Traga seu próprio certificado (BYOC) para o VPC Lattice - Amazon VPC Lattice
Como proteger a chave privada do seu certificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Traga seu próprio certificado (BYOC) para o VPC Lattice

Para atender às solicitações HTTPS, você deverá ter seu próprio certificado SSL/TLS pronto no AWS Certificate Manager (ACM) antes de configurar um nome de domínio personalizado. Esses certificados devem ter um Subject Alternate Name (SAN – Nome alternativo do assunto) ou Common Name (CN – Nome comum) que corresponda ao nome de domínio personalizado do seu serviço. Se houver um SAN presente, verificaremos se há uma correspondência somente na lista de SAN. Se não houver um SAN, verificaremos se há uma correspondência no CN.

O VPC Lattice atenderá às solicitações HTTPS usando a Server Name Indication (SNI – Indicação de nome de servidor). O DNS encaminhará a solicitação HTTPS para seu serviço VPC Lattice com base no nome de domínio personalizado e no certificado correspondente a esse nome de domínio. Para solicitar um certificado SSL/TLS para um nome de domínio no ACM ou importar um para o ACM, consulte Emissão e gerenciamento de certificados e Importação de certificados no Guia do usuário do AWS Certificate Manager . Se você não puder solicitar ou importar seu próprio certificado no ACM, use o nome de domínio e o certificado gerados pelo VPC Lattice.

O VPC Lattice só aceita um certificado personalizado por serviço. No entanto, você pode usar um certificado personalizado para vários domínios personalizados. Isso significa que você poderá usar o mesmo certificado para todos os serviços VPC Lattice criados com um nome de domínio personalizado.

Para visualizar seu certificado usando o console do ACM, abra Certificados e selecione seu ID de certificado. Você deverá ver o serviço VPC Lattice associado a esse certificado em Recurso associado.

Limitações e considerações

  • O VPC Lattice permite combinações de caracteres curinga com um nível de profundidade no nome alternativo do assunto (SAN) ou no nome comum (CN) do certificado associado. Por exemplo, se você criar um serviço com o nome de domínio personalizado parking.example.com e associar seu próprio certificado ao SAN *.example.com. Quando uma solicitação chegar para parking.example.com, o VPC Lattice combinará o SAN com qualquer nome de domínio com o domínio apex example.com. No entanto, se você tiver o domínio personalizado parking.different.example.com e seu certificado tiver o SAN *.example.com, a solicitação falhará.

  • O VPC Lattice oferece suporte a um nível de correspondência de domínio curinga. Isso significa que um curinga só pode ser usado como um subdomínio de primeiro nível e que protege apenas um nível de subdomínio. Por exemplo, se o SAN do seu certificado for *.example.com, não haverá suporte para parking.*.example.com.

  • O VPC Lattice oferece suporte a um curinga por nome de domínio. Isso significa que *.*.example.com não é válido. Para obter mais informações, consulte Solicitar um certificado público no Guia do usuário do AWS Certificate Manager .

  • O VPC Lattice é compatível somente com certificados com chaves RSA de 2.048 bits.

  • O certificado SSL/TLS no ACM deverá estar na mesma região do serviço VPC Lattice com o qual você estiver fazendo a associação.

Como proteger a chave privada do seu certificado

Quando você solicita um certificado SSL/TLS usando o ACM, o ACM gera um par de chaves públicas/privadas. Ao importar um certificado, você gera o par de chaves. A chave pública se torna parte do certificado. Para armazenar com segurança a chave privada, o ACM cria outra chave usando AWS KMS, chamada de chave KMS, com o alias aws/acm. AWS KMS usa essa chave para criptografar a chave privada do seu certificado. Para obter mais informações, consulte Proteção de dados no AWS Certificate Manager, no Guia do usuário do AWS Certificate Manager .

O VPC Lattice usa o Gerenciador de AWS Conexões TLS, um serviço que só pode ser acessado por Serviços da AWS, para proteger e usar as chaves privadas do seu certificado. Quando você usa seu certificado ACM para criar um serviço VPC Lattice, o VPC Lattice associa seu certificado ao Gerenciador de Conexões TLS. AWS Fazemos isso criando uma concessão em AWS KMS relação à sua chave AWS gerenciada. Essa concessão permite que o Gerenciador de Conexões TLS use AWS KMS para descriptografar a chave privada do seu certificado. O TLS Connection Manager usará o certificado e a chave privada descriptografada (texto simples) para estabelecer uma conexão segura (sessão SSL/TLS) com clientes de serviços do VPC Lattice. Quando o certificado for desassociado de um serviço VPC Lattice, a concessão será removida. Para obter mais informações, consulte Concessões no Guia do desenvolvedor do AWS Key Management Service .

Para ter mais informações, consulte Criptografia em repouso.