Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Préparez les certificats AWS Certificate Manager

RSS
Mode de mise au point
Préparez les certificats AWS Certificate Manager - Amazon API Gateway
ConsidérationsPour créer ou importer un certificat SSL/TLS dans ACM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Avant de configurer un nom de domaine personnalisé pour une API, vous devez préparer un certificat SSL/TLS dans AWS Certificate Manager. Pour plus d’informations, consultez le AWS Certificate Manager Guide de l’utilisateur .

Considérations

Voici quelques points à prendre en compte pour votre certificat SSL/TLS.

  • Si vous créez un nom de domaine personnalisé optimisé pour les périphériques, API Gateway s'en sert pour prendre en charge les CloudFront certificats pour les noms de domaine personnalisés. De ce fait, les exigences et contraintes d'un certificat SSL/TLS de nom de domaine personnalisé sont dictées par CloudFront. Par exemple, la taille maximale de la clé publique est 2 048 bits et la taille de la clé privée peut être 1 024, 2 048 ou 4 096 bits. La taille de la clé publique est déterminée par l’autorité de certification (CA) que vous utilisez. Demandez à votre autorité de certification de renvoyer des clés d’une taille différente de la longueur par défaut. Pour plus d'informations, consultez les sections Accès sécurisé à vos objets et Création de cookies signés URLs et signés.

  • Pour utiliser un certificat ACM avec un nom de domaine personnalisé régional, vous devez demander ou importer le certificat dans la même région que votre API. Le certificat doit être signé par une autorité de certification approuvée publiquement et couvrir le nom de domaine personnalisé.

  • Pour utiliser un certificat ACM avec un nom de domaine personnalisé optimisé pour la périphérie, vous devez demander ou importer le certificat dans la région us-east-1 – USA Est (Virginie du Nord).

  • Vous devez disposer d’un nom de domaine enregistré, par exemple example.com. Vous pouvez utiliser Amazon Route 53 ou un bureau d’enregistrement accrédité tiers. Pour une liste de ces bureaux, consultez la page Accredited Registrar Directory sur le site Web de l’ICANN.

Pour créer ou importer un certificat SSL/TLS dans ACM

La procédure suivante explique comment créer ou importer un certificat SSL/TLS pour un nom de domaine.

To request a certificate provided by ACM for a domain name

  1. Connectez-vous à la console AWS Certificate Manager.

  2. Choisissez Request a certificate.

  3. Pour Type de certificat, choisissez Demander un certificat public.

  4. Choisissez Suivant.

  5. Pour Nom de domaine complet, saisissez un nom de domaine personnalisé pour votre API, par exemple, api.example.com.

  6. Vous pouvez également choisir Ajouter un autre nom à ce certificat.

  7. Pour Méthode de validation, choisissez une méthode pour valider la propriété du domaine.

  8. Pour Algorithme de la clé, choisissez un algorithme de chiffrement.

  9. Choisissez Request (Demander).

  10. Pour que la demande soit valide et qu’ACM puisse émettre le certificat, le propriétaire inscrit du domaine Internet doit préalablement approuver cette demande. Si vous utilisez Route 53 pour gérer vos enregistrements DNS publics, vous pouvez mettre à jour vos enregistrements directement via la console ACM.

To import into ACM a certificate for a domain name

  1. Obtenez un certificat SSL/TLS codé en PEM pour votre nom de domaine personnalisé auprès d’une autorité de certification. Pour une liste partielle de ces entités CAs, consultez la liste des CA incluses par Mozilla.

    1. Générez une clé privée pour le certificat et enregistrez la sortie dans un fichier en utilisant la boîte à outils OpenSSL sur le site Web OpenSSL :

      openssl genrsa -out private-key-file 2048

    2. Générez une demande de signature de certificat (CSR) avec la clé privée générée précédemment, à l’aide d’OpenSSL :

      openssl req -new -sha256 -key private-key-file -out CSR-file

    3. Envoyez cette CSR à l’autorité de certification et enregistrez le certificat obtenu.

    4. Téléchargez la chaîne de certificats de l’autorité de certification.

    Note

    Si vous obtenez la clé privée d’une autre manière et que cette clé est chiffrée, vous pouvez utiliser la commande suivante pour déchiffrer la clé avant de l’envoyer à API Gateway pour configurer un nom de domaine personnalisé. 

    openssl pkcs8 -topk8 -inform pem -in MyEncryptedKey.pem -outform pem -nocrypt -out MyDecryptedKey.pem

  2. Téléchargez le certificat sur AWS Certificate Manager :

    1. Connectez-vous à la console AWS Certificate Manager.

    2. Choisissez Import a certificate.

    3. Dans le champ Corps du certificat, saisissez le corps du certificat de serveur au format PEM de votre autorité de certification. Voici un exemple de certificat abrégé :

      -----BEGIN CERTIFICATE-----
EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB
...
az8Cg1aicxLBQ7EaWIhhgEXAMPLE
-----END CERTIFICATE-----

    4. Pour Clé privée du certificat, saisissez la clé privée de votre certificat au format PEM. Voici un exemple de clé abrégé : 

      -----BEGIN RSA PRIVATE KEY-----
EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO
...
1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE
-----END RSA PRIVATE KEY-----

    5. Pour Chaîne de certificats, saisissez les certificats intermédiaires au format PEM et, éventuellement, le certificat racine, l’un après l’autre sans ligne vide. Si vous incluez le certificat racine, votre chaîne de certificats doit commencer par les certificats intermédiaires et se terminer par le certificat racine. Utilisez les certificats intermédiaires fournis par l’autorité de certification. N’incluez aucun certificat intermédiaire non approuvé. Voici un exemple abrégé : 

      -----BEGIN CERTIFICATE-----
EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB
...
8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE
-----END CERTIFICATE-----

      Voici un autre exemple :

      -----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Optional: Root certificate
-----END CERTIFICATE-----

    6. Choisissez Suivant, puis Suivant.

anchoranchor

  1. Connectez-vous à la console AWS Certificate Manager.

  2. Choisissez Request a certificate.

  3. Pour Type de certificat, choisissez Demander un certificat public.

  4. Choisissez Suivant.

  5. Pour Nom de domaine complet, saisissez un nom de domaine personnalisé pour votre API, par exemple, api.example.com.

  6. Vous pouvez également choisir Ajouter un autre nom à ce certificat.

  7. Pour Méthode de validation, choisissez une méthode pour valider la propriété du domaine.

  8. Pour Algorithme de la clé, choisissez un algorithme de chiffrement.

  9. Choisissez Request (Demander).

  10. Pour que la demande soit valide et qu’ACM puisse émettre le certificat, le propriétaire inscrit du domaine Internet doit préalablement approuver cette demande. Si vous utilisez Route 53 pour gérer vos enregistrements DNS publics, vous pouvez mettre à jour vos enregistrements directement via la console ACM.

Une fois que le certificat a été créé ou importé, notez son ARN. Vous en aurez besoin pour configurer le nom de domaine personnalisé.

Sur cette page

Related resources

Amazon API Gateway Référence d'API
AWS CLI commandes pour Amazon API Gateway
SDKs et outils 

Related resources

Amazon API Gateway Référence d'API
AWS CLI commandes pour Amazon API Gateway
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.