Uso de certificados SSL/TLS - AWS Amplify Hospedagem

Uso de certificados SSL/TLS

Um certificado SSL/TLS é um documento digital que permite que os navegadores da Web identifiquem e estabeleçam conexões de rede criptografadas com sites usando o protocolo SSL/TLS seguro. Ao configurar seu domínio personalizado, é possível usar o certificado gerenciado padrão que o Amplify provisiona para você ou seu próprio certificado personalizado.

Com um certificado gerenciado, o Amplify emite um certificado SSL/TLS para todos os domínios conectados à aplicação para que todo o tráfego seja protegido por HTTPS/2. O certificado padrão gerado pelo AWS Certificate Manager (ACM) é válido por 13 meses e será renovado automaticamente enquanto sua aplicação estiver hospedada no Amplify.

Atenção

O Amplify não poderá renovar o certificado se o registro de verificação CNAME tiver sido modificado ou excluído nas configurações de DNS com seu provedor de domínio. Você deve excluir e adicionar o domínio novamente no console do Amplify.

Para usar um certificado personalizado, você deve primeiro obter um certificado da autoridade de certificação terceirizada de sua escolha. O Amplify Hosting oferece suporte a dois tipos de certificados: RSA (Rivest-Shamir-Adleman) e ECDSA (Elliptic Curve Digital Signature Algorithm). Cada tipo de certificado deve estar de acordo com os requisitos descritos a seguir.

Certificados RSA

  • O Amplify Hosting oferece suporte a chaves RSA de 1.024 bits, 2.048 bits, 3.072 bits e 4.096 bits.

  • O AWS Certificate Manager (ACM) emite certificados RSA com chaves de até 2.048 bits.

  • Para usar um certificado RSA de 3.072 bits ou 4.096 bits, obtenha o certificado externamente e importe-o para o ACM. Ele estará então disponível para uso com o Amplify Hosting.

Certificados ECDSA

  • O Amplify Hosting oferece suporte a chaves de 256 bits.

  • Use a curva elíptica prime256v1 para obter um certificado ECDSA para o Amplify Hosting.

Depois de obter um certificado, importe-o para o AWS Certificate Manager. O ACM é um serviço que permite a você provisionar, gerenciar e implantar certificados SSL/TLS públicos e privados com facilidade para uso com Serviços da AWS e seus recursos internos conectados. Certifique-se de solicitar ou importar o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1).

Certifique-se de que seu certificado personalizado cubra todos os subdomínios que você planeja adicionar. É possível usar um caractere curinga no início do seu nome de domínio para cobrir vários subdomínios. Por exemplo, se o seu domínio for example.com, é possível incluir o domínio curinga *.example.com. Isso abrangerá subdomínios como product.example.com e api.example.com.

Depois que seu certificado personalizado estiver disponível no ACM, será possível selecioná-lo durante o processo de configuração do domínio. Para obter mais informações sobre a importação de certificados no AWS Certificate Manager, consulte Importação de certificados no AWS Certificate Manager no Guia do usuário do AWS Certificate Manager.

Se você renovar ou reimportar seu certificado personalizado no ACM, o Amplify atualizará os dados do certificado associados ao seu domínio personalizado. No caso de certificados importados, o ACM não gerenciará as renovações automaticamente. Você é responsável por renovar seus certificados personalizados e importá-los novamente.

É possível alterar o certificado usado por um domínio a qualquer momento. Por exemplo, é possível mudar do certificado gerenciado padrão para um certificado personalizado ou mudar de um certificado personalizado para um certificado gerenciado. Além disso, é possível alterar o certificado personalizado em uso para um certificado personalizado diferente. Para obter instruções sobre como atualizar certificados, consulte Atualização do certificado SSL/TLS para um domínio.