Gerenciar certificados de servidor no IAM
Para habilitar conexões HTTPS para o seu site ou aplicativo na AWS você precisa de um certificado de servidor SSL/TLS. Para certificados em uma região compatível com o AWS Certificate Manager (ACM), recomendamos que você use o ACM para provisionar, gerenciar e implantar seus certificados de servidor. Nas regiões sem suporte, você deve usar o IAM como gerenciador de certificados. Para saber quais regiões são compatíveis com o ACM, consulte Cotas e endpoints do AWS Certificate Manager na Referência geral da AWS.
O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Com o ACM você pode solicitar um certificado ou implantar um ACM existente ou um certificado externo nos recursos da AWS. Os certificados fornecidos pelo ACM são gratuitos e são renovados automaticamente. Em uma região compatível, você pode usar o ACM para gerenciar certificados de servidor no console ou de forma programática. Para obter mais informações sobre o ACM, consulte o Guia do usuário do AWS Certificate Manager. Para obter mais informações sobre como solicitar um certificado do ACM, consulte Solicitar um certificado público ou Solicitar um certificado privado no Guia do usuário do AWS Certificate Manager. Para obter mais informações sobre a importação de certificados de terceiros para o ACM, consulte Importação de certificados no Manual do usuário do AWS Certificate Manager.
Use o IAM como um gerenciador de certificados apenas quando precisar oferecer suporte a conexões HTTPS em uma região que não é compatível com o ACM. O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificado SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você deve obter seu certificado de um provedor externo para usar com a AWS. Você não pode carregar um certificado do ACM no IAM. Além disso, não é possível gerenciar seus certificados do console do IAM.
Para obter mais informações sobre como carregar certificados de terceiros para o IAM, consulte os tópicos a seguir.
Índice
- Fazer upload de um certificado de servidor (API da AWS)
- Recuperar um certificado de servidor (API da AWS)
- Listar certificados de servidor (API da AWS)
- Marcar e desmarcar certificados de servidor (API da AWS)
- Renomear um certificado de servidor ou atualizar seu caminho (API da AWS)
- Excluir um certificado de servidor (API da AWS)
- Solução de problemas
Fazer upload de um certificado de servidor (API da AWS)
Para carregar um certificado de servidor para o IAM, você deve fornecer o certificado e sua chave privada correspondente. quando o certificado não for autoassinado, você também deverá fornecer uma cadeia de certificado. (Você não precisa de uma cadeia de certificado ao fazer upload de um certificado autoassinado.) Antes de fazer upload de um certificado, verifique se você tem todos estes itens e que atendem aos seguintes critérios:
-
O certificado deve ser válido no momento do upload. Você não pode fazer upload de um certificado antes de seu período de validade começar (a data
NotBeforedo certificado) ou após sua expiração (a dataNotAfterdo certificado). -
A chave privada deve ser não criptografada. Você não pode fazer upload de uma chave privada que seja protegida por uma senha ou código de acesso. Para ajudar a descriptografar uma chave privada criptografada, consulte Solução de problemas.
-
O certificado, a chave privada e a cadeia de certificação devem ser codificados em PEM. Para ajudar a converter esses itens no formato PEM, consulte Solução de problemas.
Para usar a API do IAM para carregar um certificado, envie uma solicitação UploadServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI)
-
O certificado codificado PEM está armazenado em um arquivo chamado
Certificate.pem. -
A cadeia do certificado codificado PEM está armazenada em um arquivo chamado
CertificateChain.pem. -
A chave privada não criptografada codificada PEM está armazenada em um arquivo chamado
PrivateKey.pem. -
(Opcional) Você deseja etiquetar o certificado do servidor com um par de chave-valor. Por exemplo, você pode adicionar a chave de tag
Departmente o valor de tagEngineeringpara ajudar a identificar e organizar seus certificados.
Para usar o comando de exemplo a seguir, substitua os nomes de arquivo pelos seus próprios. Substitua ExampleCertificate pelo nome do seu certificado carregado. Se quiser marcar o certificado, substitua o par de chave-valor das tags ExampleKey e ExampleValue por seus próprios valores. Digite o comando em uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras para facilitar a leitura.
aws iam upload-server-certificate --server-certificate-nameExampleCertificate--certificate-body file://Certificate.pem--certificate-chain file://CertificateChain.pem--private-key file://PrivateKey.pem--tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'
Quando o comando anterior for executado com êxito, ele retornará metadados sobre o certificado carregado, incluindo nome de recurso da Amazon (ARN), nome fácil, identificador (ID), data de expiração, tags etc.
nota
Se você estiver carregando um certificado de servidor para usar com o Amazon CloudFront, deverá especificar um caminho usando a opção --path. O caminho deve começar com /cloudfront e deve incluir uma barra no final (por exemplo, /cloudfront/test/).
Para usar o AWS Tools for Windows PowerShell para fazer upload de um certificado, use Publish-IAMServerCertificate.
Recuperar um certificado de servidor (API da AWS)
Para usar a API do IAM para recuperar um certificado, envie uma solicitação GetServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS CLI. Substitua ExampleCertificate pelo nome do certificado a ser recuperado.
aws iam get-server-certificate --server-certificate-nameExampleCertificate
Quando o comando anterior for executado com êxito, ele retornará o certificado, a cadeia de certificado (se foi carregado) e metadados sobre o certificado.
nota
Você não pode baixar nem recuperar uma chave privada do IAM depois de carregá-lo.
Para usar o AWS Tools for Windows PowerShell para recuperar um certificado, use Get-IAMServerCertificate.
Listar certificados de servidor (API da AWS)
Para usar a API do IAM para listar seus certificados de servidor carregados, envie uma solicitação ListServerCertificates. O exemplo a seguir mostra como fazer isso com a AWS CLI.
aws iam list-server-certificates
Quando o comando anterior for executado com êxito, ele retornará uma lista com metadados sobre cada certificado.
Para usar o AWS Tools for Windows PowerShell para listar seus certificados de servidor carregados, use Get-IAMServerCertificates.
Marcar e desmarcar certificados de servidor (API da AWS)
Você pode associar etiquetas aos seus recursos do IAM para organizar e controlar o acesso a eles. Para usar a API do IAM para etiquetar um certificado de servidor existente, envie uma solicitação TagServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS CLI.
aws iam tag-server-certificate --server-certificate-nameExampleCertificate--tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'
Quando o comando anterior for bem-sucedido, nenhuma saída será retornada.
Para usar a API do IAM para desetiquetar um certificado de servidor, envie uma solicitação UntagServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS CLI.
aws iam untag-server-certificate --server-certificate-nameExampleCertificate--tag-keysExampleKeyName
Quando o comando anterior for bem-sucedido, nenhuma saída será retornada.
Renomear um certificado de servidor ou atualizar seu caminho (API da AWS)
Para usar a API do IAM para renomear um certificado de servidor ou atualizar seu caminho, envie uma solicitação UpdateServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS CLI.
Para usar o exemplo de comando a seguir, substitua os nomes de certificados novo e antigo e o caminho do certificado e digite o comando em uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras para facilitar a leitura.
aws iam update-server-certificate --server-certificate-nameExampleCertificate--new-server-certificate-nameCloudFrontCertificate--new-path/cloudfront/
Quando o comando anterior for executado com êxito, ele não retornará nenhuma saída.
Para usar o AWS Tools for Windows PowerShell para renomear um certificado de servidor ou atualizar seu caminho, use Update-IAMServerCertificate.
Excluir um certificado de servidor (API da AWS)
Para usar a API do IAM para excluir um certificado de servidor, envie uma solicitação DeleteServerCertificate. O exemplo a seguir mostra como fazer isso com a AWS CLI.
Para usar o seguinte comando de exemplo, substitua ExampleCertificate pelo nome do certificado a ser excluído.
aws iam delete-server-certificate --server-certificate-nameExampleCertificate
Quando o comando anterior for executado com êxito, ele não retornará nenhuma saída.
Para usar o AWS Tools for Windows PowerShell para excluir um certificado de servidor, use Remove-IAMServerCertificate.
Solução de problemas
Antes de carregar um certificado para o IAM, você deve garantir que o certificado, a chave privada e a cadeia de certificados estejam todos codificados por PEM. Você também deve garantir que a chave privada não seja criptografada. Veja os exemplos a seguir.
exemplo Exemplo de certificado codificado em PEM
-----BEGIN CERTIFICATE-----Base64-encoded certificate-----END CERTIFICATE-----
exemplo Exemplo de chave privada não criptografada, codificada por PEM
-----BEGIN RSA PRIVATE KEY-----Base64-encoded private key-----END RSA PRIVATE KEY-----
exemplo Exemplo de cadeia de certificado codificado em PEM
Uma cadeia de certificados contém um ou mais certificados. Você pode usar um editor de texto, o comando copy no Windows ou o comando cat do Linux para concatenar os arquivos de certificado em uma cadeia. Quando você inclui vários certificados, cada certificado deve certificar o anterior. Você pode fazer isso concatenando os certificados, incluindo o certificado CA raiz por último.
O exemplo a seguir contém três certificados, mas sua cadeia de certificados pode conter mais ou menos certificados.
-----BEGIN CERTIFICATE-----Base64-encoded certificate-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Base64-encoded certificate-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Base64-encoded certificate-----END CERTIFICATE-----
Se esses itens não estiverem no formato correto para carregamento no IAM, você poderá usar OpenSSL
- Para converter um certificado ou uma cadeia de certificado de DER em PEM
-
Use o comando OpenSSL x509
como no exemplo a seguir. No exemplo a seguir, substitua o comando Certificate.derCertificate.pemopenssl x509 -inform DER -inCertificate.der-outform PEM -outCertificate.pem - Para converter uma chave privada de DER em PEM
-
Use o comando OpenSSL rsa
como no exemplo a seguir. No exemplo a seguir, substitua o comando PrivateKey.derPrivateKey.pemopenssl rsa -inform DER -inPrivateKey.der-outform PEM -outPrivateKey.pem - Para descriptografar uma chave privada criptografada (remover a senha ou a frase secreta)
-
Use o comando OpenSSL rsa
como no exemplo a seguir. Para usar o exemplo de comando a seguir, substitua EncryptedPrivateKey.pemPrivateKey.pemopenssl rsa -inEncryptedPrivateKey.pem-outPrivateKey.pem - Para converter um pacote de certificado de PKCS#12 (PFX) em PEM
-
Use o comando OpenSSL pkcs12
como no exemplo a seguir. No exemplo a seguir, substitua o comando CertificateBundle.p12CertificateBundle.pemopenssl pkcs12 -inCertificateBundle.p12-outCertificateBundle.pem-nodes - Para converter um pacote de certificado de PKCS#7 em PEM
-
Use o comando OpenSSL pkcs7
como no exemplo a seguir. No exemplo a seguir, substitua o comando CertificateBundle.p7bCertificateBundle.pemopenssl pkcs7 -inCertificateBundle.p7b-print_certs -outCertificateBundle.pem
