Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung - Amazon API Gateway
Client-Zertifikat über die API Gateway-Konsole generierenKonfigurieren einer API für die Verwendung von SSL-ZertifikatenTestaufruf zur Überprüfung der Konfiguration des ClientzertifikatsKonfigurieren eines Backend-HTTPS-Servers zur Überprüfung des ClientzertifikatsRotieren ablaufender Clientzertifikate

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung

Sie können API Gateway verwenden, um ein SSL-Zertifikat zu generieren und dann dessen öffentlichen Schlüssel im Backend verwendet, um zu überprüfen, ob HTTP-API-Anfragen an Ihr Backend-System von API Gateway stammen. So kann Ihr HTTP-Backend nur Anfragen steuern und akzeptieren, die von Amazon API Gateway stammen – selbst wenn das Backend öffentlich zugänglich ist.

Anmerkung

Einige Backend-Server unterstützen möglicherweise keine SSL-Client-Authentifizierung als API Gateway. Sie könnten einen SSL-Zertifikatsfehler zurückgeben. Eine Liste der inkompatiblen Backend-Server finden Sie unter Wichtige Hinweise zu Amazon API Gateway.

Die SSL-Zertifikate, die von API Gateway generiert werden, sind selbstsigniert, und nur der öffentliche Schlüssel eines Zertifikats ist in der API Gateway-Konsole oder über die APIs sichtbar.

Themen

Client-Zertifikat über die API Gateway-Konsole generieren

  1. Öffnen Sie die API Gateway-Konsole unter https://console.aws.amazon.com/apigateway/.

  2. Wählen Sie eine REST-API aus.

  3. Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).

  4. Wählen Sie auf der Seite Client Certificates (Clientzertifikate) die Option Generate certificate (Zertifikat generieren) aus.

  5. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  6. Wählen Sie Generate certificate (Zertifikat generieren) aus, um das Zertifikat zu generieren. API Gateway generiert ein neues Zertifikat und gibt die neue Zertifikats-GUID zusammen mit dem PEM-kodierten öffentlichen Schlüssel zurück.

Sie können eine API nun für die Verwendung des Zertifikats konfigurieren.

Konfigurieren einer API für die Verwendung von SSL-Zertifikaten

Bei diesen Anleitungen wird davon ausgegangen, dass Sie bereits abgeschlossen habe Client-Zertifikat über die API Gateway-Konsole generieren.

  1. Erstellen oder öffnen Sie in der API Gateway-Konsole eine API, für die Sie das Client-Zertifikat verwenden möchten. Stellen Sie sicher, dass die API für eine Stufe bereitgestellt wurde.

  2. Klicken Sie im Hauptnavigationsbereich auf Stages (Stufen).

  3. Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.

  4. Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.

  5. Wählen Sie Änderungen speichern aus.

    Wenn die API zuvor in der API Gateway-Konsole bereitgestellt wurde, müssen Sie sie neu bereitstellen, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Erneutes Bereitstellen einer REST-API für eine Stufe.

Nachdem ein Zertifikat für die API ausgewählt und gespeichert wurde, verwendet API Gateway das Zertifikat für alle Aufrufe an HTTP-API-Integrationen in Ihrer API.

Testaufruf zur Überprüfung der Konfiguration des Clientzertifikats

  1. Wählen Sie eine API-Methode. Wählen Sie die Registerkarte Test. Möglicherweise müssen Sie die rechte Pfeiltaste wählen, um die Registerkarte Test anzuzeigen.

  2. Wählen Sie für Client certificate (Clientzertifikat) ein Zertifikat aus.

  3. Wählen Sie Test aus.

API Gateway nutzt das ausgewählte SSL-Zertifikat für das HTTP-Backend, um die API zu authentifizieren.

Konfigurieren eines Backend-HTTPS-Servers zur Überprüfung des Clientzertifikats

Diese Anleitungen setzen voraus, dass Sie die in Client-Zertifikat über die API Gateway-Konsole generieren beschriebenen Aktionen ausgeführt und eine Kopie des Clientzertifikats heruntergeladen haben. Sie können ein Client-Zertifikat herunterladen, indem Sie clientcertificate:by-id der API-Gateway-REST-API oder get-client-certificate der AWS CLI aufrufen.

Vor der Konfiguration eines Backend-HTTPS-Servers zur Überprüfung des SSL-Clientzertifikats von Amazon API Gateway müssen Sie den PEM-kodierten privaten Schlüssel und ein von einer vertrauenswürdigen Zertifizierungsstelle bereitgestelltes serverseitiges Zertifikat erhalten haben.

Wenn der Name der Serverdomäne myserver.mydomain.com ist, muss der CNAME-Wert des Serverzertifikats myserver.mydomain.com oder *.mydomain.com sein.

Zu den unterstützten Zertifizierungsstellen gehören Let's Encrypt oder eine der in Von API Gateway unterstützte Autorisierungen für HTTP- und HTTP-Proxy-Integrationen aufgelisteten Stellen.

Angenommen, die Clientzertifikatdatei ist apig-cert.pem und der private Schlüssel und die Zertifikatdateien des Servers sind server-key.pem bzw. server-cert.pem. Für einen Node.js-Server im Backend können Sie den Server wie folgt konfigurieren:

var fs = require('fs'); 
var https = require('https');
var options = { 
    key: fs.readFileSync('server-key.pem'), 
    cert: fs.readFileSync('server-cert.pem'), 
    ca: fs.readFileSync('apig-cert.pem'), 
    requestCert: true, 
    rejectUnauthorized: true
};
https.createServer(options, function (req, res) { 
    res.writeHead(200); 
    res.end("hello world\n"); 
}).listen(443);

Für eine Node-Express-App können Sie die client-certificate-authModule verwenden, um Client-Anfragen mit PEM-codierten Zertifikaten zu authentifizieren.

Informationen zu anderen HTTPS-Servers finden Sie in der Dokumentation zum Server.

Rotieren ablaufender Clientzertifikate

Das von API Gateway generierte Client-Zertifikat ist 365 Tage gültig. Sie müssen das Zertifikat rotieren, bevor ein Clientzertifikat auf einer API-Stufe abläuft, um Ausfallzeiten für die API zu vermeiden. Sie können das Ablaufdatum des Zertifikats überprüfen, indem Sie clientCertificate:by-ID der API Gateway Gateway-REST-API aufrufen oder den AWS CLI Befehl von aufrufen get-client-certificateund die zurückgegebene Eigenschaft expirationDate überprüfen.

Gehen Sie folgendermaßen vor, um ein Clientzertifikat zu rotieren:

  1. Generieren Sie ein neues Client-Zertifikat, indem Sie clientcertificate:generate der API Gateway REST API oder den Befehl von aufrufen. AWS CLI generate-client-certificate In diesem Tutorial wird davon ausgegangen, dass die ID des neuen Clientzertifikats laute ndiqef.

  2. Aktualisieren Sie den Backend-Server, sodass dieser das neue Clientzertifikat enthält. Entfernen Sie das vorhandene Clientzertifikat noch nicht.

    Einige Server erfordern möglicherweise einen Neustart, um die Aktualisierung abzuschließen. Informieren Sie sich in der Serverdokumentation, um festzustellen, ob Sie den Server während der Aktualisierung neu starten müssen.

  3. Aktualisieren Sie die API-Stufe, um das neue Client-Zertifikat zu verwenden, indem Sie stage:update der API Gateway-REST-API mit der neuen Client-Zertifikat-ID (ndiqef) aufrufen:

    PATCH /restapis/{restapi-id}/stages/stage1 HTTP/1.1
Content-Type: application/json
Host: apigateway.us-east-1.amazonaws.com
X-Amz-Date: 20170603T200400Z
Authorization: AWS4-HMAC-SHA256 Credential=...

{
  "patchOperations" : [
    {
        "op" : "replace",
        "path" : "/clientCertificateId",
        "value" : "ndiqef"
    }
  ]
}

    oder indem Sie den CLI-Befehl update-stage aufrufen.

  4. Aktualisieren Sie den Backend-Server, um das alte Zertifikat zu entfernen.

  5. Löschen Sie das alte Zertifikat von API Gateway, indem Sie clientcertificate:delete der API Gateway Gateway-REST-API aufrufen und dabei die clientCertificateId (a1b2c3) des alten Zertifikats angeben:

    DELETE /clientcertificates/a1b2c3

    oder indem Sie den CLI-Befehl aufrufen von delete-client-certificate:

    aws apigateway delete-client-certificate --client-certificate-id a1b2c3

Gehen Sie folgendermaßen vor, um ein Clientzertifikat in der Konsole für eine zuvor bereitgestellte API zu rotieren:

  1. Wählen Sie im Hauptnavigationsfenster Client Certificates (Clientzertifikate).

  2. Wählen Sie im Bereich Client Certificates ((Clientzertifikate) Generate certificate (Zertifikat generieren) aus.

  3. Öffnen Sie die API, für die Sie das Client-Zertifikat verwenden möchten.

  4. Wählen Sie unter der ausgewählten API Stages und wählen Sie dann eine Stufe aus.

  5. Wählen Sie im Abschnitt Stage details (Stufendetails) die Option Edit (Bearbeiten) aus.

  6. Wählen Sie für Client certificate (Clientzertifikat) das neue Zertifikat aus.

  7. Wählen Sie zum Speichern der Einstellungen Save changes (Änderungen speichern).

    Sie müssen die API erneut bereitstellen, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Erneutes Bereitstellen einer REST-API für eine Stufe.