Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Préparation des certificats dans AWS Certificate Manager
Avant de configurer un nom de domaine personnalisé pour une API, vous devez préparer un certificat SSL/TLS dans AWS Certificate Manager. Les étapes suivantes expliquent comment procéder. Pour de plus amples informations, veuillez consulter le Guide de l'utilisateur AWS Certificate Manager.
Note
Pour utiliser un certificat ACM avec un nom de domaine personnalisé optimisé pour la périphérie API Gateway, vous devez demander ou importer le certificat dans la région us-east-1 (USA Est (Virginie du Nord)). Pour un nom de domaine personnalisé régional API Gateway, vous devez demander ou importer le certificat dans la même région que votre API. Le certificat doit être signé par une autorité de certification approuvée publiquement et couvrir le nom de domaine personnalisé.
Commencez par enregistrer votre domaine Internet, par exemple, example.com
Pour créer ou importer dans ACM un certificat SSL/TLS pour un nom de domaine, exécutez l'une des actions suivantes :
Pour demander un certificat fourni par ACM pour un nom de domaine
-
Connectez-vous à la console AWS Certificate Manager
. -
Choisissez Request a certificate.
-
Dans Domain name (Nom de domaine), entrez un nom de domaine personnalisé pour votre API, par exemple,
api.example.com. -
Le cas échéant, choisissez Add another name to this certificate.
-
Choisissez Review and request.
-
Choisissez Confirm and request.
-
Pour que la demande soit valide et quACM puisse émettre le certificat, le propriétaire inscrit du domaine Internet doit préalablement approuver cette demande.
Importation d'un certificat dans ACM pour un nom de domaine
-
Obtenez un certificat SSL/TLS codé en PEM pour votre nom de domaine personnalisé auprès d'une autorité de certification. Pour obtenir une liste partielle de ces autorités de certification, consultez la Liste de certificats CA inclus dans Mozilla
-
Générez une clé privée pour le certificat et enregistrez la sortie dans un fichier en utilisant la boîte à outils OpenSSL
sur le site Web OpenSSL : openssl genrsa -outprivate-key-file2048Note
Amazon API Gateway utilise Amazon CloudFront pour prendre en charge les certificats pour les noms de domaine personnalisés. De ce fait, les exigences et contraintes d'un certificat SSL/TLS de nom de domaine personnalisé sont dictées par CloudFront. Par exemple, la taille maximale de la clé publique est 2 048 bits et la taille de la clé privée peut être 1 024, 2 048 ou 4 096 bits. La taille de la clé publique est déterminée par l'autorité de certification (CA) que vous utilisez. Demandez à votre autorité de certification de renvoyer des clés d'une taille différente de la longueur par défaut. Pour de plus amples informations, veuillez consulter Sécurisation de l'accès à vos objets et Création d'URL signées et de cookies signés.
-
Générez une demande de signature de certificat (CSR) avec la clé privée générée précédemment, à l'aide d'OpenSSL :
openssl req -new -sha256 -keyprivate-key-file-outCSR-file -
Envoyez cette CSR à l'autorité de certification et enregistrez le certificat obtenu.
-
Téléchargez la chaîne de certificats de l'autorité de certification.
Note
Si vous obtenez la clé privée d'une autre manière et que cette clé est chiffrée, vous pouvez utiliser la commande suivante pour déchiffrer la clé avant de l'envoyer à API Gateway pour configurer un nom de domaine personnalisé.
openssl pkcs8 -topk8 -inform pem -inMyEncryptedKey.pem-outform pem -nocrypt -outMyDecryptedKey.pem -
-
Chargez le certificat sur AWS Certificate Manager:
-
Connectez-vous à la console AWS Certificate Manager
. -
Choisissez Import a certificate.
-
Dans le champ Certificate body (Corps du certificat), saisissez ou collez le corps du certificat de serveur au format PEM de votre autorité de certification. Voici un exemple de certificat abrégé :
-----BEGIN CERTIFICATE----- EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB ... az8Cg1aicxLBQ7EaWIhhgEXAMPLE -----END CERTIFICATE----- -
Dans le champ Certificate private key (Clé privée de certificat), saisissez ou collez la clé privée de votre certificat au format PEM. Voici un exemple de clé abrégé :
-----BEGIN RSA PRIVATE KEY----- EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO ... 1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE -----END RSA PRIVATE KEY----- -
Dans le champ Certificate chain (Chaîne de certificats), saisissez ou collez les certificats intermédiaires au format PEM et, le cas échéant, le certificat racine, l'un après l'autre sans ligne vide. Si vous incluez le certificat racine, votre chaîne de certificats doit commencer par les certificats intermédiaires et se terminer par le certificat racine. Utilisez les certificats intermédiaires fournis par l'autorité de certification. N'incluez aucun certificat intermédiaire non approuvé. Voici un exemple abrégé :
-----BEGIN CERTIFICATE----- EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB ... 8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE -----END CERTIFICATE-----Voici un autre exemple :
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Optional: Root certificate-----END CERTIFICATE----- -
Choisissez Review and import.
-
Une fois que le certificat a été créé ou importé, notez son ARN. Vous en aurez besoin pour configurer le nom de domaine personnalisé.
