amazon-web-services - AWS ACM - DNS 中的 SSL 证书验证如何工作

Question

假设我已在 ACM 中创建了公共(public) SSL 证书并选择 DNS 验证。
之后，我将在我的 Cloudfront 分发中使用此 SSL 证书。

我仅了解 DNS 服务器如何工作的基础知识。

来自 AWS。

The Domain Name System (DNS) is a directory service for resources connected to a network. On the internet, DNS servers are used primarily to translate from domain names to the numerical IP addresses that identify and locate resources such as computers and other devices. The databases on DNS servers contain domain records that are used for this translation and to enable other functionality. For example, A records are a type of DNS record used to map domain names to IPV4 addresses. MX records are used to route email. NS records list all of the name servers for the domain.

ACM uses CNAME (Canonical Name) records to validate that you own or control a domain. When you choose DNS validation, ACM provides you one or more CNAME records to insert into your DNS database. For example, if you request a certificate for the example.com domain with www.example.com as an additional name, ACM creates two CNAME records for you.

发送证书请求后，我需要在我的 DNS 记录中添加此证书的 DNS 配置，以便验证证书。

我不确定这一步的作用。

1. 此步骤的目的是什么？
   
2. 如果我将此 DNS 配置添加到其他人的 DNS 记录(而不是我的)中，会发生什么情况？

更新

1.)
抱歉，我知道这似乎是一个愚蠢的问题。
根据评论，下面的情况永远不会发生？

我的 DNS 记录

www.MyDomain.com.   A   123.120.110.1

Tom DNS 记录

www.TomDomain.com.  A   123.120.110.1

2.)
假设我帮助客户改造网站ABC(域名: https://example.com )
客户希望使用网站ABC相同的域名。

完成网站后，我为 example.com 创建了 SSL 证书，并为构建文件创建了 Cloudfront 发行版。

我应该执行的步骤:
a) 向客户端提供从 ACM 中的 SSL 证书获取的 DNS 配置文件，并让他们添加到其 DNS 记录中。
b) 在我的 cloudfront 发行版中添加 SSL 证书。
c) 客户端添加 https://example.com 的 CNAME 记录指向cloudfront分发域名(d8abcbdbwbd.cloudfront.net等)

正确吗？

3.)
myDomain.com 域有一个 SSL 证书。

我的 DNS 记录

www.MyDomain.com.   A   123.120.110.1

Tom DNS 记录

www.TomDomain.com.  A   123.120.110.2

如果 Tom 在他的 DNS 记录中添加我的 SSL 证书，他这边会发生错误吗？

Answer 1

1. What is the purpose of this step?

您的引言解释了为什么您必须这样做:验证您拥有或控制域。

2. What will happen if I add this DNS configuration in other people's DNS record instead of mine?

由于域验证失败，因此不会颁发 SSL。仅当您拥有(或控制)域时，您才能验证 SSL，在这种情况下，您可以显式添加 ACM 将提供给您用于验证的 CNAME 记录。

更新:

1. 如果您同时控制 www.MyDomain.com 和 www.TomDomain.com，那么您可以将它们指向同一 IP。因此，这样的设置是可能的。

2. 是的。必须手动添加 ACM 生成的用于验证的 CNAME。只有当您使用R53管理您的域时，它才可以自动添加。另请记住，SSL 必须在 us-east-1 区域颁发。

3. 您可以在单个证书上拥有不同的域。因此，如果您为这两个域都注册了 SSL，则会生成两条 CNAME 记录以供验证，并且您必须将这些记录添加到各自的域中以进行验证。

以下是包含两个示例域的示例:

由于我无法控制其中任何一个，因此 72 小时后，验证就会过期。