使用 SSL/TLS 憑證

SSL/TLS certificate is a digital document that allows web browsers to identify and establish encrypted network connections to web sites using the secure SSL/TLS 通訊協定。設定自訂網域時，您可以使用 Amplify 為您佈建的預設受管憑證，也可以使用自己的自訂憑證。

使用受管憑證，Amplify 會為連線至應用程式的所有網域發出 SSL/TLS 憑證，以便透過 HTTPS/2 保護所有流量。 AWS Certificate Manager （ACM） 產生的預設憑證有效期為 13 個月，只要您的應用程式使用 Amplify 託管，則會自動續約。

警告

如果在網域提供者DNS的設定中修改或刪除CNAME驗證記錄，Amplify 無法續約憑證。您必須在 Amplify 主控台中刪除並再次新增網域。

若要使用自訂憑證，您必須先從您選擇的第三方憑證授權機構取得憑證。Amplify Hosting 支援兩種類型的憑證：RSA（Rivest-Shamir-Adleman） 和 ECDSA（Elliptic Curve 數位簽章演算法）。每個憑證類型必須符合下列要求。

RSA 憑證

• Amplify Hosting 支援 1024 位元、2048 位元、3072 位元和 4096 位元RSA金鑰。

• AWS Certificate Manager （ACM） 發行最多 2048 位元金鑰的RSA憑證。

• 若要使用 3072 位元或 4096 位元RSA憑證，請從外部取得憑證並將其匯入 ACM。然後，它將可與 Amplify Hosting 搭配使用。

ECDSA 憑證

• Amplify Hosting 支援 256 位元金鑰。

• 使用 prime256v1 橢圓曲線取得 Amplify Hosting 的ECDSA憑證。

取得憑證後，將其匯入 AWS Certificate Manager。ACM 是一項服務，可讓您輕鬆佈建、管理和部署公有和私有SSL/TLS憑證，以搭配 AWS 服務 和內部連線資源使用。請務必在美國東部 （維吉尼亞北部） （us-east-1） 區域中請求或匯入憑證。

確保您的自訂憑證涵蓋您計劃新增的所有子網域。您可以在網域名稱開頭使用萬用字元來涵蓋多個子網域。例如，如果您的網域是 example.com，您可以包含萬用字元網域 *.example.com。這將涵蓋子網域，例如 product.example.com和 api.example.com。

自訂憑證在 中可用後ACM，您可以在網域設定程序中選取它。如需將憑證匯入 的指示 AWS Certificate Manager，請參閱 使用者指南 中的將憑證匯入 AWS Certificate Manager 。 AWS Certificate Manager

如果您在 中續約或重新匯入自訂憑證ACM，Amplify 會重新整理與自訂網域相關聯的憑證資料。如果是匯入的憑證， ACM 不會自動管理續約。您有責任續約自訂憑證，並重新匯入它們。

您可以隨時變更網域正在使用的憑證。例如，您可以從預設受管憑證切換至自訂憑證，或從自訂憑證變更為受管憑證。此外，您可以將正在使用的自訂憑證變更為不同的自訂憑證。如需更新憑證的指示，請參閱更新網域 的 SSL/TLS 憑證。