本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 VPC Lattice 自有憑證 (BYOC)
若要提供HTTPS請求,您必須在 (ACM) 中 AWS Certificate Manager 備妥自己的 SSL/TLS 憑證,才能設定自訂網域名稱。這些憑證必須具有符合您服務的自訂網域名稱的主題替代名稱 (SAN) 或一般名稱 (CN)。如果 SAN 存在,我們只會在SAN清單中檢查相符項目。如果 SAN 不存在,我們會在 CN 中檢查相符項目。
VPC Lattice 使用伺服器名稱指示 (SNI) 來提供HTTPS請求。DNS 根據自訂網域名稱和與此網域名稱相符的憑證,將HTTPS請求路由至您的 VPC Lattice 服務。若要為 中的網域名稱請求 SSL/TLS 憑證,ACM或將網域名稱的憑證匯入 ACM,請參閱 AWS Certificate Manager 使用者指南 中的發行和管理憑證和匯入憑證。如果您無法在 中請求或匯入自己的憑證ACM,請使用 VPC Lattice 產生的網域名稱和憑證。
VPC Lattice 每項服務只接受一個自訂憑證。不過,您可以將自訂憑證用於多個自訂網域。這表示您可以針對使用自訂網域名稱建立的所有 VPC Lattice 服務使用相同的憑證。
若要使用ACM主控台檢視您的憑證,請開啟憑證 ,然後選取您的憑證 ID。您應該會在關聯的資源 下看到與該憑證相關聯的 VPC Lattice 服務。
限制及考量
-
VPC Lattice 允許萬用字元比對,這些比對在關聯憑證的主旨替代名稱 (SAN) 或一般名稱 (CN) 中深一級。例如,如果您使用自訂網域名稱建立服務,
parking.example.com並將您自己的憑證與 SAN 建立關聯*.example.com。當 的請求進入 時parking.example.com,VPCLattice 會將 SAN與具有頂點網域 的任何網域名稱比對example.com。不過,如果您有自訂網域,parking.different.example.com且憑證有 SAN*.example.com,則請求會失敗。 -
VPC Lattice 支援單一層級的萬用字元網域比對。這表示萬用字元只能用作第一層子網域,而且只能保護一個子網域層級。例如,如果您憑證的 SAN是
*.example.com,則parking.*.example.com不支援 。 -
VPC Lattice 支援每個網域名稱一個萬用字元。這表示
*.*.example.com無效。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南 中的請求公有憑證。 -
VPC Lattice 僅支援具有 2048 位元RSA金鑰的憑證。
-
中的 SSL/TLS 憑證ACM必須與您要與之建立關聯的 VPC Lattice 服務位於相同的區域。
保護憑證的私有金鑰
當您請求SSL/TLS certificate using ACM, ACM generates a public/private金鑰對時。當您匯入憑證時,會產生金鑰對。公有金鑰會成為憑證的一部分。為了安全存放私有金鑰, 會使用 ACM建立另一個金鑰 AWS KMS,稱為 KMS金鑰,並使用別名 aws/acm 。 AWS KMS 使用此金鑰來加密憑證的私有金鑰。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南 中的資料保護 AWS Certificate Manager。
VPC Lattice 使用 AWS TLS Connection Manager,這是一項只能存取 的服務 AWS 服務,用於保護和使用憑證的私有金鑰。當您使用ACM憑證建立 VPC Lattice 服務時,VPCLattice 會將您的憑證與 AWS TLS Connection Manager 建立關聯。我們會針對 AWS KMS 您的 AWS 受管金鑰在 中建立授予,藉此達成此目的。此授予允許 TLS Connection Manager 使用 AWS KMS 解密憑證的私有金鑰。TLS Connection Manager 使用憑證和解密的 (純文字) 私有金鑰,與 VPC Lattice 服務的用戶端建立安全連線 (SSL/TLS 工作階段)。當憑證與 VPC Lattice 服務取消關聯時,授予會遭到淘汰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南 中的授予。
如需詳細資訊,請參閱靜態加密。
