Bonnes pratiques - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques

Les bonnes pratiques sont des recommandations qui peuvent vous aider à utiliser AWS Certificate Manager (AWS Certificate Manager) plus efficacement. Les bonnes pratiques suivantes reposent sur l'expérience réelle de clients actuels d'ACM.

AWS CloudFormation

Avec AWS CloudFormation, vous pouvez créer un modèle qui décrit les ressources AWS que vous souhaitez utiliser. AWS CloudFormation alloue et configure ces ressources à votre place. AWS CloudFormation peut provisionner des ressources prises en charge par ACM, telles que Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway. Pour plus d'informations, consultez Services intégrés à AWS Certificate Manager.

Si vous utilisez AWS CloudFormation pour créer et supprimer rapidement plusieurs environnements de test, nous vous recommandons de ne pas créer de certificat ACM distinct pour chaque environnement. En procédant ainsi, votre quota de certificats sera rapidement atteint. Pour plus d'informations, consultez Quotas. Créez plutôt un certificat générique qui couvre tous les noms de domaine que vous utilisez pour les tests. Par exemple, si vous créez des certificats ACM de manière répétée pour des noms de domaine qui se différencient uniquement par un numéro de version, comme<version>.service.example.com, créez à la place un certificat générique unique pour<*>.service.example.com. Incluez le certificat générique dans le modèle qu'AWS CloudFormation utilise pour créer votre environnement de test.

Epinglage de certificat

L'épinglage de certificat, parfois appelé épinglage SSL, est un processus que vous pouvez utiliser dans votre application pour valider un hôte distant en l'associant directement à son certificat X.509 ou à sa clé publique au lieu de l'associer à une hiérarchie de certificats. L'application utilise donc l'épinglage pour contourner la validation de la chaîne de certificats SSL/TLS. Le processus de validation SSL classique vérifie les signatures dans l'ensemble de la chaîne de certificats, en allant de l'autorité de certification (CA) racine aux certificats CA subordonnés, le cas échéant. Il vérifie également le certificat de l'hôte distant au bas de la hiérarchie. Sinon, votre application peut épingler le certificat à l'hôte distant et seul ce certificat et non le certificat racine ou tout autre certificat de la chaîne est donc approuvé. Vous pouvez ajouter le certificat ou la clé publique de l'hôte distant pour votre application pendant le développement. Sinon, l'application peut ajouter le certificat ou la clé lors de sa première connexion à l'hôte.

Avertissement

Nous recommandons que votre applicationpasépingle un certificat ACM. ACMRenouvellement géré pour les certificats ACMPour renouveler automatiquement vos certificats SSL/TLS émis par Amazon avant leur date d'expiration. Pour renouveler un certificat, ACM génère une nouvelle key pair publiques-privées. Si votre application épingle le certificat ACM et que ce certificat a été renouvelé avec une nouvelle clé publique, l'application ne pourra peut-être pas se connecter à votre domaine.

Si vous décidez d'épingler un certificat, les options suivantes n'empêcheront pas votre application de se connecter à votre domaine :

  • Importez votre propre certificatDans ACM, puis épinglez votre application au certificat importé. ACM n'essaie pas de renouveler automatiquement les certificats importés.

  • Si vous utilisez un certificat public, épinglez votre application à tous les certificats racine Amazon disponibles. Si vous utilisez un certificat privé, épinglez votre application au certificat racine de votre CA.

Validation d'

Avant que l'autorité de certification (CA) d'Amazon puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vous avez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS. Pour plus d'informations, consultez Option 1 : validation DNS et Option 2 : Validation e-mail.

Ajout ou suppression de noms de domaine

Vous ne pouvez pas ajouter ou supprimer de noms de domaine dans un certificat ACM existant. À la place, vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine. Par exemple, si votre certificat contient cinq noms de domaine et que vous souhaitez en ajouter quatre autres, vous devez demander un nouveau certificat contenant les neuf noms de domaine. Comme pour tout nouveau certificat, vous devez valider la propriété de tous les noms de domaine figurant dans la demande, y compris les noms que vous avez validés auparavant pour le certificat d'origine.

Si vous utilisez la validation par e-mail, vous recevez 8 e-mails de validation maximum pour chaque domaine, parmi lesquels il doit être donné suite à au moins un dans les 72 heures. Par exemple, lorsque vous demandez un certificat contenant cinq noms de domaine, vous recevez 40 e-mails de validation maximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures. Au fur et à mesure que le nombre de noms de domaine augmente dans la demande de certificat, le travail nécessaire pour utiliser les e-mails afin de valider la propriété des domaines augmente aussi.

Si vous utilisez la validation DNS à la place, vous devez écrire un nouvel enregistrement DNS dans la base de données pour le nom de domaine complet à valider. ACM vous envoie l'enregistrement à créer et interroge ensuite la base de données afin de déterminer si l'enregistrement a été ajouté. L'ajout de l'enregistrement indique que vous possédez ou contrôlez le domaine. Dans l'exemple précédent, si vous demandez un certificat avec cinq noms de domaine, vous devez créer cinq enregistrements DNS. Nous vous recommandons d'utiliser la validation DNS dans la mesure du possible.

Désactivation de la journalisation de la transparence des certificats

Important

Quelles que soient les actions que vous utilisez pour refuser la journalisation de transparence des certificats, votre certificat peut quand même être consigné par un client ou une personne qui a accès au point de terminaison public ou privé auquel vous liez le certificat. Toutefois, le certificat ne contiendra pas un horodatage de certificat signé (SCT). Seule l'autorité de certification émettrice peut intégrer un SCT dans un certificat.

À compter du 30 avril 2018, Google Chrome cesse de faire confiance aux certificats SSL/TLS publics qui ne sont pas enregistrés dans un journal de transparence de certificats. Par conséquent, à partir du 24 avril 2018, la CA Amazon a commencé à publier tous les certificats nouveaux et renouvelés dans au moins deux journaux publics. Une fois qu'un certificat a été consigné, il ne peut pas être supprimé. Pour plus d'informations, consultez Journalisation de transparence des certificats.

La journalisation s'effectue automatiquement lorsque vous demandez un certificat ou lorsqu'un certificat est renouvelé, mais vous pouvez choisir de refuser cette action. Cette décision tient généralement à des préoccupations liées à la sécurité et à la confidentialité des données. Par exemple, la journalisation des noms de domaine d'hôte internes fournit à des pirates potentiels des informations sur les réseaux internes qui ne seraient autrement pas publiques. En outre, la journalisation peut causer la fuite de noms de produits et sites web nouveaux ou non communiqués.

Pour refuser la journalisation de transparence lorsque vous demandez un certificat, utilisez l'optionsParamètre de l'demande-certificatcommande AWS CLI ou la commandeRequestCertificateOpération d'API. Si votre certificat a été émis avant le 24 avril 2018 et que vous voulez vous assurer qu'il ne sera pas consigné à son renouvellement, vous pouvez utiliser leupdate-certificate-optionsou la commandeUpdateCertificateOptionsOpération API pour se désinscrire.

Limitations

  • Vous ne pouvez pas utiliser la console pour activer ou désactiver la journalisation de la transparence.

  • Vous ne pouvez pas modifier le statut de journalisation après qu'un certificat entre dans sa période de renouvellement, généralement 60 jours avant l'expiration du certificat. Aucun message d'erreur n'est généré en cas d'échec d'un changement d'état.

Une fois qu'un certificat a été consigné, il ne peut pas être supprimé du journal. Refuser à ce stade n'aura aucun effet. Si vous refusez la journalisation lorsque vous demandez un certificat, puis choisissez ultérieurement de l'accepter, votre certificat ne sera consigné qu'à son renouvellement. Si vous voulez que le certificat soit consigné immédiatement, nous vous recommandons d'en émettre un nouveau.

L'exemple suivant vous montre comment utiliser la commande request-certificate pour désactiver la transparence des certificats lorsque vous demandez un nouveau certificat.

aws acm request-certificate \ --domain-name www.example.com \ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED \ --idempotency-token 184627

La commande précédente génère le nom ARN de votre nouveau certificat.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }

Si vous possédez déjà un certificat et que vous ne voulez pas qu'il soit consigné lorsqu'il sera renouvelé, utilisez la commande update-certificate-options. Cette commande ne renvoie aucune valeur.

aws acm update-certificate-options \ --certificate-arn arn:aws:acm:region:account:\ certificate/12345678-1234-1234-1234-123456789012 \ --options CertificateTransparencyLoggingPreference=DISABLED

Activer AWS CloudTrail

Activez la journalisation CloudTrail avant de commencer à utiliser ACM. CloudTrail vous permet de surveiller vos déploiements AWS en récupérant un historique des appels d'API AWS pour votre compte, notamment les appels d'API effectués via AWS Management Console, les kits SDK AWS, l'interface de ligne de commande AWS et les services AWS de plus haut niveau. Vous pouvez également identifier les utilisateurs et les comptes qui ont appelé les API ACM, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Vous pouvez intégrer CloudTrail dans des applications utilisant l'API, automatiser la création de suivi pour votre organisation, vérifier le statut des suivis et contrôler de quelle manière des administrateurs activent et désactivent la journalisation de CloudTrail. Pour plus d'informations, consultez Création d'un journal de suivi. Accéder àUtilisation de CloudTrail avec AWS Certificate ManagerPour consulter des exemples de journal de suivi pour des actions ACM.