AWS 中国区批量更换 CloudFront 的 SSL 证书

适用场景：AWS 中国区 CloudFront 分配的 SSL 证书批量迁移，需从旧域名（如 domain-up.com）更新为新域名（如 domain.cn）的证书。

背景说明

在中国区 AWS CloudFront 服务中，由于合规要求，无法使用 AWS Certificate Manager (ACM)，必须通过 IAM 服务手动上传 SSL 证书。本教程将演示如何：

1. 将新证书上传到 IAM
2. 批量更新所有关联的 CloudFront 分配
3. 验证证书更换结果

准备工作

1. 证书要求

• 新证书文件：
  • 公钥文件：domain.cn.crt（PEM 格式）
  • 私钥文件：domain.cn.key（PEM 格式）
  • 证书链文件：chain.crt（完整的 CA 链）
• 证书必须包含所有需要加速的子域名（如 *.domain.cn）

2. AWS CLI 配置

确