為 VPC 格子攜帶您自己的憑證 (BYOC)

若要提供 HTTPS 要求，您必須在 AWS Certificate Manager (ACM) 中準備好自己的 SSL/TLS 憑證，然後才能設定自訂網域名稱。這些憑證必須具有與服務之自訂網域名稱相符的主體替代名稱 (SAN) 或一般名稱 (CN)。如果 SAN 存在，我們只會在 SAN 清單中檢查相符項目。如果 SAN 不存在，我們會檢查 CN 中的匹配項。

VPC 格子會使用伺服器名稱指示 (SNI) 來提供 HTTPS 要求。DNS 會根據自訂網域名稱和與此網域名稱相符的憑證，將 HTTPS 要求路由傳送至您的 VPC Lady 服務。若要在 ACM 中為網域名稱申請 SSL/TLS 憑證，或將憑證匯入 ACM，請參閱使用者指南中的發行與管理憑證和匯入憑證。AWS Certificate Manager 如果您無法在 ACM 中請求或導入您自己的證書，請使用 VPC 萊迪斯生成的域名和證書。

VPC 萊迪思每個服務只接受一個自訂憑證。不過，您可以將自訂憑證用於多個自訂網域。這表示您可以針對使用自訂網域名稱建立的所有 VPC 萊迪思服務使用相同的憑證。

若要使用 ACM 主控台檢視憑證，請開啟「憑證」，然後選取您的憑證 ID。您應該會在 [關聯的資源] 下看到與該憑證相關聯的 VPC 萊迪思服務。

限制及考量

• VPC 格子允許萬用字元比對相關憑證的主體替代名稱 (SAN) 或一般名稱 (CN) 深一層。例如，如果您使用自訂網域名稱建立服務，parking.example.com並將自己的憑證與 SAN 建立關聯*.example.com。當要求傳入時parking.example.com，VPC 萊迪斯會將 SAN 與具有頂點網域的任何網域名稱相符。example.com不過，如果您有自訂網域，parking.different.example.com且憑證具有 SAN*.example.com，則要求會失敗。

• VPC 格子支援一個萬用字元網域比對等級。這表示萬用字元只能用作第一層子網域，而且只能保護一個子網域層級。例如，如果您的憑證的 SAN 是*.example.com，則parking.*.example.com不受支援。

• VPC 萊迪思每個網域名稱支援一個萬用字元。這意味著這*.*.example.com是無效的。如需詳細資訊，請參閱AWS Certificate Manager 使用者指南中的要求公用憑證。

• VPC 晶格僅支援具有 2048 位元 RSA 金鑰的憑證。

• ACM 中的 SSL/TLS 憑證必須與您關聯的 VPC 格子服務位於相同的區域。

保護您憑證的私密金鑰

當您使用 ACM 要求 SSL/TLS 憑證時，ACM 會產生公開/私密 key pair。匯入憑證時，您會產生 key pair。公有金鑰會成為憑證的一部分。為了安全地儲存私密金鑰，ACM 會使用 AWS KMS別名為 aw s/acm 的 KMS 金鑰建立另一個金鑰。 AWS KMS 使用此金鑰來加密憑證的私密金鑰。如需詳細資訊，請參閱《AWS Certificate Manager 使用指南》AWS Certificate Manager中的〈資料保護〉。

VPC 萊迪思使用 AWS TLS 連線管理員，這是一項僅供存取的服務來保護和使用憑證的私密金鑰。 AWS 服務當您使用 ACM 憑證建立 VPC 萊迪思服務時，VPC Lady 會將您的憑證與 AWS TLS 連線管理員建立關聯。我們透過 AWS KMS 針對您的 AWS 託管金鑰建立授權來做到這一點。此授權允許 TLS 連線管理員使用 AWS KMS 來解密憑證的私密金鑰。TLS 連線管理員會使用憑證和解密 (純文字) 私密金鑰，與 VPC 萊迪思服務的用戶端建立安全連線 (SSL/TLS 工作階段)。當憑證與 VPC 萊迪思服務中斷關聯時，授權就會被淘汰。如需詳細資訊，請參閱AWS Key Management Service 開發人員指南中的授權。

如需詳細資訊，請參閱 靜態加密。