Best practice

Le best practice sono consigli che possono aiutarti a utilizzare AWS Certificate Manager (AWS Certificate Manager) in modo più efficace. Le seguenti best practice sono basate sull'esperienza pratica dei clienti ACM attuali.

AWS CloudFormation

Con AWS CloudFormation puoi creare un modello che descriva le AWS risorse che desideri utilizzare. AWS CloudFormation quindi effettua il provisioning e configura tali risorse per te. AWS CloudFormation può fornire risorse supportate da ACM come Elastic Load Balancing, Amazon e CloudFront Amazon API Gateway. Per ulteriori informazioni, consulta Servizi integrati con AWS Certificate Manager.

Se lo utilizzi AWS CloudFormation per creare ed eliminare rapidamente più ambienti di test, ti consigliamo di non creare un certificato ACM separato per ogni ambiente. In questo modo il limite di certificato si esaurirà in breve tempo. Per ulteriori informazioni, consulta Quote. Al contrario, è necessario creare un certificato jolly che copra tutti i nomi di dominio utilizzati per il test. Ad esempio, se si creano ripetutamente certificati ACM per nomi di dominio che hanno una variazione solo nel numero della versione, come <version>.service.example.com, creare invece un singolo certificato jolly per <*>.service.example.com. Includi il certificato wildcard nel modello AWS CloudFormation utilizzato per creare il tuo ambiente di test.

Associazione dei certificati

Il processo di associazione del certificato, conosciuto anche come associazione del SSl, può essere utilizzato nella propria applicazione per convalidare un host remoto, associando tale host direttamente con il suo certificato X.509 o con una chiave di accesso pubblica anziché con una gerarchia di certificato. L'applicazione quindi utilizza l'associazione per bypassare la convalida della catena di certificato SSL/TLS. Il processo di convalida di un SSL tipico verifica le firme in tutta la catena di certificato dall'autorità di certificazione (CA) della root tramite il certificato CA subordinato eventuale. Verifica inoltre il certificato per l'host remoto in fondo alla gerarchia. L'applicazione può invece bloccare il certificato per l'host remoto dicendo che solo quel certificato è attendibile, non il certificato root né tantomeno altri certificati nella catena. È possibile aggiungere il certificato dell'host remoto o la chiave di accesso pubblica per l'applicazione durante la fase di sviluppo. In alternativa, l'applicazione è in grado di aggiungere il certificato o la chiave di accesso quando si connette al primo host.

avvertimento

È consigliabile che l'applicazione non associ un certificato ACM. ACM esegue Rinnovo gestito per i certificati ACM per rinnovare automaticamente i certificati SSL/TLS emessi da Amazon prima della loro scadenza. Per rinnovare un certificato, ACM genera una nuova coppia di chiavi di accesso pubblica-privata. Se l'applicazione associa il certificato ACM e il certificato viene rinnovato correttamente con una nuova chiave di accesso pubblica, l'applicazione potrebbe non essere in grado di stabilire una connessione con il dominio.

Se decidi di associare un certificato, le seguenti opzioni non ostacoleranno l'applicazione nella connessione al tuo dominio:

• Importa il tuo certificato in ACM, quindi associa l'applicazione al certificato importato. ACM non prova a rinnovare automaticamente i certificati importati.

• Se stai utilizzando un certificato pubblico, aggiungi la tua applicazione a tutti i certificati root Amazon disponibili. Se stai utilizzando un certificato privato, aggiungi la tua applicazione a un certificato root CA.

Convalida del dominio

Prima che l'autorità di certificazione Amazon (CA) possa emettere un certificato per il tuo sito, AWS Certificate Manager (ACM) deve verificare che tu possieda o controlli tutti i domini che hai specificato nella richiesta. È possibile eseguire la verifica tramite e-mail o DNS. Per ulteriori informazioni, consultare Convalida DNS e Convalida e-mail.

Aggiunta o eliminazione di nomi di dominio

Non è possibile aggiungere né rimuovere i nomi di dominio da un certificato ACM esistente. Invece è necessario richiedere un nuovo certificato con l'elenco rivisto dei nomi di dominio. Ad esempio, se il certificato ha cinque nomi di dominio e si desidera aggiungerne altri quattro, è necessario richiedere un nuovo certificato con tutti i nove nomi di dominio. Così come per qualsiasi nuovo certificato, è necessario convalidare la proprietà di tutti i nomi di dominio nella richiesta, inclusi i nomi precedentemente convalidati per il certificato originale.

Se utilizzi la convalida e-mail, riceverai fino a 8 messaggi e-mail di convalida per ogni dominio, almeno 1 dei quali deve essere coinvolto entro 72 ore. Ad esempio, quando si richiede un certificato con cinque nomi di dominio, si riceveranno fino a 40 messaggi di convalida, almeno 5 dei quali dovranno essere coinvolti entro 72 ore. All'aumentare del numero di nomi di dominio nella richiesta di certificato, aumenterà anche il lavoro necessario per l'utilizzo di e-mail per convalidare la proprietà del dominio.

Se utilizzi la convalida del DNS invece, è necessario scrivere un nuovo record DNS al database per l'FQDN da convalidare. ACM invia il registro per creare e per richiedere in un secondo momento il database per determinare se il registro è stato aggiunto. L'aggiunta del record conferma che controlli il dominio e che questo ti appartiene. In questo esempio, se si richiede un certificato con cinque nomi di dominio, è necessario creare cinque record DNS. È consigliabile utilizzare la convalida del DNS quando possibile.

Annullamento della registrazione della trasparenza del certificato.

Importante

Indipendentemente dalle operazioni eseguite per annullare la registrazione della trasparenza del certificato, quest'ultimo potrebbe comunque essere annullato da qualsiasi client o singolo dotato di accesso a endpoint pubblici o privati a cui si vincola il certificato. Tuttavia, il certificato non conterrà una marca temporale di certificato firmato (Signed Certificate Timestamp, SCT). Solo la CA emittente è in grado di incorporare un SCT in un certificato.

A partire dal 30 aprile 2018, Google Chrome interromperà la concessione di fiducia ai certificati SSL/TLS pubblici che non verranno registrati in un registro di trasparenza del certificato. Pertanto, a partire dal 24 aprile 2018, la CA di Amazon inizierà a pubblicare tutti i nuovi certificati e i rinnovi per almeno due log pubblici. Una volta che un certificato è stato registrato, non può essere rimosso. Per ulteriori informazioni, consulta Registrazione della trasparenza del certificato.

La registrazione viene eseguita automaticamente quando si richiede un certificato o quando un certificato viene rinnovato, ma è possibile scegliere di annullarlo. I motivi più comuni per l'annullamento sono legati alla sicurezza e alla privacy. Ad esempio, la registrazione di nomi di dominio di un host interno offre ai potenziali aggressori informazioni relative alle reti interne che altrimenti non sarebbero pubbliche. Inoltre, la registrazione potrebbe perdere i nomi di prodotti e siti Web nuovi o non ancora rilasciati.

Per disattivare la registrazione in trasparenza quando richiedi un certificato, utilizza il options parametro del comando request-certificate o l'operazione API AWS CLI . RequestCertificate Se il certificato è stato emesso prima del 24 aprile 2018 e vuoi assicurarti che non venga registrato durante il rinnovo, puoi utilizzare il update-certificate-optionscomando o l'operazione UpdateCertificateOptionsAPI per disattivarlo.

Limitazioni

• Non puoi utilizzare la console per abilitare o disabilitare la registrazione della trasparenza.

• Non è possibile modificare lo stato di registrazione dopo che un certificato ha immesso il periodo di rinnovo, in genere 60 giorni prima della scadenza del certificato. Se una modifica dello stato non riesce, non viene generato alcun messaggio di errore.

Una volta che un certificato è stato registrato, non può essere rimosso dal log. A quel punto l'annullamento non avrà alcun effetto. Se si annulla la registrazione al momento della richiesta del certificato e si sceglie poi di ripristinarlo, il certificato non sarà registrato fino al suo rinnovo. Se si desidera che il certificato venga registrato subito, è preferibile emetterne uno nuovo.

L'esempio seguente mostra come utilizzare il comando request-certificate per disabilitare la trasparenza di certificato al momento della richiesta di un nuovo certificato.

aws acm request-certificate \
--domain-name www.example.com \
--validation-method DNS \
--options CertificateTransparencyLoggingPreference=DISABLED \

Il comando precedente emette l'ARN del nuovo certificato.

{
    "CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID"
}

Se disponi già di un certificato e non desideri che venga registrato al momento del rinnovo, usa il update-certificate-optionscomando. Il comando non restituisce un valore.

aws acm update-certificate-options \
--certificate-arn arn:aws:acm:region:account:\
certificate/certificate_ID \
--options CertificateTransparencyLoggingPreference=DISABLED

Attiva AWS CloudTrail

Attiva CloudTrail la registrazione prima di iniziare a utilizzare ACM. CloudTrail ti consente di monitorare le tue AWS implementazioni recuperando una cronologia delle chiamate AWS API per il tuo account, incluse le chiamate API effettuate tramite la Console di AWS gestione, gli AWS SDK e Amazon Web Services di livello superiore. AWS Command Line InterfaceÈ anche possibile inoltre identificare quali utenti e quali account hanno chiamato le API ACM, da quale indirizzo IP di origine sono state effettuate le chiamate e quando sono avvenute. Puoi integrarti CloudTrail nelle applicazioni utilizzando l'API, automatizzare la creazione di percorsi per la tua organizzazione, controllare lo stato dei percorsi e controllare come gli amministratori attivano e disattivano l'accesso. CloudTrail Per ulteriori informazioni, consultare l'articolo relativo alla Creazione di un trail. Visita Utilizzo con CloudTrail AWS Certificate Manager per visualizzare i trail di esempio per le operazioni ACM.