Bereiten Sie die Zertifikate vor in AWS Certificate Manager - APIAmazon-Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereiten Sie die Zertifikate vor in AWS Certificate Manager

Bevor Sie einen benutzerdefinierten Domainnamen für eine einrichtenAPI, müssen Sie einSSL/TLS-Zertifikat bereithalten AWS Certificate Manager. Weitere Informationen finden Sie im AWS Certificate Manager -Benutzerhandbuch.

Überlegungen

Im Folgenden finden Sie Hinweise zu Ihrem SSL TLS /-Zertifikat.

  • Wenn Sie einen Edge-optimierten benutzerdefinierten Domainnamen erstellen, nutzt API CloudFront Gateway die Unterstützung von Zertifikaten für benutzerdefinierte Domainnamen. Daher werden die Anforderungen und Einschränkungen eines benutzerdefinierten SSL TLS Domainnamens/Zertifikats von bestimmt. CloudFront Beispielsweise beträgt die maximale Länge des öffentlichen Schlüssels 2048 und die Länge des privaten Schlüssels 1024, 2048 und 4096. Die Länge des öffentlichen Schlüssels wird von der ausgewählten Zertifizierungsstelle bestimmt. Wenden Sie sich an Ihre Zertifizierungsstelle, um Schlüssel zurückzugeben, deren Länge vom Standard abweicht. Weitere Informationen finden Sie unter Sicherer Zugriff auf Ihre Objekte und Erstellen von signierten URLs und signierten Cookies.

  • Um ein ACM Zertifikat mit einem benutzerdefinierten regionalen Domainnamen zu verwenden, müssen Sie das Zertifikat in derselben Region wie Ihr Zertifikat anfordern oder importierenAPI. Das Zertifikat muss von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert sein und den benutzerdefinierten Domänennamen abdecken.

  • Um ein ACM Zertifikat mit einem Edge-optimierten benutzerdefinierten Domainnamen zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) — us-east-1 anfordern oder importieren.

  • Sie müssen über einen registrierten Domainnamen verfügen, z. B. example.com Sie können entweder Amazon Route 53 oder eine andere akkreditierte Domänenvergabestelle eines Drittanbieters verwenden. Eine Liste dieser Registrare finden Sie im Verzeichnis der akkreditierten Registrare auf der ICANN Website.

Um ein SSL TLS /-Zertifikat zu erstellen oder zu importieren ACM

Die folgenden Verfahren zeigen, wie Sie einSSL/TLS-Zertifikat für einen Domainnamen erstellen oder importieren.

To request a certificate provided by ACM for a domain name
  1. Melden Sie sich an der AWS Certificate Manager -Konsole an.

  2. Wählen Sie Request a certificate aus.

  3. Wählen Sie als Zertifikatstyp die Option Öffentliches Zertifikat anfordern aus.

  4. Wählen Sie Weiter.

  5. Geben Sie unter Vollständig qualifizierter Domainname einen benutzerdefinierten Domainnamen für Ihre API ein, api.example.com z. B.

  6. Wählen Sie optional Add another name to this certificate.

  7. Wählen Sie unter Validierungsmethode eine Methode zur Bestätigung des Domainbesitzes aus.

  8. Wählen Sie für Schlüsselalgorithmus einen Verschlüsselungsalgorithmus aus.

  9. Wählen Sie Request (Anfrage).

  10. Für eine gültige Anfrage muss ein registrierter Besitzer der Internet-Domain der Anfrage zustimmen, bevor er ACM das Zertifikat ausstellt. Wenn Sie Route 53 zur Verwaltung Ihrer öffentlichen DNS Aufzeichnungen verwenden, können Sie Ihre Aufzeichnungen direkt über die ACM Konsole aktualisieren.

To import into ACM a certificate for a domain name
  1. Holen Sie sich von einer Zertifizierungsstelle ein PEM -codiertes SSL TLS /-Zertifikat für Ihren benutzerdefinierten Domainnamen. Eine unvollständige Liste dieser CAs Zertifikate finden Sie in der Liste der von Mozilla mitgelieferten Zertifizierungsstellen.

    1. Generieren Sie mit dem SSL Open-Toolkit auf der SSLOpen-Website einen privaten Schlüssel für das Zertifikat und speichern Sie die Ausgabe in einer Datei:

      openssl genrsa -out private-key-file 2048
    2. Generieren Sie mithilfe von Open SSL eine Zertifikatsignieranforderung (CSR) mit dem zuvor generierten privaten Schlüssel:

      openssl req -new -sha256 -key private-key-file -out CSR-file
    3. Senden Sie das CSR an die Zertifizierungsstelle und speichern Sie das resultierende Zertifikat.

    4. Laden Sie die Zertifikatkette bei der Zertifizierungsstelle herunter.

    Anmerkung

    Wenn Sie den privaten Schlüssel auf andere Weise erhalten und der Schlüssel verschlüsselt ist, können Sie den Schlüssel mit dem folgenden Befehl entschlüsseln, bevor Sie ihn an API Gateway senden, um einen benutzerdefinierten Domänennamen einzurichten.

    openssl pkcs8 -topk8 -inform pem -in MyEncryptedKey.pem -outform pem -nocrypt -out MyDecryptedKey.pem
  2. Laden Sie das Zertifikat hoch auf AWS Certificate Manager:

    1. Melden Sie sich an der AWS Certificate Manager -Konsole an.

    2. Wählen Sie Import a certificate.

    3. Geben Sie unter Zertifikatshauptteil den Hauptteil des PEM -formatierten Serverzertifikats von Ihrer Zertifizierungsstelle ein. Im Folgenden sehen Sie ein verkürztes Beispiel eines solchen Zertifikats.

      -----BEGIN CERTIFICATE----- EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB ... az8Cg1aicxLBQ7EaWIhhgEXAMPLE -----END CERTIFICATE-----
    4. Geben Sie unter Privater Schlüssel des Zertifikats den privaten Schlüssel Ihres Zertifikats im PEM -Format ein. Im Folgenden sehen Sie ein verkürztes Beispiel eines solchen Schlüssels.

      -----BEGIN RSA PRIVATE KEY----- EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO ... 1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE -----END RSA PRIVATE KEY-----
    5. Geben Sie unter Zertifikatskette nacheinander die mit PEM -formatierten Zwischenzertifikate und optional das Stammzertifikat ohne Leerzeilen ein. Wenn Sie das Stammzertifikat eingeben, muss die Zertifikatkette mit Zwischenzertifikaten beginnen und mit dem Stammzertifikat enden. Verwenden Sie die von der Zertifizierungsstelle bereitgestellten Zwischenzertifikate. Verwenden Sie keine Zwischenzertifikate außerhalb der Vertrauenskette. Das folgende Beispiel zeigt ein verkürztes Beispiel.

      -----BEGIN CERTIFICATE----- EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB ... 8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE -----END CERTIFICATE-----

      Im Folgenden ein weiteres Beispiel.

      -----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Optional: Root certificate -----END CERTIFICATE-----
    6. Klicken Sie auf Weiter und dann erneut auf Weiter.

Notieren Sie sich das Zertifikat, nachdem das Zertifikat erfolgreich erstellt oder importiert wurde. ARN Diesen benötigen Sie für die Einrichtung des benutzerdefinierten Domänennamens.