Bringen Sie Ihr eigenes Zertifikat (BYOC) für VPC Lattice mit - Amazon VPC Lattice
Den privaten Schlüssel Ihres Zertifikats sichern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bringen Sie Ihr eigenes Zertifikat (BYOC) für VPC Lattice mit

Um HTTPS Anfragen bearbeiten zu können, müssen Sie Ihr eigenes SSL TLS /-Zertifikat in AWS Certificate Manager (ACM) bereit haben, bevor Sie einen benutzerdefinierten Domainnamen einrichten. Diese Zertifikate müssen einen alternativen Betreffnamen (SAN) oder einen Common Name (CN) haben, der dem benutzerdefinierten Domainnamen für Ihren Dienst entspricht. Wenn der vorhanden SAN ist, suchen wir nur nach einer Übereinstimmung in der SAN Liste. Wenn das SAN fehlt, suchen wir in der CN nach einem Match.

VPCLattice bedient HTTPS Anfragen mithilfe von Server Name Indication (SNI). DNSleitet die HTTPS Anfrage auf der Grundlage des benutzerdefinierten Domainnamens und des Zertifikats, das diesem Domainnamen entspricht, an Ihren VPC Lattice-Dienst weiter. Informationen zum Anfordern eines SSL TLS /-Zertifikats für einen Domainnamen in ACM oder zum Importieren eines Domainnamens finden Sie unter Ausstellen und Verwalten von Zertifikaten und Importieren von Zertifikaten im AWS Certificate Manager Benutzerhandbuch. ACM Wenn Sie kein eigenes Zertifikat anfordern oder importieren könnenACM, verwenden Sie den von VPC Lattice generierten Domainnamen und das Zertifikat.

VPCLattice akzeptiert nur ein benutzerdefiniertes Zertifikat pro Dienst. Sie können jedoch ein benutzerdefiniertes Zertifikat für mehrere benutzerdefinierte Domänen verwenden. Das bedeutet, dass Sie dasselbe Zertifikat für alle VPC Lattice-Dienste verwenden können, die Sie mit einem benutzerdefinierten Domainnamen erstellen.

Um Ihr Zertifikat über die ACM Konsole anzuzeigen, öffnen Sie Zertifikate und wählen Sie Ihre Zertifikat-ID aus. Der VPC Lattice-Dienst, der mit diesem Zertifikat verknüpft ist, sollte unter Zugeordnete Ressource angezeigt werden.

Einschränkungen und Überlegungen

  • VPCLattice erlaubt Platzhalterübereinstimmungen, die sich eine Ebene tiefer im Subject Alternate Name (SAN) oder Common Name (CN) des zugehörigen Zertifikats befinden. Dies ist beispielsweise der Fall, wenn Sie einen Dienst mit dem benutzerdefinierten Domainnamen erstellen parking.example.com und Ihr eigenes Zertifikat mit dem verknüpfen. SAN *.example.com Wenn eine Anfrage eingehtparking.example.com, ordnet VPC Lattice die einem beliebigen Domainnamen der Apex-Domain SAN zu. example.com Wenn Sie jedoch die benutzerdefinierte Domain haben parking.different.example.com und Ihr Zertifikat die hat SAN*.example.com, schlägt die Anfrage fehl.

  • VPCLattice unterstützt eine Ebene der Platzhalter-Domänenübereinstimmung. Das bedeutet, dass ein Platzhalter nur als Subdomain der ersten Ebene verwendet werden kann und dass er nur eine Subdomain-Ebene sichert. Wenn das Ihres Zertifikats beispielsweise ist, dann SAN wird *.example.com es nicht unterstützt. parking.*.example.com

  • VPCLattice unterstützt einen Platzhalter pro Domainnamen. Das bedeutet, dass das nicht *.*.example.com gültig ist. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Anfordern eines öffentlichen Zertifikats.

  • VPCLattice unterstützt nur Zertifikate mit 2048-Bit-SchlüsselnRSA.

  • Das TLS ZertifikatSSL/in ACM muss sich in derselben Region befinden wie der VPC Lattice-Dienst, dem Sie es zuordnen.

Den privaten Schlüssel Ihres Zertifikats sichern

Wenn Sie ein SSL/TLS certificate using ACM, ACM generates a public/private key pair anfordern. Wenn Sie ein Zertifikat importieren, generieren Sie das key pair. Der öffentliche Schlüssel wird Teil des Zertifikats. Um den privaten Schlüssel sicher zu speichern, ACM erstellt er einen weiteren Schlüssel AWS KMS, den so genannten KMS Schlüssel, mit dem Alias aws/acm. AWS KMS verwendet diesen Schlüssel, um den privaten Schlüssel Ihres Zertifikats zu verschlüsseln. Weitere Informationen finden Sie unter Datenschutz AWS Certificate Manager im AWS Certificate Manager Benutzerhandbuch.

VPCLattice verwendet den AWS TLS Verbindungsmanager, einen Dienst, auf den nur Sie zugreifen können AWS-Services, um die privaten Schlüssel Ihres Zertifikats zu sichern und zu verwenden. Wenn Sie Ihr ACM Zertifikat verwenden, um einen VPC Lattice-Dienst zu erstellen, ordnet VPC Lattice Ihr Zertifikat dem AWS TLS Verbindungs-Manager zu. Wir tun dies, indem wir einen Zuschuss für Ihren AWS KMS AWS verwalteten Schlüssel erstellen. Dieser Zuschuss ermöglicht es dem TLS Verbindungsmanager AWS KMS , den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. TLS Der Verbindungs-Manager verwendet das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um eine sichere Verbindung (SSL/TLSSession) mit Clients von VPC Lattice Services herzustellen. Wenn die Zuordnung des Zertifikats zu einem VPC Lattice-Dienst aufgehoben wird, wird der Grant zurückgezogen. Weitere Informationen finden Sie unter Grants im AWS Key Management Service Developer Guide.

Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand.