Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können API Gateway verwenden, um ein SSL-Zertifikat zu generieren und dann dessen öffentlichen Schlüssel im Backend verwendet, um zu überprüfen, ob HTTP-API-Anfragen an Ihr Backend-System von API Gateway stammen. So kann Ihr HTTP-Backend nur Anfragen steuern und akzeptieren, die von Amazon API Gateway stammen – selbst wenn das Backend öffentlich zugänglich ist.
Anmerkung
Einige Backend-Server unterstützen möglicherweise keine SSL-Client-Authentifizierung als API Gateway. Sie könnten einen SSL-Zertifikatsfehler zurückgeben. Eine Liste der inkompatiblen Backend-Server finden Sie unter Wichtige Hinweise zu Amazon API Gateway.
Die SSL-Zertifikate, die von API Gateway generiert werden, sind selbstsigniert, und nur der öffentliche Schlüssel eines Zertifikats ist in der API Gateway-Konsole oder über die APIs sichtbar.
Themen
- Client-Zertifikat über die API Gateway-Konsole generieren
- Konfigurieren einer API für die Verwendung von SSL-Zertifikaten
- Testaufruf zur Überprüfung der Konfiguration des Clientzertifikats
- Konfigurieren eines Backend-HTTPS-Servers zur Überprüfung des Clientzertifikats
- Rotieren ablaufender Clientzertifikate
- Von API Gateway unterstützte Zertifizierungsstellen für HTTP- und HTTP-Proxy-Integrationen
Client-Zertifikat über die API Gateway-Konsole generieren
Öffnen Sie die API Gateway-Konsole unter https://console.aws.amazon.com/apigateway/
. Wählen Sie eine REST-API aus.
Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).
Wählen Sie auf der Seite Client Certificates (Clientzertifikate) die Option Generate certificate (Zertifikat generieren) aus.
-
(Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.
-
Wählen Sie Generate certificate (Zertifikat generieren) aus, um das Zertifikat zu generieren. API Gateway generiert ein neues Zertifikat und gibt die neue Zertifikats-GUID zusammen mit dem PEM-kodierten öffentlichen Schlüssel zurück.
Sie können eine API nun für die Verwendung des Zertifikats konfigurieren.
Konfigurieren einer API für die Verwendung von SSL-Zertifikaten
Bei diesen Anleitungen wird davon ausgegangen, dass Sie bereits abgeschlossen habe Client-Zertifikat über die API Gateway-Konsole generieren.
-
Erstellen oder öffnen Sie in der API Gateway-Konsole eine API, für die Sie das Client-Zertifikat verwenden möchten. Stellen Sie sicher, dass die API für eine Stufe bereitgestellt wurde.
Klicken Sie im Hauptnavigationsbereich auf Stages (Stufen).
Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.
Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.
-
Wählen Sie Änderungen speichern.
Wenn die API zuvor in der API Gateway-Konsole bereitgestellt wurde, müssen Sie sie neu bereitstellen, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Eine Bereitstellung für eine REST-API in API Gateway erstellen.
Nachdem ein Zertifikat für die API ausgewählt und gespeichert wurde, verwendet API Gateway das Zertifikat für alle Aufrufe an HTTP-API-Integrationen in Ihrer API.
Testaufruf zur Überprüfung der Konfiguration des Clientzertifikats
-
Wählen Sie eine API-Methode. Wählen Sie die Registerkarte Test. Möglicherweise müssen Sie die rechte Pfeiltaste wählen, um die Registerkarte Test anzuzeigen.
-
Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.
Wählen Sie Test aus.
API Gateway nutzt das ausgewählte SSL-Zertifikat für das HTTP-Backend, um die API zu authentifizieren.
Konfigurieren eines Backend-HTTPS-Servers zur Überprüfung des Clientzertifikats
Diese Anleitungen setzen voraus, dass Sie die in Client-Zertifikat über die API Gateway-Konsole generieren beschriebenen Aktionen ausgeführt und eine Kopie des Clientzertifikats heruntergeladen haben. Sie können ein Client-Zertifikat herunterladen, indem Sie clientcertificate:by-id
der API-Gateway-REST-API oder get-client-certificate
der AWS CLI aufrufen.
Vor der Konfiguration eines Backend-HTTPS-Servers zur Überprüfung des SSL-Clientzertifikats von Amazon API Gateway müssen Sie den PEM-kodierten privaten Schlüssel und ein von einer vertrauenswürdigen Zertifizierungsstelle bereitgestelltes serverseitiges Zertifikat erhalten haben.
Wenn der Name der Serverdomäne myserver.mydomain.com
ist, muss der CNAME-Wert des Serverzertifikats myserver.mydomain.com
oder *.mydomain.com
sein.
Zu den unterstützten Zertifizierungsstellen gehören Let's Encrypt
Angenommen, die Clientzertifikatdatei ist apig-cert.pem
und der private Schlüssel und die Zertifikatdateien des Servers sind server-key.pem
bzw. server-cert.pem
. Für einen Node.js-Server im Backend können Sie den Server wie folgt konfigurieren:
var fs = require('fs'); var https = require('https'); var options = { key: fs.readFileSync('server-key.pem'), cert: fs.readFileSync('server-cert.pem'), ca: fs.readFileSync('apig-cert.pem'), requestCert: true, rejectUnauthorized: true }; https.createServer(options, function (req, res) { res.writeHead(200); res.end("hello world\n"); }).listen(443);
Im Fall einer node-express
Informationen zu anderen HTTPS-Servers finden Sie in der Dokumentation zum Server.
Rotieren ablaufender Clientzertifikate
Das von API Gateway generierte Client-Zertifikat ist 365 Tage gültig. Sie müssen das Zertifikat rotieren, bevor ein Clientzertifikat auf einer API-Stufe abläuft, um Ausfallzeiten für die API zu vermeiden. Sie können das Ablaufdatum des Zertifikats prüfen, indem Sie clientCertificate:by-id der API-Gateway-REST-API oder den AWS CLI-Befehl get-client-certificate aufrufen und die zurückgegebene Eigenschaft expirationDate auslesen.
Gehen Sie folgendermaßen vor, um ein Clientzertifikat zu rotieren:
-
Generieren Sie ein neues Client-Zertifikat, indem Sie clientcertificate:generate der API-Gateway-REST-API oder den AWS CLI-Befehl generate-client-certificate aufrufen. In diesem Tutorial wird davon ausgegangen, dass die ID des neuen Clientzertifikats laute
ndiqef
. -
Aktualisieren Sie den Backend-Server, sodass dieser das neue Clientzertifikat enthält. Entfernen Sie das vorhandene Clientzertifikat noch nicht.
Einige Server erfordern möglicherweise einen Neustart, um die Aktualisierung abzuschließen. Informieren Sie sich in der Serverdokumentation, um festzustellen, ob Sie den Server während der Aktualisierung neu starten müssen.
-
Aktualisieren Sie die API-Stufe, um das neue Client-Zertifikat zu verwenden, indem Sie stage:update der API Gateway-REST-API mit der neuen Client-Zertifikat-ID (
ndiqef
) aufrufen:PATCH /restapis/{restapi-id}/stages/stage1 HTTP/1.1 Content-Type: application/json Host: apigateway.us-east-1.amazonaws.com X-Amz-Date: 20170603T200400Z Authorization: AWS4-HMAC-SHA256 Credential=... { "patchOperations" : [ { "op" : "replace", "path" : "/clientCertificateId", "value" : "ndiqef" } ] }
oder indem Sie den CLI-Befehl update-stage aufrufen.
-
Aktualisieren Sie den Backend-Server, um das alte Zertifikat zu entfernen.
-
Löschen Sie das alte Zertifikat aus API Gateway, indem Sie clientcertificate:delete der API Gateway-REST-API aufrufen und die clientCertificateId (
a1b2c3
) des alten Zertifikats angeben:DELETE /clientcertificates/a1b2c3
oder indem Sie den CLI-Befehl delete-client-certificate aufrufen:
aws apigateway delete-client-certificate --client-certificate-id a1b2c3
Gehen Sie folgendermaßen vor, um ein Clientzertifikat in der Konsole für eine zuvor bereitgestellte API zu rotieren:
Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).
Wählen Sie im Bereich Client Certificates ((Clientzertifikate) Generate certificate (Zertifikat generieren) aus.
-
Öffnen Sie die API, für die Sie das Client-Zertifikat verwenden möchten.
Wählen Sie unter der ausgewählten API Stages und wählen Sie dann eine Stufe aus.
Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.
Wählen Sie für Client certificate (Clientzertifikat) das neue Zertifikat aus.
-
Wählen Sie zum Speichern der Einstellungen Save changes (Änderungen speichern).
Sie müssen die API erneut bereitstellen, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Eine Bereitstellung für eine REST-API in API Gateway erstellen.