Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques
Les meilleures pratiques sont des recommandations qui peuvent vous aider à utiliser AWS Certificate Manager (AWS Certificate Manager) de manière plus efficace. Les bonnes pratiques suivantes reposent sur l'expérience réelle de clients actuels d'ACM.
Rubriques
AWS CloudFormation
Avec AWS CloudFormation vous pouvez créer un modèle qui décrit les AWS ressources que vous souhaitez utiliser. AWS CloudFormation fournit et configure ensuite ces ressources pour vous. AWS CloudFormation peut fournir des ressources prises en charge par ACM, telles que Elastic Load Balancing CloudFront, Amazon et Amazon API Gateway. Pour plus d’informations, consultez Services intégrés à AWS Certificate Manager.
Si vous avez l' AWS CloudFormation habitude de créer et de supprimer rapidement plusieurs environnements de test, nous vous recommandons de ne pas créer de certificat ACM distinct pour chaque environnement. En procédant ainsi, votre quota de certificats sera rapidement atteint. Pour de plus amples informations, consultez Quotas. Créez plutôt un certificat générique qui couvre tous les noms de domaine que vous utilisez pour les tests. Par exemple, si vous créez des certificats ACM de manière répétée pour des noms de domaine qui se différencient uniquement par un numéro de version, par exemple <version>.service.example.com, créez un seul certificat générique pour <*>.service.example.com. Incluez le certificat générique dans le modèle AWS CloudFormation utilisé pour créer votre environnement de test.
Épinglage de certificat
L'épinglage de certificat, parfois appelé épinglage SSL, est un processus que vous pouvez utiliser dans votre application pour valider un hôte distant en l'associant directement à son certificat X.509 ou à sa clé publique au lieu de l'associer à une hiérarchie de certificats. L'application utilise donc l'épinglage pour contourner la validation de la chaîne de certificats SSL/TLS. Le processus de validation SSL classique vérifie les signatures dans l'ensemble de la chaîne de certificats, en allant de l'autorité de certification (CA) racine aux certificats CA subordonnés, le cas échéant. Il vérifie également le certificat de l'hôte distant au bas de la hiérarchie. Sinon, votre application peut épingler le certificat à l'hôte distant et seul ce certificat et non le certificat racine ou tout autre certificat de la chaîne est donc approuvé. Vous pouvez ajouter le certificat ou la clé publique de l'hôte distant pour votre application pendant le développement. Autrement, l'application peut ajouter le certificat ou la clé lors de sa première connexion à l'hôte.
Avertissement
Nous recommandons que votre application n'épingle pas de certificat ACM. ACM effectue l'opération Renouvellement géré des certificats ACM pour renouveler automatiquement vos certificats SSL/TLS émis par Amazon avant leur date d'expiration. Pour renouveler un certificat, ACM génère une nouvelle paire de clés publiques-privées. Si votre application épingle le certificat ACM et que celui-ci a été renouvelé avec une nouvelle clé publique, l'application risque de ne pas pouvoir se connecter à votre domaine.
Si vous décidez d'épingler un certificat, les options suivantes n'empêcheront pas votre application de se connecter à votre domaine :
-
Importez votre propre certificat dans ACM, puis épinglez votre application au certificat importé. ACM n'essaie pas de renouveler automatiquement les certificats importés.
-
Si vous utilisez un certificat public, épinglez votre application à tous les Amazon root certificates
(certificats racines Amazon) disponibles. Si vous utilisez un certificat privé, épinglez votre application au certificat racine de votre CA.
Validation de domaine
Avant que l'autorité de certification Amazon (CA) puisse délivrer un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vous avez spécifiés dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS. Pour de plus amples informations, consultez Validation DNS et Validation par courriel.
Ajout ou suppression de noms de domaine
Vous ne pouvez pas ajouter ni supprimer de noms de domaine dans un certificat ACM existant. À la place, vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine. Par exemple, si votre certificat contient cinq noms de domaine et que vous souhaitez en ajouter quatre autres, vous devez demander un nouveau certificat contenant les neuf noms de domaine. Comme pour tout nouveau certificat, vous devez valider la propriété de tous les noms de domaine figurant dans la demande, y compris les noms que vous avez validés auparavant pour le certificat d'origine.
Si vous utilisez la validation par e-mail, vous recevez 8 e-mails de validation maximum pour chaque domaine, parmi lesquels il doit être donné suite à au moins un dans les 72 heures. Par exemple, lorsque vous demandez un certificat contenant cinq noms de domaine, vous recevez 40 e-mails de validation maximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures. Au fur et à mesure que le nombre de noms de domaine augmente dans la demande de certificat, le travail nécessaire pour utiliser les e-mails afin de valider la propriété des domaines augmente aussi.
Si vous utilisez plutôt la validation DNS, vous devez écrire un nouvel enregistrement DNS dans la base de données pour le nom de domaine complet à valider. ACM vous envoie l'enregistrement à créer et interroge ensuite la base de données afin de déterminer si l'enregistrement a été ajouté. L'ajout de l'enregistrement indique que vous possédez ou contrôlez le domaine. Dans l'exemple précédent, si vous demandez un certificat avec cinq noms de domaine, vous devez créer cinq enregistrements DNS. Nous vous recommandons d'utiliser la validation DNS dans la mesure du possible.
Refus de la journalisation de transparence des certificats
Important
Quelles que soient les actions que vous utilisez pour refuser la journalisation de transparence des certificats, votre certificat peut quand même être consigné par un client ou une personne qui a accès au point de terminaison public ou privé auquel vous liez le certificat. Toutefois, le certificat ne contiendra pas d'horodatage de certificat signé (SCT). Seule l'autorité de certification émettrice peut intégrer un SCT dans un certificat.
À compter du 30 avril 2018, Google Chrome cesse de faire confiance aux certificats SSL/TLS publics qui ne sont pas enregistrés dans un journal de transparence de certificats. Par conséquent, à partir du 24 avril 2018, le CA Amazon a commencé à publier tous les certificats nouveaux et renouvelés dans au moins deux journaux publics. Une fois qu'un certificat a été consigné, il ne peut pas être supprimé. Pour de plus amples informations, consultez Journalisation de transparence des certificats.
La journalisation s'effectue automatiquement lorsque vous demandez un certificat ou lorsqu'un certificat est renouvelé, mais vous pouvez choisir de refuser cette action. Cette décision tient généralement à des préoccupations liées à la sécurité et à la confidentialité des données. Par exemple, la journalisation des noms de domaine d'hôte internes fournit à des pirates potentiels des informations sur les réseaux internes qui ne seraient autrement pas publiques. En outre, la journalisation peut causer la fuite de noms de produits et sites Web nouveaux ou non communiqués.
Pour désactiver la journalisation transparente lorsque vous demandez un certificat, utilisez le options paramètre de la AWS CLI commande request-certificate ou de l'opération RequestCertificateAPI. Si votre certificat a été émis avant le 24 avril 2018 et que vous souhaitez vous assurer qu'il n'est pas enregistré lors du renouvellement, vous pouvez utiliser la update-certificate-optionscommande ou l'opération UpdateCertificateOptionsAPI pour vous désinscrire.
Limites
-
Vous ne pouvez pas utiliser la console pour activer ou désactiver la journalisation de transparence.
-
Vous ne pouvez pas modifier le statut de journalisation lorsqu'un certificat entre dans sa période de renouvellement, généralement 60 jours avant son expiration. Aucun message d'erreur n'est généré si un changement de statut échoue.
Une fois qu'un certificat a été consigné, il ne peut pas être supprimé du journal. Refuser à ce stade n'aura aucun effet. Si vous refusez la journalisation lorsque vous demandez un certificat, puis choisissez ultérieurement de l'accepter, votre certificat ne sera consigné qu'à son renouvellement. Si vous voulez que le certificat soit consigné immédiatement, nous vous recommandons d'en émettre un nouveau.
L'exemple suivant vous montre comment utiliser la commande request-certificate pour désactiver la transparence des certificats lorsque vous demandez un nouveau certificat.
aws acm request-certificate \ --domain-namewww.example.com\ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED \
La commande précédente génère le nom ARN de votre nouveau certificat.
{
"CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID"
}Si vous possédez déjà un certificat et que vous ne souhaitez pas qu'il soit enregistré lors de son renouvellement, utilisez la update-certificate-optionscommande. Cette commande ne renvoie aucune valeur.
aws acm update-certificate-options \ --certificate-arn arn:aws:acm:region:account:\ certificate/certificate_ID\ --options CertificateTransparencyLoggingPreference=DISABLED
Allumez AWS CloudTrail
Activez la CloudTrail journalisation avant de commencer à utiliser ACM. CloudTrail vous permet de surveiller vos AWS déploiements en récupérant l'historique des appels d' AWS API pour votre compte, y compris les appels d'API effectués via la console de AWS gestion, les AWS SDK, Amazon Web Services et les AWS Command Line Interface niveaux supérieurs d'Amazon Web Services. Vous pouvez également identifier les utilisateurs et les comptes qui ont appelé les API ACM, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Vous pouvez CloudTrail intégrer des applications à l'aide de l'API, automatiser la création de traces pour votre organisation, vérifier l'état de vos pistes et contrôler la manière dont les administrateurs activent et désactivent la CloudTrail connexion. Pour plus d'informations, consultez Création d'un journal d’activité. Accédez à Utilisation CloudTrail avec AWS Certificate Manager pour consulter des exemples de journaux d'activité associés à des actions ACM.
