Traga seu próprio certificado (BYOC) para VPC Lattice - Amazon VPC Lattice
Como proteger a chave privada do seu certificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Traga seu próprio certificado (BYOC) para VPC Lattice

Para atender às HTTPS solicitações, você deve ter seu próprio TLS certificadoSSL/pronto em AWS Certificate Manager (ACM) antes de configurar um nome de domínio personalizado. Esses certificados devem ter um nome alternativo de assunto (SAN) ou nome comum (CN) que corresponda ao nome de domínio personalizado do seu serviço. Se o SAN estiver presente, verificamos se há uma correspondência apenas na SAN lista. Se SAN estiver ausente, verificamos se há uma correspondência no CN.

VPCO Lattice atende HTTPS solicitações usando a Indicação de Nome do Servidor (SNI). DNSencaminha a HTTPS solicitação para seu serviço VPC Lattice com base no nome de domínio personalizado e no certificado que corresponde a esse nome de domínio. Para solicitar um TLS certificadoSSL/para um nome de domínio ACM ou importá-lo paraACM, consulte Emissão e gerenciamento de certificados e Importação de certificados no Guia do AWS Certificate Manager usuário. Se você não puder solicitar ou importar seu próprio certificadoACM, use o nome de domínio e o certificado gerados pelo VPC Lattice.

VPCO Lattice aceita apenas um certificado personalizado por serviço. No entanto, você pode usar um certificado personalizado para vários domínios personalizados. Isso significa que você pode usar o mesmo certificado para todos os serviços do VPC Lattice criados com um nome de domínio personalizado.

Para visualizar seu certificado usando o ACM console, abra Certificados e selecione sua ID de certificado. Você deve ver o serviço VPC Lattice associado a esse certificado em Recurso associado.

Limitações e considerações

  • VPCO Lattice permite combinações de caracteres curinga com um nível de profundidade no nome alternativo do assunto (SAN) ou no nome comum (CN) do certificado associado. Por exemplo, se você criar um serviço com o nome de domínio personalizado parking.example.com e associar seu próprio certificado ao SAN*.example.com. Quando chega uma solicitaçãoparking.example.com, o VPC Lattice combina com qualquer nome SAN de domínio com o domínio apex. example.com No entanto, se você tiver o domínio personalizado parking.different.example.com e seu certificado tiver o SAN*.example.com, a solicitação falhará.

  • VPCO Lattice suporta um nível de correspondência de domínio curinga. Isso significa que um curinga só pode ser usado como um subdomínio de primeiro nível e que protege apenas um nível de subdomínio. Por exemplo, se o seu certificado SAN for*.example.com, então não parking.*.example.com é suportado.

  • VPCO Lattice suporta um curinga por nome de domínio. Isso significa que *.*.example.com não é válido. Para obter mais informações, consulte Solicitar um certificado público no Guia do usuário do AWS Certificate Manager .

  • VPCO Lattice suporta apenas certificados com chaves de 2048 bitsRSA.

  • O TLS certificadoSSL/em ACM deve estar na mesma região do serviço VPC Lattice ao qual você o está associando.

Como proteger a chave privada do seu certificado

Quando você solicita um SSL/TLS certificate using ACM, ACM generates a public/private key pair. Ao importar um certificado, você gera o par de chaves. A chave pública se torna parte do certificado. Para armazenar com segurança a chave privada, ACM cria outra chave usando AWS KMS, chamada de KMS chave, com o alias aws/acm. AWS KMS usa essa chave para criptografar a chave privada do seu certificado. Para obter mais informações, consulte Proteção de dados no AWS Certificate Manager, no Guia do usuário do AWS Certificate Manager .

VPCO Lattice usa o AWS TLS Connection Manager, um serviço que só pode ser acessado por Serviços da AWS, para proteger e usar as chaves privadas do seu certificado. Quando você usa seu ACM certificado para criar um serviço Lattice, o VPC VPC Lattice associa seu certificado ao Connection Manager. AWS TLS Fazemos isso criando uma concessão em AWS KMS relação à sua chave AWS gerenciada. Essa concessão permite que o TLS Connection Manager use AWS KMS para descriptografar a chave privada do seu certificado. TLSO Gerenciador de Conexões usa o certificado e a chave privada descriptografada (texto simples) para estabelecer uma conexão segura (SSL/TLSsessão) com clientes dos serviços Lattice. VPC Quando o certificado é desassociado de um serviço do VPC Lattice, o subsídio é retirado. Para obter mais informações, consulte Concessões no Guia do desenvolvedor do AWS Key Management Service .

Para obter mais informações, consulte Criptografia em repouso.