Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prepara i certificati in AWS Certificate Manager
Prima di configurare un nome di dominio personalizzato per unAPI, devi avere un TLS certificatoSSL/pronto in AWS Certificate Manager. Per ulteriori informazioni, consulta la Guida per l'utente AWS Certificate Manager.
Considerazioni
Di seguito sono riportate alcune considerazioni relative al tuo TLS certificato SSL /.
-
Se crei un nome di dominio personalizzato ottimizzato per i dispositivi edge, API Gateway lo sfrutta CloudFront per supportare i certificati per i nomi di dominio personalizzati. Pertanto, i requisiti e i vincoli di un nome SSL di dominio/certificato personalizzato sono dettati da. TLS CloudFront La dimensione massima della chiave pubblica è ad esempio di 2048, mentre la dimensione della chiave privata può essere di 1024, 2048 e 4096. La dimensione della chiave pubblica è determinata dall'autorità di certificazione usata. Chiedi all'autorità di certificazione di restituire chiavi di dimensioni diverse dalla lunghezza predefinita. Per ulteriori informazioni, consulta Accesso sicuro agli oggetti e Creazione di cookie firmati URLs e firmati.
-
Per utilizzare un ACM certificato con un nome di dominio personalizzato regionale, devi richiedere o importare il certificato nella stessa regione della tuaAPI. Il certificato deve essere firmato da un'autorità di certificazione attendibile pubblicamente e coprire il nome dominio personalizzato.
-
Per utilizzare un ACM certificato con un nome di dominio personalizzato ottimizzato per i dispositivi edge, devi richiedere o importare il certificato nella regione Stati Uniti orientali (Virginia settentrionale). us-east-1
-
È necessario disporre di un nome di dominio registrato, ad esempio. example.com
È possibile usare Amazon Route 53 o un registrar di dominio di terze parti accreditato. Per un elenco di tali registrar, consulta l'Accredited Registrar Directory sul sito web. ICANN
Per creare o importare un certificato/in SSL TLS ACM
Le seguenti procedure mostrano come creare o importare un TLS certificatoSSL/per un nome di dominio.
- To request a certificate provided by ACM for a domain name
-
-
Accedere alla console AWS Certificate Manager.
-
Scegliere Request a certificate (Richiedi un certificato).
-
Per Tipo di certificato, scegli Richiedi un certificato pubblico.
-
Seleziona Successivo.
-
Per Nome di dominio completo, inserisci un nome di dominio personalizzato perAPI, ad esempio,api.example.com
.
-
Facoltativamente, scegliere Add another name to this certificate (Aggiungi un altro nome a questo certificato).
Per Metodo di convalida, scegli un metodo per convalidare la proprietà del dominio.
-
Per Algoritmo chiave, scegli un algoritmo di crittografia.
-
Scegli Richiedi.
-
Affinché una richiesta sia valida, il proprietario registrato del dominio Internet deve acconsentire alla richiesta prima di ACM emettere il certificato. Se utilizzi Route 53 per gestire i tuoi DNS record pubblici, puoi aggiornarli direttamente tramite la ACM console.
- To import into ACM a
certificate for a domain name
-
Ottieni un TLS certificato PEM -encodedSSL/per il tuo nome di dominio personalizzato da un'autorità di certificazione. Per un elenco parziale di questiCAs, consulta la Mozilla Included CA List.
-
Genera una chiave privata per il certificato e salva l'output in un file, utilizzando il SSL toolkit Open sul sito web di OpenSSL:
openssl genrsa -out private-key-file
2048
-
Genera una richiesta di firma del certificato (CSR) con la chiave privata generata in precedenza, utilizzando OpenSSL:
openssl req -new -sha256 -key private-key-file
-out CSR-file
-
Invia il CSR file all'autorità di certificazione e salva il certificato risultante.
-
Scarica la catena di certificati dall'autorità di certificazione.
Se si ottiene la chiave privata in un altro modo e la chiave è crittografata, è possibile utilizzare il seguente comando per decrittografare la chiave prima di inviarla a API Gateway per la configurazione di un nome di dominio personalizzato.
openssl pkcs8 -topk8 -inform pem -in MyEncryptedKey.pem
-outform pem -nocrypt -out MyDecryptedKey.pem
-
Carica il certificato su: AWS Certificate Manager
-
Accedere alla console AWS Certificate Manager.
-
Seleziona Import a certificate (Importa un certificato).
-
Per Organismo del certificato, inserisci il corpo del certificato del server in PEM formato elettronico rilasciato dall'autorità di certificazione. Di seguito è illustrato un esempio abbreviato di tale certificato.
-----BEGIN CERTIFICATE-----
EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB
...
az8Cg1aicxLBQ7EaWIhhgEXAMPLE
-----END CERTIFICATE-----
-
Per la chiave privata del certificato, inserisci la chiave privata del certificato PEM -formatted. Di seguito è illustrato un esempio abbreviato di tale chiave.
-----BEGIN RSA PRIVATE KEY-----
EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO
...
1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE
-----END RSA PRIVATE KEY-----
-
Per Certificate chain, inserisci i certificati intermedi PEM -formatted e, facoltativamente, il certificato principale, uno dopo l'altro senza righe vuote. Se includi il certificato root, la catena di certificati deve iniziare con i certificati intermedi e terminare con il certificato root. Usa i certificati intermedi forniti dall'autorità di certificazione. Non includere intermediari non presenti nella catena del percorso di trust. Di seguito è illustrato un esempio abbreviato.
-----BEGIN CERTIFICATE-----
EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB
...
8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE
-----END CERTIFICATE-----
Ecco un altro esempio.
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Optional: Root certificate
-----END CERTIFICATE-----
-
Scegli Successivo e di nuovo Successivo.
Dopo che il certificato è stato creato o importato correttamente, prendi nota del certificato. ARN Sarà necessario in seguito per la configurazione del nome di dominio personalizzato.