将证书从一个 AWS 账户导入到另一个账户

您无法将 ACM 证书从一个 AWS 区域导出到另一个 AWS 区域，或从一个 AWS 账户导出到另一个 AWS 账户。这是因为用于加密证书私钥的默认 AWS Key Management Service (AWS KMS) 密钥对于每个 AWS 区域和 AWS 账户都是唯一的。有关更多信息，请参阅 ACM 私钥安全。

您可以跨不同的 AWS 区域和账户创建多个具有相同域名的 ACM 证书。然后，您可以将这些证书与在 AWS Certificate Manager 上运行的服务一起使用。

有用的链接：https://aws.amazon.com/premiumsupport/knowledge-center/acm-export-certificate/

据我了解，我无法重复使用 ACM 证书，这对我有帮助：

如果您在 AWS 账户 #1 (Route 53) 中注册了域，并在 AWS 账户 #2 中托管了 AWS 应用程序（在我的例子中是 Elastic Beanstalk），这些步骤帮助我使用 SSL 保护 admin.domain.com 的安全：

1. 在帐户 #2 中创建 SSL 证书：

   在 AWS 账户 #2 中，转到 AWS Certificate Manager (ACM) 并请求 admin.domain.com 的证书。 • ACM 将生成 CNAME 名称和 CNAME 值 用于域验证。

2. 在账户#1（路由 53）中添加 CNAME 记录：
   • 在AWS 账户#1 中，转到Route 53 并添加包含名称和值的CNAME 记录 由 ACM 在帐户 #2 中提供。
   • 这允许帐户 #2 中的 ACM 验证帐户 #1 中的域所有权。

3. 将 SSL 证书附加到账户 #2 中的 Elastic Beanstalk： • 验证后，将 SSL 证书附加到 Elastic 通过修改帐户 #2 中的 Beanstalk 环境的负载均衡器 HTTPS 侦听器设置。 4. 在 Route 53 中为 admin.domain.com 设置 DNS：
   • 在Route 53（账户#1）中，为admin.domain.com 创建新的CNAME 记录， 指向 Elastic Beanstalk 环境。 • 使用 Elastic Beanstalk 默认 URL（例如， APP-NAME.us-east-1.elasticbeanstalk.com）或负载均衡器 DNS 名称（例如， awseb-AWSEB-87o0BABivjbu-153500162.us-east-1.elb.amazonaws.com) 作为 目标。