Bringen Sie Ihr eigenes Zertifikat (BYOC) für VPC Lattice mit - VPCAmazon-Gitter
Den privaten Schlüssel Ihres Zertifikats sichern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bringen Sie Ihr eigenes Zertifikat (BYOC) für VPC Lattice mit

Um HTTPS-Anfragen bearbeiten zu können, müssen Sie Ihr eigenes SSL/TLS-Zertifikat AWS Certificate Manager (ACM) bereithalten, bevor Sie einen benutzerdefinierten Domainnamen einrichten können. Diese Zertifikate müssen einen Subject Alternate Name (SAN) oder Common Name (CN) haben, der dem benutzerdefinierten Domainnamen für Ihren Dienst entspricht. Wenn das SAN vorhanden ist, suchen wir nur nach einer Übereinstimmung in der SAN-Liste. Wenn das SAN nicht vorhanden ist, suchen wir im CN nach einer Übereinstimmung.

VPC Lattice bedient HTTPS-Anfragen mithilfe von Server Name Indication (SNI). DNS leitet die HTTPS-Anfrage auf der Grundlage des benutzerdefinierten Domainnamens und des Zertifikats, das diesem Domainnamen entspricht, an Ihren VPC Lattice-Dienst weiter. Informationen zum Anfordern eines SSL/TLS-Zertifikats für einen Domainnamen in ACM oder zum Importieren eines Zertifikats in ACM finden Sie unter Ausstellen und Verwalten von Zertifikaten und Importieren von Zertifikaten im Benutzerhandbuch.AWS Certificate Manager Wenn Sie kein eigenes Zertifikat in ACM anfordern oder importieren können, verwenden Sie den von VPC Lattice generierten Domainnamen und das Zertifikat.

VPC Lattice akzeptiert nur ein benutzerdefiniertes Zertifikat pro Dienst. Sie können jedoch ein benutzerdefiniertes Zertifikat für mehrere benutzerdefinierte Domänen verwenden. Das bedeutet, dass Sie dasselbe Zertifikat für alle VPC Lattice-Dienste verwenden können, die Sie mit einem benutzerdefinierten Domainnamen erstellen.

Um Ihr Zertifikat mit der ACM-Konsole anzuzeigen, öffnen Sie Certificates und wählen Sie Ihre Zertifikat-ID aus. Sie sollten den VPC Lattice-Dienst, der diesem Zertifikat zugeordnet ist, unter Zugeordnete Ressource sehen.

Einschränkungen und Überlegungen

  • VPC Lattice ermöglicht Platzhalterübereinstimmungen, die sich eine Ebene tief im Subject Alternate Name (SAN) oder Common Name (CN) des zugehörigen Zertifikats befinden. Dies ist beispielsweise der Fall, wenn Sie einen Dienst mit dem benutzerdefinierten Domainnamen erstellen parking.example.com und dem SAN Ihr eigenes Zertifikat zuordnen. *.example.com Wenn eine Anfrage eingehtparking.example.com, ordnet VPC Lattice das SAN einem beliebigen Domainnamen mit der Apex-Domäne zu. example.com Wenn Sie jedoch über die benutzerdefinierte Domäne parking.different.example.com und Ihr Zertifikat über das SAN verfügen*.example.com, schlägt die Anfrage fehl.

  • VPC Lattice unterstützt eine Ebene der Wildcard-Domainübereinstimmung. Das bedeutet, dass ein Platzhalter nur als Subdomain der ersten Ebene verwendet werden kann und dass er nur eine Subdomänenebene schützt. Wenn das SAN Ihres Zertifikats beispielsweise aktiviert ist*.example.com, wird es nicht unterstützt. parking.*.example.com

  • VPC Lattice unterstützt einen Platzhalter pro Domainnamen. Das bedeutet, dass das nicht gültig *.*.example.com ist. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Anfordern eines öffentlichen Zertifikats.

  • VPC Lattice unterstützt nur Zertifikate mit 2048-Bit-RSA-Schlüsseln.

  • Das SSL/TLS-Zertifikat in ACM muss sich in derselben Region befinden wie der VPC Lattice-Dienst, dem Sie es zuordnen.

Den privaten Schlüssel Ihres Zertifikats sichern

Wenn Sie mit ACM ein SSL/TLS-Zertifikat anfordern, generiert ACM ein öffentliches/privates key pair. Wenn Sie ein Zertifikat importieren, generieren Sie das key pair. Der öffentliche Schlüssel wird Teil des Zertifikats. Um den privaten Schlüssel sicher zu speichern, erstellt ACM einen weiteren Schlüssel, den so genannten KMS-Schlüssel AWS KMS, mit dem Alias aws/acm. AWS KMS verwendet diesen Schlüssel, um den privaten Schlüssel Ihres Zertifikats zu verschlüsseln. Weitere Informationen finden Sie unter Datenschutz AWS Certificate Manager im AWS Certificate Manager Benutzerhandbuch.

VPC Lattice verwendet AWS TLS Connection Manager, einen Dienst, auf den nur Sie zugreifen können AWS -Services, um die privaten Schlüssel Ihres Zertifikats zu sichern und zu verwenden. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen VPC Lattice-Dienst zu erstellen, ordnet VPC Lattice Ihr Zertifikat dem TLS Connection Manager zu. AWS Dazu erstellen wir einen Zuschuss für Ihren verwalteten Schlüssel. AWS KMS AWS Dieser Zuschuss ermöglicht es dem TLS Connection Manager AWS KMS , den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. Der TLS-Verbindungsmanager verwendet das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um eine sichere Verbindung (SSL/TLS-Sitzung) mit Clients von VPC Lattice-Diensten herzustellen. Wenn das Zertifikat von einem VPC Lattice-Dienst getrennt wird, wird der Grant zurückgezogen. Weitere Informationen finden Sie unter Grants im Developer Guide.AWS Key Management Service

Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand.