SST项目中静态站点部署时如何复用现有ACM证书

在使用SST框架部署静态站点时，经常会遇到需要为域名配置SSL证书的情况。当站点同时配置主域名和重定向域名时，默认情况下SST会为每个域名创建单独的ACM证书，这可能导致不必要的证书申请和管理开销。

问题背景

在实际部署中，很多开发者已经拥有支持通配符的ACM证书（如*.example.com），这种证书可以同时覆盖主域名（example.com）和子域名（www.example.com）。然而，SST框架的默认行为是为重定向域名单独创建新的ACM证书，即使开发者已经提供了现有的通配符证书。

解决方案

最新版本的SST框架已经优化了这一行为。当开发者在配置中明确指定现有ACM证书ARN时，框架会将该证书同时用于主域名和重定向域名的配置，而不再创建新的证书。

配置示例

export default $config({
  app(input) {
    return {
      name: "myapp-landing",
      removal: input?.stage === "prod" ? "retain" : "remove",
      home: "aws",
    };
  },
  async run() {
    new sst.aws.StaticSite("MyApp", {
      path: "out",
      domain: {
        name: "example.com",
        redirects: ["www.example.com"],
        dns: sst.aws.dns({
          zone: 'Z999999999999999999U',
        }),
        cert: "arn:aws:acm:us-east-1:123456789012:certificate/xxxxxx", // 现有通配符证书ARN
      },
    });
  },
});

技术细节

1. 证书复用机制：当提供现有证书ARN时，SST会检查该证书是否覆盖所有配置的域名（包括重定向域名）。如果覆盖，则直接复用该证书。

2. 通配符支持：AWS ACM支持的通配符证书（如*.example.com）可以匹配任意一级子域名，这使得单个证书可以满足多个域名的安全需求。

3. 部署优化：复用现有证书不仅简化了证书管理，还能避免因证书申请导致的部署延迟，因为AWS ACM证书申请通常需要验证过程。

最佳实践

1. 尽量使用通配符证书来简化多域名管理
2. 在非生产环境测试证书配置，确保所有域名都能正确匹配
3. 定期检查证书有效期，避免因证书过期导致服务中断
4. 对于生产环境，考虑使用证书自动续期机制

通过这种配置方式，开发者可以更高效地管理AWS资源，同时确保站点的安全性和可用性。