Festlegen der Aussteller, die signierte URLs und signierte Cookies erstellen können - Amazon CloudFront

Festlegen der Aussteller, die signierte URLs und signierte Cookies erstellen können

Um signierte URLs oder signierte Cookies zu erstellen, benötigen Sie einen Aussteller. Ein Aussteller ist entweder eine vertrauenswürdige Schlüsselgruppe, die Sie in CloudFront erstellen, oder ein AWS-Konto, das ein CloudFront-Schlüsselpaar enthält. Es wird empfohlen, vertrauenswürdige Schlüsselgruppen mit signierten URLs und signierten Cookies zu verwenden. Weitere Informationen finden Sie unter Auswahl zwischen vertrauenswürdigen Schlüsselgruppen (empfohlen) und AWS-Konten.

Der Aussteller erfüllt zwei Zwecke:

  • Sobald Sie den Aussteller Ihrer Verteilung hinzufügen, verlangt CloudFront, dass die Viewer signierte URLs oder signierte Cookies verwenden, um auf Ihre Dateien zuzugreifen.

  • Beim Erstellen signierter URLs oder signierter Cookies verwenden Sie den privaten Schlüssel aus dem Schlüsselpaar des Ausstellers, um einen Teil der URL oder des Cookies zu signieren. Wenn ein Benutzer eine eingeschränkte Datei anfordert, vergleicht CloudFront die Signatur in der URL oder im Cookie mit der nicht signierten URL oder dem Cookie, um zu überprüfen, dass sie nicht manipuliert wurde. Darüber hinaus überprüft CloudFront, ob die URL oder das Cookie gültig ist, also beispielsweise, ob das Ablaufdatum und die Ablaufzeit nicht überschritten wurden.

Wenn Sie einen Aussteller angeben, geben Sie indirekt auch die Dateien an, die signierte URLs oder signierte Cookies erfordern, indem Sie den Aussteller zu einem Cache-Verhalten hinzufügen. Wenn Ihre Verteilung über nur ein Cache-Verhalten verfügt, müssen Viewer für den Zugriff auf in der Verteilung befindliche Dateien die signierten URLs oder signierten Cookies verwenden. Wenn Sie mehrere Cache-Verhalten erstellen und vertrauenswürdige Aussteller zu einigen Cache-Verhalten hinzufügen und zu anderen nicht, können Sie es erforderlich machen, dass Viewer signierte URLs oder signierte Cookies für den Zugriff auf einige Dateien verwenden und für den Zugriff auf andere nicht.

Führen Sie die folgenden Schritte durch, um die Aussteller (d. h. die privaten Schlüssel) anzugeben, die zum Erstellen signierter URLs oder signierter Cookies berechtigt sind, und diese Aussteller zur CloudFront-Verteilung hinzuzufügen:

  1. Entscheiden Sie, ob eine vertrauenswürdige Schlüsselgruppe oder ein AWS-Konto als Aussteller verwendet werden soll. Es wird empfohlen, eine vertrauenswürdige Schlüsselgruppe zu verwenden. Weitere Informationen finden Sie unter Auswahl zwischen vertrauenswürdigen Schlüsselgruppen (empfohlen) und AWS-Konten.

  2. Erstellen Sie für den Aussteller, den Sie in Schritt 1 ausgewählt haben, Schlüsselpaar aus öffentlichem und privatem Schlüssel. Weitere Informationen finden Sie unter Erstellen von Schlüsselpaaren für Ihre Aussteller.

  3. Wenn Sie .NET oder Java verwenden, um signierte URLs oder signierte Cookies zu erstellen, formatieren Sie den privaten Schlüssel neu. Weitere Informationen finden Sie unter Neuformatierung des privaten Schlüssels (nur .NET und Java).

  4. Geben Sie in der Verteilung, für die Sie signierte URLs oder signierte Cookies erstellen, den Aussteller an. Weitere Informationen finden Sie unter Hinzufügen eines Ausstellers zu einer Verteilung.

Auswahl zwischen vertrauenswürdigen Schlüsselgruppen (empfohlen) und AWS-Konten

Um signierte URLs oder signierte Cookies verwenden zu können, benötigen Sie einen Aussteller. Ein Aussteller ist entweder eine vertrauenswürdige Schlüsselgruppe, die Sie in CloudFront erstellen, oder ein AWS-Konto, das ein CloudFront-Schlüsselpaar enthält. Es wird empfohlen, vertrauenswürdige Schlüsselgruppen zu verwenden, und zwar aus den folgenden Gründen:

  • Bei CloudFront-Schlüsselgruppen müssen Sie den Stammbenutzer des AWS-Kontos nicht verwenden, um die öffentlichen Schlüssel für von CloudFront signierte URLs und signierte Cookies zu verwalten. Die bewährten Methoden für AWS empfehlen, dass Sie den Stammbenutzer nicht verwenden, wenn Sie dies nicht tun müssen.

  • Bei CloudFront-Schlüsselgruppen können Sie öffentliche Schlüssel, Schlüsselgruppen und vertrauenswürdige Aussteller mithilfe der CloudFront-API verwalten. Sie können die API verwenden, um die Schlüsselerstellung und die Schlüsselrotation zu automatisieren. Wenn Sie den AWS-Stammbenutzer verwenden, müssen Sie die AWS Management Console verwenden, um CloudFront-Schlüsselpaare zu verwalten. Sie können den Prozess daher nicht automatisieren.

  • Da Sie Schlüsselgruppen mit der CloudFront-API verwalten können, können Sie auch AWS Identity and Access Management (IAM)-Berechtigungsrichtlinien verwenden, um einzuschränken, welche Aktionen verschiedene Benutzer ausführen dürfen. Beispielsweise können Sie Benutzern erlauben, öffentliche Schlüssel hochzuladen, aber nicht zu löschen. Oder Sie können Benutzern erlauben, öffentliche Schlüssel zu löschen, jedoch nur dann, wenn bestimmte Bedingungen erfüllt sind, z. B. Multi-Factor-Authentication, das Senden der Anforderung aus einem bestimmten Netzwerk oder das Senden der Anforderung innerhalb eines bestimmten Datums- und Uhrzeitbereichs.

    Wenn Sie den Stammbenutzer des AWS-Kontos für die Verwaltung von CloudFront-Schlüsselpaaren verwenden, können Sie nicht einschränken, was der Stammbenutzer tun kann oder unter welchen Bedingungen dies möglich ist. Sie können keine IAM-Berechtigungsrichtlinien auf den Stammbenutzer anwenden. Dies ist ein Grund dafür, dass die bewährten Methoden für AWS empfehlen, den Stammbenutzer nicht zu verwenden.

  • Bei CloudFront-Schlüsselgruppen können Sie Ihrer CloudFront-Verteilung eine größere Anzahl öffentlicher Schlüssel zuordnen. Dadurch erhalten Sie mehr Flexibilität bei der Verwendung und Verwaltung der öffentlichen Schlüssel. Standardmäßig können Sie bis zu vier Schlüsselgruppen einer einzelnen Verteilung zuordnen, und Sie können bis zu fünf öffentliche Schlüssel in einer Schlüsselgruppe haben.

    Wenn Sie den Stammbenutzer zum Verwalten von CloudFront-Schlüsselpaaren verwenden, können Sie nur bis zu zwei aktive CloudFront-Schlüsselpaare pro AWS-Konto haben.

Erstellen von Schlüsselpaaren für Ihre Aussteller

Jeder Aussteller, mit dem Sie signierte CloudFront-URLs oder signierte Cookies erstellen, muss über ein öffentliches–privates Schlüsselpaar verfügen. Der Aussteller verwendet seinen privaten Schlüssel, um die URL oder Cookies zu signieren. CloudFront verwendet den öffentlichen Schlüssel, um die Signatur zu überprüfen.

Die Art, wie Sie ein Schlüsselpaar erstellen, hängt davon ab, ob Sie eine vertrauenswürdige Schlüsselgruppe als Aussteller (empfohlen) oder ein CloudFront-Schlüsselpaar verwenden. Weitere Informationen finden Sie in den folgenden Abschnitten. Das Schlüsselpaar, das Sie erstellen, muss die folgenden Anforderungen erfüllen:

  • Es muss ein SSH-2 RSA-Schlüsselpaar sein.

  • Es muss im base64-kodierten PEM-Format vorliegen.

  • Es muss ein 2048-Bit-Schlüsselpaar sein.

Um Ihre Anwendungen zu schützen, empfehlen wir Ihnen, Schlüsselpaare regelmäßig zu rotieren. Weitere Informationen finden Sie unter Rotieren von Schlüsselpaaren.

Erstellen eines Schlüsselpaars für eine vertrauenswürdige Schlüsselgruppe (empfohlen)

Führen Sie die folgenden Schritte aus, um ein Schlüsselpaar für eine vertrauenswürdige Schlüsselgruppe zu erstellen:

  1. Erstellen Sie das öffentliche-private Schlüsselpaar.

  2. Laden Sie den öffentlichen Schlüssel in CloudFront hoch.

  3. Fügen Sie den öffentlichen Schlüssel zu einer CloudFront-Schlüsselgruppe hinzu.

Weitere Informationen finden Sie in den folgenden Verfahren.

Erstellen eines Schlüsselpaares

Anmerkung

In den folgenden Schritten wird OpenSSL als Beispiel für eine Möglichkeit verwendet, ein Schlüsselpaar zu erstellen. Es gibt viele andere Möglichkeiten, ein RSA-Schlüsselpaar zu erstellen.

  1. Der folgende Beispielbefehl verwendet OpenSSL, um ein RSA-Schlüsselpaar mit einer Länge von 2048 Bit zu generieren und in der Datei mit dem Namen private_key.pem zu speichern.

    openssl genrsa -out private_key.pem 2048
  2. Die erstellte Datei enthält den öffentlichen und den privaten Schlüssel. Der folgende Beispielbefehl extrahiert den öffentlichen Schlüssel aus der Datei mit dem Namen private_key.pem.

    openssl rsa -pubout -in private_key.pem -out public_key.pem

    Sie laden den öffentlichen Schlüssel (in der public_key.pem-Datei) später im folgenden Verfahren hoch.

So laden Sie den öffentlichen Schlüssel in CloudFront hoch

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die CloudFront-Konsole unter https://console.aws.amazon.com/cloudfront/v3/home.

  2. Wählen Sie im Navigationsmenü die Option Public keys (Öffentliche Schlüssel).

  3. Wählen Sie Add public key (Öffentlichen Schlüssel hinzufügen) aus.

  4. Führen Sie im Fenster Add public key (Öffentlichen Schlüssel hinzufügen) die folgenden Schritte aus:

    1. Geben Sie unter Key name (Schlüsselname) einen Namen ein, um den öffentlichen Schlüssel zu identifizieren.

    2. Fügen Sie unter Key value (Schlüsselwert) den öffentlichen Schlüssel ein. Wenn Sie die Schritte im vorangegangenen Verfahren ausgeführt haben, befindet sich der öffentliche Schlüssel in der Datei mit dem Namen public_key.pem. Um den Inhalt des öffentlichen Schlüssels zu kopieren und einzufügen, können Sie Folgendes tun:

      • Verwenden Sie den cat-Befehl in der macOS- oder Linux-Befehlszeile wie folgt:

        cat public_key.pem

        Kopieren Sie die Ausgabe dieses Befehls und fügen Sie sie dann in das Feld Key value (Schlüsselwert) ein.

      • Öffnen Sie die public_key.pem-Datei mit einem Texteditor wie Notepad (unter Windows) oder TextEdit (unter macOS). Kopieren Sie den Inhalt der Datei und fügen Sie ihn dann in das Feld key value (Schlüsselwert) ein.

    3. (Optional) Fügen Sie unter Comment (Kommentar) einen Kommentar hinzu, um den öffentlichen Schlüssel zu beschreiben.

    Wenn Sie fertig sind, wählen Sie Add (Hinzufügen).

  5. Notieren Sie die ID des öffentlichen Schlüssels. Sie verwenden diese später, wenn Sie signierte URLs oder signierte Cookies erstellen, als Wert des Key-Pair-Id-Feldes.

So fügen Sie den öffentlichen Schlüssel zu einer Schlüsselgruppe hinzu:

  1. Öffnen Sie die CloudFront-Konsole unter https://console.aws.amazon.com/cloudfront/v3/home.

  2. Wählen Sie im Navigationsmenü die Option Key groups (Schlüsselgruppen).

  3. Wählen Sie Add key group (Schlüsselgruppe hinzufügen).

  4. Führen Sie auf der Seite Create key group (Schlüsselgruppe erstellen) die folgenden Schritte aus:

    1. Geben Sie unter Key group name (Schlüsselgruppenname) einen Namen ein, um die Schlüsselgruppe zu identifizieren.

    2. (Optional) Geben Sie unter Comment (Kommentar) einen Kommentar ein, um die Schlüsselgruppe zu beschreiben.

    3. Wählen Sie für Public keys (Öffentliche Schlüssel) den öffentlichen Schlüssel aus, der der Schlüsselgruppe hinzugefügt werden soll. Wählen Sie dann Add (Hinzufügen) aus. Wiederholen Sie diesen Schritt für jeden öffentlichen Schlüssel, den Sie der Schlüsselgruppe hinzufügen möchten.

  5. Wählen Sie Create key group (Schlüsselgruppe erstellen) aus.

  6. Notieren Sie den Namen der Schlüsselgruppe. Sie verwenden diesen später, um die Schlüsselgruppe mit einem Cacheverhalten in einer CloudFront-Verteilung zu verknüpfen. (In der CloudFront-API verwenden Sie die Schlüsselgruppen-ID, um die Schlüsselgruppe einem Cache-Verhalten zuzuordnen.)

Wichtig

Es wird empfohlen, einen öffentlichen Schlüssel für eine vertrauenswürdige Schlüsselgruppe zu erstellen, anstatt diese Schritte auszuführen. Die empfohlene Methode zum Erstellen öffentlicher Schlüssel für signierte URLs und signierte Cookies finden Sie unter Erstellen eines Schlüsselpaars für eine vertrauenswürdige Schlüsselgruppe (empfohlen).

Sie können ein CloudFront-Schlüsselpaar auf folgende Weise erstellen:

  • Erstellen Sie ein Schlüsselpaar in der AWS Management Console und laden Sie den privaten Schlüssel herunter. Weitere Informationen finden Sie im folgenden Verfahren.

  • Erstellen Sie mithilfe einer Anwendung wie OpenSSL ein RSA-Schlüsselpaar und laden Sie den öffentlichen Schlüssel auf die AWS Management Console hoch. Weitere Informationen zum Erstellen eines RSA-Schlüsselpaars finden Sie unter Erstellen eines Schlüsselpaars für eine vertrauenswürdige Schlüsselgruppe (empfohlen).

So erstellen Sie CloudFront-Schlüsselpaare in der AWS Management Console

  1. Melden Sie sich mit den Anmeldeinformationen des Stammbenutzers des AWS-Kontos bei der AWS Management Console an.

    Wichtig

    IAM-Benutzer können keine CloudFront-Schlüsselpaare erstellen. Sie müssen sich mit Stammbenutzer-Anmeldeinformationen anmelden, um Schlüsselpaare zu erstellen.

  2. Wählen Sie Ihren Kontonamen und dann My Security Credentials (Meine Sicherheitsanmeldeinformationen) aus.

  3. Wählen Sie CloudFront key pairs (CloudFront-Schlüsselpaare).

  4. Vergewissern Sie sich, dass Sie nicht mehr als ein aktives Schlüsselpaar haben. Sie können kein Schlüsselpaar erstellen, wenn Sie bereits zwei aktive Schlüsselpaare haben.

  5. Wählen Sie Create a new key pair (Neues Schlüsselpaar erstellen) aus.

    Anmerkung

    Sie können auch Ihr eigenes Schlüsselpaar erstellen und den öffentlichen Schlüssel hochladen. CloudFront-Schlüsselpaare unterstützen 1024-, 2048- oder 4096-Bit-Schlüssel.

  6. Wählen Sie im Dialogfeld Create Key Pair (Schlüsselpaar erstellen) die Option Download Private Key File (Private Schlüsseldatei herunterladen) und speichern Sie die Datei dann auf Ihrem Computer.

    Wichtig

    Speichern Sie den privaten Schlüssel für Ihr CloudFront-Schlüsselpaar an einem sicheren Ort und legen Sie die Berechtigungen für die Datei so fest, dass nur die gewünschten Administratoren sie lesen können. Wenn eine Person in den Besitz Ihres privaten Schlüssels gelangt, kann sie gültige signierte URLs und signierte Cookies generieren und Ihre Inhalte herunterladen. Sie können den privaten Schlüssel nicht erneut abrufen. Wenn Sie ihn also verlieren oder löschen, müssen Sie ein neues CloudFront-Schlüsselpaar erstellen.

  7. Notieren Sie die Schlüsselpaar-ID für Ihr Schlüsselpaar. (In der AWS Management Console wird diese als Zugriffsschlüssel-ID bezeichnet.) Sie verwenden sie beim Erstellen signierter URLs oder signierter Cookies.

Neuformatierung des privaten Schlüssels (nur .NET und Java)

Wenn Sie .NET oder Java verwenden, um signierte URLs oder signierte Cookies zu erstellen, können Sie den privaten Schlüssel aus Ihrem Schlüsselpaar nicht im PEM-Standardformat verwenden, um die Signatur zu erstellen. Führen Sie stattdessen die folgenden Schritte aus:

  • .NET Framework – Konvertieren Sie den privaten Schlüssel in das vom .NET Framework verwendete XML-Format. Es sind mehrere Tools verfügbar.

  • Java – Konvertieren Sie den privaten Schlüssel in das DER-Format. Eine Möglichkeit, dies zu tun, ist der folgende OpenSSL-Befehl. Im folgenden Befehl ist private_key.pem der Name der Datei, die den privaten Schlüssel im PEM-Format enthält, und private_key.der der Name der Datei, die den privaten Schlüssel im DER-Format enthält, nachdem Sie den Befehl ausgeführt haben.

    openssl pkcs8 -topk8 -nocrypt -in private_key.pem -inform PEM -out private_key.der -outform DER

    Um sicherzustellen, dass der Encoder ordnungsgemäß funktioniert, fügen Sie die JAR-Datei für die Bouncy Castle-Kryptographie-APIs für Java zu Ihrem Projekt und anschließend den Bouncy Castle-Anbieter hinzu.

Hinzufügen eines Ausstellers zu einer Verteilung

Ein Aussteller ist die vertrauenswürdige Schlüsselgruppe (empfohlen) oder das CloudFront-Schlüsselpaar, das signierte URLs und signierte Cookies für eine Verteilung erstellen kann. Um signierte URLs oder signierte Cookies mit einer CloudFront-Verteilung zu verwenden, müssen Sie einen Aussteller angeben.

Aussteller sind mit Cache-Verhaltensweisen verknüpft. Dadurch haben Sie die Möglichkeit, signierte URLs oder signierte Cookies für einige Dateien zu verlangen und für andere Objekte in derselben Verteilung nicht. Eine Verteilung erfordert signierte URLs oder Cookies nur für Dateien, die mit den entsprechenden Cache-Verhaltensweisen verknüpft sind.

Ebenso kann ein Aussteller URLs oder Cookies nur für Dateien signieren, die mit den entsprechenden Cache-Verhaltensweisen verknüpft sind. Wenn Sie beispielsweise einen vertrauenswürdigen Aussteller für ein Cache-Verhalten und einen anderen vertrauenswürdigen Aussteller für ein anderes Cache-Verhalten verwenden, kann keiner dieser Aussteller signierte URLs oder Cookies für Dateien erstellen, die mit dem jeweils anderen Cache-Verhalten verknüpft sind.

Wichtig

Bevor Sie einen Aussteller zu Ihrer Verteilung hinzufügen, gehen Sie wie folgt vor:

  • Definieren Sie die Pfadmuster in den Cache-Verhaltensweisen und die Reihenfolge der Cache-Verhaltensweisen sorgfältig, damit Sie Benutzern keinen unbeabsichtigten Zugriff auf Ihre Inhalte gewähren oder verhindern, dass sie auf Inhalte zugreifen, die für alle verfügbar sein sollen.

    Nehmen wir beispielsweise an, eine Anfrage stimmt mit dem Pfadmuster für zwei Cache-Verhalten überein. Das erste Cache-Verhalten erfordert keine signierten URLs oder signierten Cookies, das zweite Cache-Verhalten hingegen schon. Benutzer können auf die Dateien zugreifen, ohne signierte URLs oder signierte Cookies zu verwenden, da CloudFront das Cache-Verhalten verarbeitet, das mit der ersten Übereinstimmung verknüpft ist.

    Weitere Informationen zu Pfadmustern finden Sie unter Pfadmuster.

  • Überprüfen Sie bei einer Verteilung, die Sie bereits zum Verteilen von Inhalten verwenden, ob Sie signierte URLs und signierte Cookies generieren können, bevor Sie einen Aussteller hinzufügen. Wenn Sie einen Aussteller hinzufügen, lehnt CloudFront Anforderungen ab, die keine gültige signierte URL oder kein signiertes Cookie enthalten.

Sie können vertrauenswürdige Aussteller über die CloudFront-Konsole oder die CloudFront-API zu Ihrer Verteilung hinzufügen.

Hinzufügen eines Ausstellers zu einer Verteilung über die CloudFront-Konsole

Die folgenden Schritte zeigen, wie Sie eine vertrauenswürdige Schlüsselgruppe als Aussteller hinzufügen. Sie können auch ein AWS-Konto als vertrauenswürdigen Aussteller hinzufügen. Dies wird jedoch nicht empfohlen.

So fügen Sie einen Aussteller mit der Konsole zu einer Verteilung hinzu:

  1. Notieren Sie die Schlüsselgruppen-ID der Schlüsselgruppe, die Sie als vertrauenswürdigen Aussteller verwenden möchten. Weitere Informationen finden Sie unter Erstellen eines Schlüsselpaars für eine vertrauenswürdige Schlüsselgruppe (empfohlen).

  2. Öffnen Sie die CloudFront-Konsole unter https://console.aws.amazon.com/cloudfront/v3/home.

  3. Wählen Sie die Verteilung aus, deren Dateien Sie mit signierten URLs oder signierten Cookies schützen möchten.

    Anmerkung

    Wenn Sie einer neuen Verteilung einen Aussteller hinzufügen möchten, geben Sie dieselben Einstellungen an, die in Schritt 6 beschrieben werden, wenn Sie die Verteilung erstellen.

  4. Wählen Sie die Registerkarte Behaviors aus.

  5. Wählen Sie das Cache-Verhalten aus, dessen Pfadmuster mit den Dateien übereinstimmt, die Sie mit signierten URLs oder signierten Cookies schützen möchten, und wählen Sie dann Edit (Bearbeiten).

  6. Führen Sie auf der Seite Edit Behavior (Verhalten bearbeiten) die folgenden Schritte aus:

    1. Klicken Sie bei Restrict Viewer Access (Use Signed URLs or Signed Cookies) (Viewer-Zugriff einschränken (Signierte URLs oder signierte Cookies verwenden)) auf Yes (Ja).

    2. Wählen Sie in Trusted Key Groups or Trusted Signer (Vertrauenswürdige Schlüsselgruppen oder vertrauenswürdiger Aussteller) die Option Trusted Key Groups (Vertrauenswürdige Schlüsselgruppen) aus.

    3. Wählen Sie unter Trusted Key Groups (Vertrauenswürdige Schlüsselgruppen) die hinzuzufügende Schlüsselgruppe aus, und wählen Sie dann Add (Hinzufügen). Wiederholen Sie diesen Vorgang, wenn Sie mehr als eine Schlüsselgruppe hinzufügen möchten.

  7. Wählen Sie Yes, Edit (Ja, Bearbeiten), um das Cache-Verhalten zu aktualisieren.

Hinzufügen eines Ausstellers zu einer Verteilung über die CloudFront-API

Sie können die CloudFront-API verwenden, um eine vertrauenswürdige Schlüsselgruppe als Aussteller hinzuzufügen. Sie können einen Aussteller zu einer vorhandenen oder zu einer neuen Verteilung hinzufügen. Geben Sie in beiden Fällen die entsprechenden Werte im TrustedKeyGroups-Element an.

Sie können auch ein AWS-Konto als vertrauenswürdigen Aussteller hinzufügen. Dies wird jedoch nicht empfohlen.

Lesen Sie die folgenden Themen in der Amazon CloudFront API-Referenz:

Rotieren von Schlüsselpaaren

Wir empfehlen, Ihre Schlüsselpaare für signierte URLs und signierte Cookies regelmäßig zu rotieren (zu ändern). Führen Sie die folgenden Schritte aus, um Schlüsselpaare zu rotieren, die Sie verwenden, um signierte URLs oder signierte Cookies zu erstellen, ohne die Gültigkeit von URLs oder Cookies aufzuheben, die noch nicht abgelaufen sind:

  1. Erstellen Sie ein neues Schlüsselpaar, und fügen Sie den öffentlichen Schlüssel zu einer Schlüsselgruppe hinzu. Weitere Informationen finden Sie unter Erstellen eines Schlüsselpaars für eine vertrauenswürdige Schlüsselgruppe (empfohlen).

  2. Wenn Sie im vorherigen Schritt eine neue Schlüsselgruppe erstellt haben, fügen Sie die Schlüsselgruppe der Verteilung als Aussteller hinzu.

    Wichtig

    Entfernen Sie noch keine vorhandenen öffentlichen Schlüssel aus der Schlüsselgruppe oder Schlüsselgruppen aus der Verteilung. Fügen Sie nur die neuen hinzu.

  3. Aktualisieren Sie Ihre Anwendung so, dass Signaturen mithilfe der privaten Schlüssel von den neuen Schlüsselpaaren erstellt werden. Prüfen Sie, ob die signierten URLs oder Cookies, die mit den neuen privaten Schlüsseln signiert sind, funktionieren.

  4. Warten Sie, bis das Ablaufdatum in URLs oder Cookies überschritten ist, die mittels des vorherigen privaten Schlüssels signiert wurden. Entfernen Sie dann den alten öffentlichen Schlüssel aus der Schlüsselgruppe. Wenn Sie in Schritt 2 eine neue Schlüsselgruppe erstellt haben, entfernen Sie die alte Schlüsselgruppe aus Ihrer Verteilung.