Traiga su propio certificado (BYOC) de VPC Lattice - Amazon VPC Lattice
Protección de la clave privada de su certificado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Traiga su propio certificado (BYOC) de VPC Lattice

Para atender HTTPS las solicitudes, debes tener tu propio TLS certificadoSSL/listo en AWS Certificate Manager (ACM) antes de configurar un nombre de dominio personalizado. Estos certificados deben tener un nombre alternativo del sujeto (SAN) o un nombre común (CN) que coincida con el nombre de dominio personalizado de su servicio. Si SAN está presente, comprobamos si solo hay una coincidencia en la SAN lista. Si SAN está ausente, comprobamos si hay una coincidencia en la CN.

VPCLattice atiende HTTPS las solicitudes mediante la indicación del nombre del servidor (SNI). DNSenruta la HTTPS solicitud a su servicio VPC Lattice en función del nombre de dominio personalizado y del certificado que coincida con este nombre de dominio. Para solicitar un TLS certificadoSSL/para un nombre de dominio ACM o importarloACM, consulte Emisión y administración de certificados e importación de certificados en la Guía del AWS Certificate Manager usuario. Si no puede solicitar o importar su propio certificadoACM, utilice el nombre de dominio y el certificado generados por VPC Lattice.

VPCLattice solo acepta un certificado personalizado por servicio. Sin embargo, puede usar un certificado personalizado para varios dominios personalizados. Esto significa que puede usar el mismo certificado para todos los servicios de VPC Lattice que cree con un nombre de dominio personalizado.

Para ver su certificado mediante la ACM consola, abra Certificados y seleccione su ID de certificado. Debería ver el servicio VPC Lattice que está asociado a ese certificado en Recurso asociado.

Limitaciones y consideraciones

  • VPCLattice permite coincidencias con caracteres comodín a un nivel de profundidad entre el nombre alternativo del sujeto (SAN) o el nombre común (CN) del certificado asociado. Por ejemplo, si crea un servicio con el nombre de dominio personalizado parking.example.com y asocia su propio certificado al. SAN *.example.com Cuando se recibe una solicitudparking.example.com, VPC Lattice hace coincidir cualquier nombre de dominio con el dominio principal. SAN example.com Sin embargo, si tienes el dominio personalizado parking.different.example.com y tu certificado lo tiene SAN*.example.com, la solicitud fallará.

  • VPCLattice admite un nivel de coincidencia de dominios con caracteres comodín. Esto significa que un comodín solo se puede usar como subdominio de primer nivel y que solo protege un nivel de subdominio. Por ejemplo, si el de su certificado lo SAN es*.example.com, entonces no parking.*.example.com es compatible.

  • VPCLattice admite un comodín por nombre de dominio. Esto significa que *.*.example.com no es válido. Para obtener más información, consulte Solicitud de un certificado público en la Guía del usuario de AWS Certificate Manager .

  • VPCLattice solo admite certificados con claves de 2048 bits. RSA

  • El TLS certificadoSSL/ACMdebe estar en la misma región que el servicio VPC Lattice al que lo está asociando.

Protección de la clave privada de su certificado

Cuando solicitas un SSL/TLS certificate using ACM, ACM generates a public/private key pair. Cuando importa un certificado, es usted quien genera el par de claves. La clave pública pasa a formar parte del certificado. Para almacenar la clave privada de forma segura, ACM crea otra clave con AWS KMS el alias aws/acm, denominada KMS clave. AWS KMS utiliza esta clave para cifrar la clave privada del certificado. Para obtener más información, consulte Protección de datos en AWS Certificate Manager en la Guía del usuario de AWS Certificate Manager .

VPCLattice usa AWS TLS Connection Manager, un servicio al que solo pueden acceder Servicios de AWS, para proteger y usar las claves privadas de su certificado. Cuando usa su ACM certificado para crear un servicio de VPC Lattice, VPC Lattice lo asocia con AWS TLS Connection Manager. Para ello, creamos una concesión en función de su AWS KMS clave AWS gestionada. Esta concesión permite a TLS Connection Manager utilizarla AWS KMS para descifrar la clave privada de su certificado. TLSConnection Manager utiliza el certificado y la clave privada descifrada (texto sin formato) para establecer una conexión (SSL/TLSsesión) segura con los clientes de los servicios de VPC Lattice. Cuando el certificado se disocia de un servicio de VPC Lattice, se retira la concesión. Para obtener más información, consulte Concesiones en la Guía para desarrolladores de AWS Key Management Service .

Para obtener más información, consulte Cifrado en reposo.