Bonnes pratiques - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques

Les bonnes pratiques sont des recommandations qui peuvent vous aider à utiliser AWS Certificate Manager (AWS Certificate Manager) plus efficacement. Les bonnes pratiques suivantes reposent sur l'expérience réelle de clients actuels d'ACM.

AWS CloudFormation

Avec AWS CloudFormation vous pouvez créer un modèle qui décrit les ressources AWS que vous voulez utiliser. Ensuite, AWS CloudFormation met en service et configure automatiquement ces ressources. AWS CloudFormation peut mettre en service les ressources prises en charge par ACM, telles que Elastic Load Balancing, Amazon CloudFront et Amazon API Gateway. Pour plus d’informations, consultez Services intégrés à AWS Certificate Manager.

Si vous utilisez AWS CloudFormation pour créer et supprimer rapidement plusieurs environnements de test, nous vous recommandons de ne pas créer de certificat ACM distinct pour chaque environnement. En procédant ainsi, votre quota de certificats sera rapidement atteint. Pour plus d’informations, consultez Quotas. Créez plutôt un certificat générique qui couvre tous les noms de domaine que vous utilisez pour les tests. Par exemple, si vous créez des ACM certificats de manière répétée pour des noms de domaine qui ne varient que par un numéro de version, par exemple <version>.service.example.com, créez un seul certificat générique pour <*>.service.example.com. Incluez le certificat générique dans le modèle utilisé par pour créer votre environnement de test.AWS CloudFormation

Épinglage de certificat

L'épinglage de certificat, parfois appelé épinglage SSL, est un processus que vous pouvez utiliser dans votre application pour valider un hôte distant en l'associant directement à son certificat X.509 ou à sa clé publique au lieu de l'associer à une hiérarchie de certificats. L'application utilise donc l'épinglage pour contourner la validation de la chaîne de certificats SSL/TLS. Le processus de validation SSL classique vérifie les signatures dans l'ensemble de la chaîne de certificats, en allant de l'autorité de certification (CA) racine aux certificats CA subordonnés, le cas échéant. Il vérifie également le certificat de l'hôte distant au bas de la hiérarchie. Sinon, votre application peut épingler le certificat à l'hôte distant et seul ce certificat et non le certificat racine ou tout autre certificat de la chaîne est donc approuvé. Vous pouvez ajouter le certificat ou la clé publique de l'hôte distant pour votre application pendant le développement. Sinon, l'application peut ajouter le certificat ou la clé lors de sa première connexion à l'hôte.

Avertissement

Nous recommandons que votre application n'épingle pas de certificat ACM. ACM exécute Renouvellement géré pour les certificats émis par Amazon d'ACM pour renouveler automatiquement vos certificats SSL/TLS Amazon avant qu'ils n'expirent. Pour renouveler un certificat, ACM génère une nouvelle paire de clés publiques-privées. Si votre application épingle le certificat ACM et que ce certificat a été renouvelé avec une nouvelle clé publique, l'application risque de ne pas pouvoir se connecter à votre domaine.

Si vous décidez d'épingler un certificat, les options suivantes n'empêcheront pas votre application de se connecter à votre domaine :

  • Importez votre propre certificat dans ACM et épinglez votre application au certificat importé. ACM ne renouvelle pas automatiquement les certificats importés.

  • Si vous utilisez un certificat public, épinglez votre application à tous les certificats racine Amazon disponibles. Si vous utilisez un certificat privé, épinglez votre application au certificat racine de votre CA.

Validation de domaine

Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vous avez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS. Pour de plus amples informations, veuillez consulter Utilisation de DNS pour valider la propriété du domaine et Utilisation d'un e-mail pour valider la propriété du domaine.

Ajout ou suppression de noms de domaine

Vous ne pouvez pas ajouter ou supprimer de noms de domaine dans un certificat ACM existant. À la place, vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine. Par exemple, si votre certificat contient cinq noms de domaine et que vous souhaitez en ajouter quatre autres, vous devez demander un nouveau certificat contenant les neuf noms de domaine. Comme pour tout nouveau certificat, vous devez valider la propriété de tous les noms de domaine figurant dans la demande, y compris les noms que vous avez validés auparavant pour le certificat d'origine.

Si vous utilisez la validation par e-mail, vous recevez 8 e-mails de validation maximum pour chaque domaine, parmi lesquels il doit être donné suite à au moins un dans les 72 heures. Par exemple, lorsque vous demandez un certificat contenant cinq noms de domaine, vous recevez 40 e-mails de validation maximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures. Au fur et à mesure que le nombre de noms de domaine augmente dans la demande de certificat, le travail nécessaire pour utiliser les e-mails afin de valider la propriété des domaines augmente aussi.

Si vous utilisez à la place une valid ation DNS, vous devez écrire un nouvel enregistrement DNS dans la base de données pour le nom de domaine complet que vous voulez valider. ACM vous envoie l'enregistrement pour créer et interroger la base de données, et déterminer où l'enregistrement a été ajouté. L'ajout de l'enregistrement indique que vous possédez ou contrôlez le domaine. Dans l'exemple précédent, si vous demandez un certificat avec cinq noms de domaine, vous devez créer cinq enregistrements DNS. Nous vous recommandons d'utiliser la validation DNS dans la mesure du possible.

Refus de la journalisation de transparence des certificats

Important

Quelles que soient les actions que vous utilisez pour refuser la journalisation de transparence des certificats, votre certificat peut quand même être consigné par un client ou une personne qui a accès au point de terminaison public ou privé auquel vous liez le certificat. Toutefois, le certificat ne contiendra pas un horodatage de certificat signé (SCT). Seule l'autorité de certification émettrice peut intégrer un SCT dans un certificat.

À compter du 30 avril 2018, Google Chrome cesse de faire confiance aux certificats SSL/TLS publics qui ne sont pas enregistrés dans un journal de transparence de certificats. Par conséquent, à partir du 24 avril 2018, la CA Amazon a commencé à publier tous les certificats nouveaux et renouvelés dans au moins deux journaux publics. Une fois qu'un certificat a été consigné, il ne peut pas être supprimé. Pour plus d’informations, consultez Journalisation de transparence des certificats.

La journalisation s'effectue automatiquement lorsque vous demandez un certificat ou lorsqu'un certificat est renouvelé, mais vous pouvez choisir de refuser cette action. Cette décision tient généralement à des préoccupations liées à la sécurité et à la confidentialité des données. Par exemple, la journalisation des noms de domaine d'hôte internes fournit à des pirates potentiels des informations sur les réseaux internes qui ne seraient autrement pas publiques. En outre, la journalisation peut causer la fuite de noms de produits et sites web nouveaux ou non communiqués.

Pour refuser la journalisation de transparence lorsque vous demandez un certificat, utilisez le paramètre Options de la commande AWS CLI request-certificate ou de lRequestCertificate'API.

Si votre certificat a été émis avant le 24 avril 2018 et que vous voulez vous assurer qu'il n'est pas consigné au cours du renouvellement, vous pouvez appeler la update-certificate-options commande ou lUpdateCertificateOptions'API pour refuser.

Une fois qu'un certificat a été consigné, il ne peut pas être supprimé du journal. Refuser à ce stade n'aura aucun effet. Si vous refusez la journalisation lorsque vous demandez un certificat, puis choisissez ultérieurement de l'accepter, votre certificat ne sera consigné qu'à son renouvellement. Si vous voulez que le certificat soit consigné immédiatement, nous vous recommandons d'en émettre un nouveau.

Note

Actuellement, vous ne pouvez pas utiliser la console pour refuser ou accepter la journalisation de transparence.

L'exemple suivant vous montre comment utiliser la commande request-certificate pour désactiver la transparence des certificats lorsque vous demandez un nouveau certificat.

aws acm request-certificate \ --domain-name www.example.com \ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED \ --idempotency-token 184627

La commande précédente génère le nom ARN de votre nouveau certificat.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }

Si vous possédez déjà un certificat et que vous ne voulez pas qu'il soit consigné lorsqu'il sera renouvelé, utilisez la commande update-certificate-options. Cette commande ne renvoie aucune valeur.

aws acm update-certificate-options \ --certificate-arn arn:aws:acm:region:account:\ certificate/12345678-1234-1234-1234-123456789012 \ --options CertificateTransparencyLoggingPreference=DISABLED

Activer AWS CloudTrail

Activez CloudTrail la journalisation avant de commencer à utiliser ACM . vous CloudTrail permet de surveiller vos AWS déploiements en récupérant un historique des appels d'API AWS pour votre compte, y compris les appels d'API effectués via Management Console, l' AWS AWS , l' et les services AWS de niveau supérieur.SDKsAWS Command Line Interface Vous pouvez également identifier les utilisateurs et les comptes qui ont appelé l' ACM APIs , l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Vous pouvez intégrer CloudTrail dans des applications utilisant l'API, automatiser la création de journaux d'activité pour votre organisation, vérifier le statut des journaux d'activité et contrôler de quelle manière des administrateurs activent et désactivent la journalisation CloudTrail. Pour plus d'informations, consultez Création d'un journal de suivi. Accédez à Utilisation d’CloudTrail avec un AWS Certificate Manager pour consulter des exemples de journal de suivi pour des actions ACM.