Amazon ostatnio zasypuje nas nowościami w swoich usługach. Jedną z nich, która może przemknąć niepostrzeżenie wśród tłumu, a która może bardzo ułatwić życie jest dodanie opcji walidacji certyfikatów w Certificate Manager przy użyciu rekordów DNS.

Jak to było dotychczas?

Dotychczas, aby zweryfikować własność domeny Certyficate Manager wysyłał maila na predefiniowane skrzynki (admin@ etc) i wymagał kliknięcia na linki zawarte w tych mailach. W prostych przypadkach pojedynczych domen nie było to problemem, natomiast jeśli potrzebujemy wiele domen lub subdomen, a nie chcemy iść w wildcardy to prowadziło to czasami do problemów.

Jak działa nowy mechanizm?

Krótko mówiąc: zamiast potwierdzać mailem AWS Certificate Manager prosi o utworzenie rekordu CNAME o zadanej nazwie i wartości.

Jeśli interesuje nas przeklikanie się przez konsolę to polecam ten artykuł, nie widzę sensu duplikować i wolę się skupić na kilku detalach technicznych:

• Jeśli domena dla której chcemy utworzyć certyfikat jest hostowana w Route53 to AWS zaproponuje nam szybkie utworzenie wymaganych rekordów.
• Usługa oczywiście działa także w przypadku zewnętrznych serwerów DNS, w tym przypadku sami ręcznie ustawiamy wymagane rekordy CNAME.
• Dla każdej domeny, dla której chcemy utworzyć certyfikat trzeba utworzyć rekord CNAME.
• Powyższe dotyczy to także subdomen domeny głównej.
• Przy użyciu werfyikacji DNS można walidować certyfikaty wildcard.
• Mechanizm weryfikacji przez DNS działa dla wszystkich regionów – tj. raz ustawiamy rekord CNAME i możemy wystawiać certyfikaty dla tej domeny we wszystkich regionach :)
• Weryfikacja przez DNS oraz mail wyklucza się wzajemnie – nie możemy używać jednej i drugiej metody jednocześnie dla danego certyfikatu.
• Certificate Manager automatycznie odnowi certyfikaty dla domen, dla których istnieje poprawny rekord CNAME – to jest killer feature jak dla mnie :)
• Z powyższego wynika, że usunięcie CNAME uniemożliwi automatyczne odnowienie.

Jak więc widać ta metoda walidacji z pewnością okaże się sporym ułatwieniem :)