Obter certificados prontos no AWS Certificate Manager - Amazon API Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Obter certificados prontos no AWS Certificate Manager

Antes de configurar um nome de domínio personalizado para uma API, você deve ter um certificado SSL/TLS pronto no AWS Certificate Manager. As etapas a seguir descrevem como fazer isso. Para obter mais informações, consulte o Guia do usuário do AWS Certificate Manager.

nota

Para usar um certificado do ACM com um nome de domínio personalizado otimizado para bordas do API Gateway, você deve solicitar ou importar o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1). Para um nome de domínio personalizado regional do API Gateway, você deve solicitar ou importar o certificado na mesma região da sua API. O certificado deve ser assinado por uma autoridade de certificação publicamente confiável e abranger o nome de domínio personalizado.

Primeiro, registre o domínio de Internet, por exemplo, example.com. Você pode usar o Amazon Route 53 ou um registrador de domínios credenciado de terceiros. Para obter uma lista de registradores, consulte o Diretório de registradores acreditados no site da ICANN.

Para criar ou importar um certificado SSL/TLS para o ACM para um nome de domínio, siga um destes procedimentos:

Como solicitar um certificado fornecido pelo ACM para um nome de domínio
  1. Faça login no console do AWS Certificate Manager.

  2. Selecione Request a certificate.

  3. Insira um nome de domínio personalizado para a API, por exemplo api.example.com, em Domain name (Nome de domínio).

  4. Opcionalmente, escolha Add another name to this certificate.

  5. Escolha Review and request.

  6. Escolha Confirm and request.

  7. Para uma solicitação válida, um proprietário registrado do domínio da Internet deve concordar com a solicitação antes que o ACM emita o certificado.

Como importar um certificado para um nome de domínio no ACM
  1. Obtenha um certificado SSL/TLS codificado em PEM para seu nome de domínio personalizado de uma autoridade de certificação (CA). Para obter uma lista parcial desses CAs, consulte a Lista de CAs incluídas no Mozilla

    1. Gere uma chave privada para o certificado e salve a saída em um arquivo usando o toolkit OpenSSL no site da OpenSSL:

      openssl genrsa -out private-key-file 2048
      nota

      O Amazon API Gateway utiliza o Amazon CloudFront para oferecer suporte a certificados para nomes de domínio personalizados. Como tal, os requisitos e as restrições de um certificado SSL/TLS de nome de domínio personalizado são determinados pelo CloudFront. Por exemplo, o tamanho máximo da chave pública é 2048, e o tamanho da chave privada pode ser de 1024, 2048 e 4096. O tamanho da chave pública é determinado pela autoridade de certificação que você utiliza. Peça à sua autoridade de certificação que retorne chaves de um tamanho diferente do comprimento padrão. Para obter mais informações, consulte Acesso seguro aos seus objetos e Criar URLs e cookies assinados.

    2. Gere uma solicitação de assinatura de certificado (CSR) com a chave privada gerada anteriormente, usando o OpenSSL:

      openssl req -new -sha256 -key private-key-file -out CSR-file
    3. Envie a CSR para a autoridade de certificação e salve o certificado resultante.

    4. Baixe a cadeia de certificados da autoridade de certificação.

    nota

    Se você obtiver a chave privada de outra maneira e a chave estiver criptografada, poderá usar o seguinte comando para descriptografar a chave antes de enviá-la ao API Gateway para a configuração de um nome de domínio personalizado.

    openssl pkcs8 -topk8 -inform pem -in MyEncryptedKey.pem -outform pem -nocrypt -out MyDecryptedKey.pem
  2. Carregue o certificado para o AWS Certificate Manager:

    1. Faça login no console do AWS Certificate Manager.

    2. Selecione Importar um certificado.

    3. Em Certificate body (Corpo do certificado), digite ou cole o corpo do certificado de servidor no formato PEM da autoridade de certificação. Veja a seguir um exemplo abreviado desse tipo de certificado.

      -----BEGIN CERTIFICATE----- EXAMPLECA+KgAwIBAgIQJ1XxJ8Pl++gOfQtj0IBoqDANBgkqhkiG9w0BAQUFADBB ... az8Cg1aicxLBQ7EaWIhhgEXAMPLE -----END CERTIFICATE-----
    4. Em Certificate private key (Chave privada do certificado), digite ou cole a chave privada do certificado no formato PEM. Veja a seguir um exemplo abreviado desse tipo de chave.

      -----BEGIN RSA PRIVATE KEY----- EXAMPLEBAAKCAQEA2Qb3LDHD7StY7Wj6U2/opV6Xu37qUCCkeDWhwpZMYJ9/nETO ... 1qGvJ3u04vdnzaYN5WoyN5LFckrlA71+CszD1CGSqbVDWEXAMPLE -----END RSA PRIVATE KEY-----
    5. Em Certificate chain (Cadeia de certificados), digite ou cole os certificados intermediários no formato PEM e, opcionalmente, o certificado raiz, um após o outro, sem linhas em branco. Se você incluir o certificado raiz, sua cadeia de certificados deverá começar com certificados intermediários e terminar com o certificado raiz. Use os certificados intermediários fornecidos pela sua autoridade de certificação. Não inclua intermediários que não estejam no caminho da cadeia de confiança. O seguinte mostra um exemplo abreviado.

      -----BEGIN CERTIFICATE----- EXAMPLECA4ugAwIBAgIQWrYdrB5NogYUx1U9Pamy3DANBgkqhkiG9w0BAQUFADCB ... 8/ifBlIK3se2e4/hEfcEejX/arxbx1BJCHBvlEPNnsdw8EXAMPLE -----END CERTIFICATE-----

      Aqui está outro exemplo.

      -----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Optional: Root certificate -----END CERTIFICATE-----
    6. Selecione Revisar e importar.

Depois que o certificado for criado ou importado com êxito, anote o ARN desse certificado. Você precisa dele ao configurar o nome de domínio personalizado.