在 中備妥憑證 AWS Certificate Manager - Amazon API Gateway
考量事項若要建立或匯入 SSL/TLS 憑證至 ACM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中備妥憑證 AWS Certificate Manager

在設定 的自訂網域名稱之前API,您必須在 中備妥 SSL/TLS 憑證 AWS Certificate Manager。如需詳細資訊,請參閱《AWS Certificate Manager 使用者指南》https://docs.aws.amazon.com/acm/latest/userguide/

考量事項

以下是 SSL/TLS 憑證的考量事項。

  • 如果您建立邊緣最佳化的自訂網域名稱,APIGateway 會利用 CloudFront 支援自訂網域名稱的憑證。因此,自訂網域名稱SSL/TLS憑證的要求和限制由 決定CloudFront。例如,公有金鑰大小上限是 2048,而私有金鑰大小可以是 1024、2048 和 4096。公有金鑰大小是由您使用的憑證授權機構所決定。請求憑證授權機構傳回大小與預設長度不同的金鑰。如需詳細資訊,請參閱安全存取物件建立已簽署URLs和已簽署 Cookie。

  • 若要使用具有區域自訂網域名稱的ACM憑證,您必須在與 相同的區域中請求或匯入憑證API。憑證必須由公開信任的憑證授權機構簽署,並涵蓋自訂網域名稱。

  • 若要使用具有邊緣最佳化自訂網域名稱的ACM憑證,您必須在美國東部 (維吉尼亞北部) – us-east-1區域中請求或匯入憑證。

  • 您必須具有已註冊的網域名稱,例如 example.com。您可以使用 Amazon Route 53 或第三方認可的網域註冊機構。如需此類註冊商的清單,請參閱 ICANN 網站上的經認可的註冊商目錄

若要建立或匯入 SSL/TLS 憑證至 ACM

下列程序說明如何建立或匯入網域名稱的 SSL/TLS 憑證。

To request a certificate provided by ACM for a domain name

  1. 登入 AWS Certificate Manager 主控台

  2. 選擇 Request a certificate (請求憑證)

  3. 對於憑證類型 ,選擇請求公有憑證

  4. 選擇 Next (下一步)

  5. 針對完整網域名稱 ,輸入 的自訂網域名稱API,例如 api.example.com

  6. (選擇性) 選擇 Add another name to this certificate (將其他名稱新增至此憑證)

  7. 針對驗證方法 ,選擇驗證網域擁有權的方法。

  8. 針對金鑰演算法 ,選擇加密演算法。

  9. 選擇請求

  10. 對於有效的請求,網際網路網域的註冊擁有者必須先同意請求,才能ACM發出憑證。如果您使用 Route 53 來管理公有DNS記錄,則可以透過ACM主控台直接更新記錄。

To import into ACM a certificate for a domain name

  1. 從憑證授權機構取得自訂網域名稱的 PEM編碼SSL/TLS憑證。如需此類 的部分清單CAs,請參閱 Mozilla 包含 CA 清單

    1. 使用 Open 網站上的 OpenSSL 工具組SSL,為憑證產生私有金鑰,並將輸出儲存至檔案:

      openssl genrsa -out private-key-file 2048

    2. 使用 Open 使用先前產生的私有金鑰產生憑證簽署請求 (CSR)SSL:

      openssl req -new -sha256 -key private-key-file -out CSR-file

    3. 將 CSR提交至憑證授權機構,並儲存產生的憑證。

    4. 從憑證授權機構下載憑證鏈。

    注意

    如果您以其他方式取得私有金鑰,且金鑰已加密,則您可以使用下列命令解密金鑰,然後再將其提交至 API Gateway 以設定自訂網域名稱。

    openssl pkcs8 -topk8 -inform pem -in MyEncryptedKey.pem -outform pem -nocrypt -out MyDecryptedKey.pem

  2. 將憑證上傳至 AWS Certificate Manager:

    1. 登入 AWS Certificate Manager 主控台

    2. 選擇 Import a certificate (匯入憑證)。

    3. 針對憑證內文 ,輸入憑證授權單位的 PEM格式化伺服器憑證內文。以下示範這類憑證的縮寫範例。

      -----BEGIN CERTIFICATE-----
EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB
...
az8Cg1aicxLBQ7EaWIhhgEXAMPLE
-----END CERTIFICATE-----

    4. 對於憑證私有金鑰 ,輸入PEM格式化憑證的私有金鑰。以下示範這類金鑰的縮寫範例。

      -----BEGIN RSA PRIVATE KEY-----
EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO
...
1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE
-----END RSA PRIVATE KEY-----

    5. 對於憑證鏈 ,輸入PEM格式化的中繼憑證,以及可選的根憑證,依序輸入,沒有任何空白行。如果您包含根憑證,則憑證鏈的開頭必須是中繼憑證,而結尾必須是根憑證。使用憑證授權機構所提供的中繼憑證。請不要包含不在信任路徑鏈中的任何中介。以下示範縮寫範例。

      -----BEGIN CERTIFICATE-----
EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB
...
8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE
-----END CERTIFICATE-----

      以下是另一個範例。

      -----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Optional: Root certificate
-----END CERTIFICATE-----

    6. 選擇下一步,然後選擇下一步

成功建立或匯入憑證後,記下憑證 ARN。您在設定自訂網域名稱時需要此值。