效期为 13 个月，只要您的应用程序由 Amplify 托管，就会自动续订。如果您的域名提供商在 DNS 设置中修改或删除了别名记录验证记录，Amplify 将无法续订证书。您必须在 Amplify 控制台中删除并重新添加该域。

要使用自定义证书，必须从您选择的第三方证书颁发机构获取证书。接下来，将证书导入 AWS Certificate Manager。ACM 是一项服务，可让您轻松预置、管理和部署公有和私有 SSL/TLS 证书，以便 AWS 服务 与内部连接的资源一起使用。请务必在美国东部（弗吉尼亚北部）(us-east-1) 地区申请或导入证书。

确保您的自定义证书涵盖您计划添加的所有子域名。您可以在域名开头使用通配符来覆盖多个子域名。例如，如果您的域名是example.com，则可以包含通配符域*.example.com。这将涵盖诸如product.example.com和api.example.com之类的子域名。

在 ACM 中提供您的自定义证书后，您就可以在域名设置过程中选择它。有关将证书导入的说明 AWS Certificate Manager，请参阅《AWS Certificate Manager 用户指南》 AWS Certificate Manager中的将证书导入到。

如果您在 ACM 中续订或重新导入自定义证书，Amplify 会刷新与您的自定义域关联的证书数据。对于导入的证书，ACM 不会自动管理续订。您有责任续订您的自定义证书并重新导入它们。

您可以随时更改域名正在使用的证书。例如，您可以从默认托管证书切换到自定义证书，或者从自定义证书更改为托管证书。此外，您可以将正在使用的自定义证书更改为其他自定义证书。有关更新证书的说明，请参阅更新域的 SSL/TLS 证书。