本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自带VPC莱迪思证书 (BYOC)
要处理HTTPS请求,在设置自定义域名之前,必须在 AWS Certificate Manager (ACM) 中准备好自己的SSL/TLS证书。这些证书的主题备用名 (SAN) 或公用名 (CN) 必须与您的服务的自定义域名相匹配。如果存在SAN,我们只在SAN列表中检查匹配项。如果SAN不存在,我们会在 CN 中检查是否有匹配项。
VPC莱迪思使用服务器名称指示 (SNI) 来HTTPS处理请求。DNS根据自定义域名和与该域名匹配的证书将HTTPS请求路由到您的VPC莱迪思服务。要为中的域名申请SSL/TLS证书ACM或将其导入ACM,请参阅AWS Certificate Manager 用户指南中的颁发和管理证书以及导入证书。如果您无法在中申请或导入自己的证书ACM,请使用VPC莱迪思生成的域名和证书。
VPC莱迪思每项服务仅接受一个自定义证书。但是,您可以将自定义证书用于多个自定义域。这意味着您可以为所有使用自定义域名创建的VPC莱迪思服务使用相同的证书。
要使用ACM控制台查看您的证书,请打开证书,然后选择您的证书 ID。您应该在关联资源下看到与该证书关联的VPC莱迪思服务。
限制和注意事项
-
VPCLattice 允许在关联证书的主题备用名 (SAN) 或公用名 (CN) 中深度进行一层的通配符匹配。例如,如果您使用自定义域名创建服务
parking.example.com并将自己的证书与相关联SAN*.example.com。当收到请求时parking.example.com,VPC莱迪思会SAN将任何域名与顶点域名进行匹配。example.com但是,如果您有自定义域parking.different.example.com并且您的证书有 SAN*.example.com,则请求将失败。 -
VPC莱迪思支持一个级别的通配符域名匹配。这意味着通配符只能用作一级子域,并且只能保护一个子域级别。例如,如果您的证书SAN是
*.example.com,则parking.*.example.com不支持。 -
VPC莱迪思支持每个域名使用一个通配符。这意味着
*.*.example.com是无效的。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的请求公有证书。 -
VPC莱迪思仅支持带有2048 RSA 位密钥的证书。
-
中的SSL/TLS证书ACM必须与您关联的VPC莱迪思服务位于同一区域。
保护证书私有密钥
当您请求SSL/TLS certificate using ACM, ACM generates a public/private密钥对时。导入证书时,将生成密钥对。公有密钥将成为证书的一部分。为了安全地存储私钥,请使用别名 aws/ AWS KMS acm ACM 创建另一个名为KMS密钥的密钥。 AWS KMS 使用此密钥来加密证书的私钥。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的 AWS Certificate Manager中的数据保护。
VPC莱迪思使用 AWS TLS连接管理器(一种只能访问的服务)来 AWS 服务保护和使用您的证书的私钥。当您使用ACM证书创建VPC莱迪思服务时,莱迪思会将您的证书与 AWS TLS连接管理器相关联。VPC为此,我们会 AWS KMS 根据您的 AWS 托管密钥创建授权。此授权允许TLS连接管理器使用 AWS KMS 解密您的证书的私钥。TLS连接管理器使用证书和解密(纯文本)私钥与莱迪思服务的客户端建立安全连接(SSL/TLS会话)。VPC当证书与莱迪VPC思服务断开关联后,该授权即告失效。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的授权。
有关更多信息,请参阅 静态加密。
