VPC Lattice 自带证书(BYOC) - Amazon VPC Lattice

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC Lattice 自带证书(BYOC)

要提供 HTTPS 请求,在设置自定义域名之前,您必须在 AWS Certificate Manager (ACM)中准备好自己的 SSL/TLS 证书。这些证书必须具有与服务的自定义域名匹配的使用者备用名称(SAN),或公用名称(CN)。如果 SAN 存在,我们仅检查 SAN 列表中的匹配项。如果 SAN 不存在,则会检查 CN 中的匹配项。

VPC Lattice 使用服务器名称指示(SNI)提供 HTTPS 请求。DNS 会根据自定义域名和与该域名匹配的证书,将 HTTPS 请求路由到您的 VPC Lattice 服务。要在 ACM 中为域名请求 SSL/TLS 证书或将证书导入到 ACM,请参阅《AWS Certificate Manager 用户指南》中的颁发和管理证书以及导入证书。如果无法在 ACM 中请求或导入自己的证书,请使用 VPC Lattice 生成的域名和证书。

VPC Lattice 每项服务仅接受一个自定义证书。但是,您可以将自定义证书用于多个自定义域。这意味着您可以为使用自定义域名创建的所有 VPC Lattice 服务使用相同的证书。

要使用 ACM 控制台查看证书,请打开证书,然后选择证书 ID。您会在关联资源下看到与该证书关联的 VPC Lattice 服务。

限制和注意事项
  • VPC Lattice 允许在关联证书的使用者备用名称(SAN),或公用名称(CN)中进行深一级的通配符匹配。例如,如果您使用自定义域名 parking.example.com 创建服务,并将自己的证书与 SAN *.example.com 关联。当 parking.example.com 收到请求时,VPC Lattice 会将 SAN 与具有 apex 域 example.com 的任何域名匹配。但是,如果您拥有自定义域 parking.different.example.com,并且您的证书具有 SAN *.example.com,则请求将失败。

  • VPC Lattice 支持一级通配符域匹配。这意味着通配符只能用作一级子域,并且只能保护一个子域级别。例如,如果证书的 SAN 是 *.example.com,则不支持 parking.*.example.com

  • VPC Lattice 支持每个域名一个通配符。这意味着 *.*.example.com 是无效的。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的请求公有证书

  • VPC Lattice 仅支持使用 2048 位 RSA 密钥的证书。

  • ACM 中的 SSL/TLS 证书必须与您要关联的 VPC Lattice 服务位于同一区域。

保护证书私有密钥

当您使用 ACM 请求 SSL/TLS 证书时,ACM 会生成一个公有/私有密钥对。导入证书时,将生成密钥对。公有密钥将成为证书的一部分。为了安全地存储私钥,ACM 使用 AWS KMS别名 a w s/acm 创建了另一个名为 KMS 密钥的密钥。 AWS KMS 使用此密钥来加密证书的私钥。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的 AWS Certificate Manager中的数据保护

VPC AWS Lattice使用TLS连接管理器(一项只能访问的服务)来保护和使用您的证书的私钥。 AWS 服务当您使用 ACM 证书创建 VPC 莱迪思服务时,VPC Lattice 会将您的证书与 AWS TLS 连接管理器相关联。为此,我们会 AWS KMS 根据您的 AWS 托管密钥创建授权。此授权允许 TLS 连接管理器 AWS KMS 用于解密证书的私钥。TLS Connection Manager 使用证书和解密(明文)私有密钥,与 VPC Lattice 服务的客户端建立安全连接(SSL/TLS 会话)。当证书与 VPC Lattice 服务取消关联时,该授权就会失效。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的授权

有关更多信息,请参阅静态加密