以前就覺得 AWS 上要管理 SSL 憑證沒有一個好的介面
這幾天要上傳一個更新的憑證，就覺得 …. sucks
太多產品又沒好好整合

最一開始的是 IAM 管理憑證
我記得最初接觸到的點是 EC2 Load Balancer 上傳憑證
上傳後就找不到介面管理了
對，他就是一直都沒開發網頁介面給你，只能用 aws cli 去處理

shtzeng@jump [~] [03:43:16] $ aws iam list-server-certificates
{
"ServerCertificateMetadataList": [
{
"ServerCertificateId": "XXX",
"ServerCertificateName": "CCC",
"Expiration": "2020-02-27T23:59:59Z",
"Path": "/",
"Arn": "arn:aws:iam::QQQ:server-certificate/CCC",
"UploadDate": "2019-01-29T07:17:38Z"
},
{
"ServerCertificateId": "XXX",
"ServerCertificateName": "CCC",
"Expiration": "2021-10-24T23:59:59Z",
"Path": "/",
"Arn": "arn:aws:iam::QQQ:server-certificate/CCC",
"UploadDate": "2019-09-26T04:33:28Z"
},
{
"ServerCertificateId": "XXX",
"ServerCertificateName": "CCC",
"Expiration": "2022-02-26T23:59:59Z",
"Path": "/",
"Arn": "arn:aws:iam::QQQ:server-certificate/CCC",
"UploadDate": "2020-01-30T10:22:15Z"
}
]
}
shtzeng@jump [~] [03:43:19] $

而相關的指令有

shtzeng@jump [~] [03:45:24] $ aws iam help | grep server-certificate
o delete-server-certificate
o get-server-certificate
o list-server-certificates
o update-server-certificate
o upload-server-certificate
shtzeng@jump [~] [03:45:26] $

大概查一下 help 就能了解怎麼整理了，這大概就是第一代憑證管理

再來就是 ACM 了
這就有介面可以用了
但是…但是….
像是 Load Balancer 裡面要用的，那個區 ACM 就要放對應的憑證
婀對，像是我在 ap-northeast-1 要用到，ACM 的 ap-northeast-1 就要放一組
如果 us-west-2 也要用，那 us-west-2 那邊也得放
然後
api-gateway 如果自訂網址去用憑證，他只會抓 us-east-1 的資料來用 (不支援 IAM 就是了)
上面這個是走 cloudfront 體系的，我猜 cloudfront 應該也是只支援 us-east-1 的憑證了 zzz

就是很麻煩啦 \_/
不過 ACM 可以請 AWS 幫你產生憑證，還會自己 renew，這是很不錯的服務就是了 =w=

感謝看我的廢話 xd