Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung in API Gateway - Amazon API Gateway
Client-Zertifikat über die API Gateway-Konsole generierenKonfigurieren einer API für die Verwendung von SSL-ZertifikatenTestaufruf zur Überprüfung der Konfiguration des ClientzertifikatsKonfigurieren eines Backend-HTTPS-Servers zur Überprüfung des ClientzertifikatsRotieren ablaufender Clientzertifikate

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung in API Gateway

Sie können API Gateway verwenden, um ein SSL-Zertifikat zu generieren und dann dessen öffentlichen Schlüssel im Backend verwendet, um zu überprüfen, ob HTTP-API-Anfragen an Ihr Backend-System von API Gateway stammen. So kann Ihr HTTP-Backend nur Anfragen steuern und akzeptieren, die von Amazon API Gateway stammen – selbst wenn das Backend öffentlich zugänglich ist.

Anmerkung

Einige Backend-Server unterstützen möglicherweise keine SSL-Client-Authentifizierung als API Gateway. Sie könnten einen SSL-Zertifikatsfehler zurückgeben. Eine Liste der inkompatiblen Backend-Server finden Sie unter Wichtige Hinweise zu Amazon API Gateway.

Die SSL-Zertifikate, die von API Gateway generiert werden, sind selbstsigniert, und nur der öffentliche Schlüssel eines Zertifikats ist in der API Gateway-Konsole oder über die APIs sichtbar.

Themen

Client-Zertifikat über die API Gateway-Konsole generieren

  1. Öffnen Sie die API Gateway-Konsole unter https://console.aws.amazon.com/apigateway/.

  2. Wählen Sie eine REST- oder WebSocket-API aus.

  3. Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).

  4. Wählen Sie auf der Seite Client Certificates (Clientzertifikate) die Option Generate certificate (Zertifikat generieren) aus.

  5. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  6. Wählen Sie Generate certificate (Zertifikat generieren) aus, um das Zertifikat zu generieren. API Gateway generiert ein neues Zertifikat und gibt die neue Zertifikats-GUID zusammen mit dem PEM-kodierten öffentlichen Schlüssel zurück.

Sie können eine API nun für die Verwendung des Zertifikats konfigurieren.

Konfigurieren einer API für die Verwendung von SSL-Zertifikaten

Bei diesen Anleitungen wird davon ausgegangen, dass Sie Client-Zertifikat über die API Gateway-Konsole generieren bereits abgeschlossen haben.

  1. Erstellen oder öffnen Sie in der API Gateway-Konsole eine REST or WebSocket-API, für die Sie das Client-Zertifikat verwenden möchten. Stellen Sie sicher, dass die API für eine Stufe bereitgestellt wurde.

  2. Klicken Sie im Hauptnavigationsbereich auf Stages (Stufen).

  3. Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.

  4. Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.

  5. Klicken Sie auf Änderungen speichern.

Nachdem ein Zertifikat für die API ausgewählt und gespeichert wurde, verwendet API Gateway das Zertifikat für alle Aufrufe an HTTP-API-Integrationen in Ihrer API.

Testaufruf zur Überprüfung der Konfiguration des Clientzertifikats

  1. Wählen Sie eine REST-API-Methode aus. Wählen Sie die Registerkarte Test. Möglicherweise müssen Sie die rechte Pfeiltaste wählen, um die Registerkarte Test anzuzeigen.

  2. Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.

  3. Wählen Sie Test aus.

API Gateway nutzt das ausgewählte SSL-Zertifikat für das HTTP-Backend, um die API zu authentifizieren.

Konfigurieren eines Backend-HTTPS-Servers zur Überprüfung des Clientzertifikats

Diese Anleitungen setzen voraus, dass Sie die in Client-Zertifikat über die API Gateway-Konsole generieren beschriebenen Aktionen ausgeführt und eine Kopie des Clientzertifikats heruntergeladen haben. Sie können ein Client-Zertifikat herunterladen, indem Sie clientcertificate:by-id der API-Gateway-REST-API oder get-client-certificate der AWS CLI aufrufen.

Vor der Konfiguration eines Backend-HTTPS-Servers zur Überprüfung des SSL-Clientzertifikats von Amazon API Gateway müssen Sie den PEM-kodierten privaten Schlüssel und ein von einer vertrauenswürdigen Zertifizierungsstelle bereitgestelltes serverseitiges Zertifikat erhalten haben.

Wenn der Name der Serverdomäne myserver.mydomain.com ist, muss der CNAME-Wert des Serverzertifikats myserver.mydomain.com oder *.mydomain.com sein.

Zu den unterstützten Zertifizierungsstellen gehören Let's Encrypt oder eine der in Von API Gateway unterstützte Zertifizierungsstellen für HTTP- und HTTP-Proxy-Integrationen aufgelisteten Stellen.

Angenommen, die Clientzertifikatdatei ist apig-cert.pem und der private Schlüssel und die Zertifikatdateien des Servers sind server-key.pem bzw. server-cert.pem. Für einen Node.js-Server im Backend können Sie den Server wie folgt konfigurieren:

var fs = require('fs'); 
var https = require('https');
var options = { 
    key: fs.readFileSync('server-key.pem'), 
    cert: fs.readFileSync('server-cert.pem'), 
    ca: fs.readFileSync('apig-cert.pem'), 
    requestCert: true, 
    rejectUnauthorized: true
};
https.createServer(options, function (req, res) { 
    res.writeHead(200); 
    res.end("hello world\n"); 
}).listen(443);

Im Fall einer node-express-App können Sie die client-certificate-auth-Module verwenden, um Clientanforderungen mit PEM-kodierten Zertifikaten zu authentifizieren.

Informationen zu anderen HTTPS-Servers finden Sie in der Dokumentation zum Server.

Rotieren ablaufender Clientzertifikate

Das von API Gateway generierte Client-Zertifikat ist 365 Tage gültig. Sie müssen das Zertifikat rotieren, bevor ein Clientzertifikat auf einer API-Stufe abläuft, um Ausfallzeiten für die API zu vermeiden.

Rotieren ablaufender Clientzertifikate mithilfe von AWS Management Console

Das folgende Verfahren zeigt, wie Sie ein Clientzertifikat in der Konsole für eine zuvor bereitgestellte API rotieren.

  1. Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).

  2. Wählen Sie im Bereich Client Certificates ((Clientzertifikate) Generate certificate (Zertifikat generieren) aus.

  3. Öffnen Sie die API, für die Sie das Client-Zertifikat verwenden möchten.

  4. Wählen Sie unter der ausgewählten API Stages und wählen Sie dann eine Stufe aus.

  5. Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.

  6. Wählen Sie für Client certificate (Clientzertifikat) das neue Zertifikat aus.

  7. Wählen Sie zum Speichern der Einstellungen Save changes (Änderungen speichern).

Rotieren ablaufender Clientzertifikate mithilfe von AWS CLI

Sie können das Ablaufdatum des Zertifikats prüfen, indem Sie clientCertificate:by-id der API-Gateway-REST-API oder den AWS CLI-Befehl get-client-certificate aufrufen und die zurückgegebene Eigenschaft expirationDate auslesen.

Gehen Sie folgendermaßen vor, um ein Clientzertifikat zu rotieren:

  1. Generieren Sie ein neues Client-Zertifikat, indem Sie clientcertificate:generate der API-Gateway-REST-API oder den AWS CLI-Befehl generate-client-certificate aufrufen. In diesem Tutorial wird davon ausgegangen, dass die ID des neuen Clientzertifikats laute ndiqef.

  2. Aktualisieren Sie den Backend-Server, sodass dieser das neue Clientzertifikat enthält. Entfernen Sie das vorhandene Clientzertifikat noch nicht.

    Einige Server erfordern möglicherweise einen Neustart, um die Aktualisierung abzuschließen. Informieren Sie sich in der Serverdokumentation, um festzustellen, ob Sie den Server während der Aktualisierung neu starten müssen.

  3. Aktualisieren Sie die API-Stufe, um das neue Client-Zertifikat zu verwenden, indem Sie stage:update der API Gateway-REST-API mit der neuen Client-Zertifikat-ID (ndiqef) aufrufen:

    PATCH /restapis/{restapi-id}/stages/stage1 HTTP/1.1
Content-Type: application/json
Host: apigateway.us-east-1.amazonaws.com
X-Amz-Date: 20170603T200400Z
Authorization: AWS4-HMAC-SHA256 Credential=...

{
  "patchOperations" : [
    {
        "op" : "replace",
        "path" : "/clientCertificateId",
        "value" : "ndiqef"
    }
  ]
}

    Sie können auch den update-stage-Befehl verwenden.

    Wenn Sie eine WebSocket-API verwenden, nutzen Sie den apigatewayv2 update-stage-Befehl.

  4. Aktualisieren Sie den Backend-Server, um das alte Zertifikat zu entfernen.

  5. Löschen Sie das alte Zertifikat aus API Gateway, indem Sie clientcertificate:delete der API Gateway-REST-API aufrufen und die clientCertificateId (a1b2c3) des alten Zertifikats angeben:

    DELETE /clientcertificates/a1b2c3

    Sie können auch den delete-client-certificate-Befehl aufrufen:

    aws apigateway delete-client-certificate --client-certificate-id a1b2c3