AWS 中国区 CloudFront SSL 证书到期更换实战指南
适用场景: AWS 中国区(宁夏区域 cn-northwest-1 或北京区域 cn-north-1)CloudFront 分配的 SSL 证书到期后无缝替换,域名主体为 domain.cn。
背景与痛点
当 CloudFront 使用的 SSL 证书即将到期时,需手动替换新证书以避免服务中断。由于 AWS 中国区 不支持 ACM 证书,必须通过 IAM 服务管理证书,且需确保:
- 新旧证书平滑过渡(零停机)
- 批量更新所有关联的 CloudFront 分配
- 证书链完整性和域名匹配性验证
本教程提供从 证书上传 → 配置更新 → 旧证书清理 的完整操作流程,并附自动化脚本。
准备工作
1. 证书要求
- 新证书文件:
- 公钥证书:
domain.cn.crt(PEM 格式) <
- 公钥证书: