本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
VPC Lattice 自带证书(BYOC)
要处理 HTTPS 请求,在设置自定义域名之前,必须准备好自己的 SSL/TLS 证书 AWS Certificate Manager (ACM)。这些证书必须具有与服务的自定义域名匹配的使用者备用名称(SAN),或公用名称(CN)。如果 SAN 存在,我们仅检查 SAN 列表中的匹配项。如果 SAN 不存在,则会检查 CN 中的匹配项。
VPC Lattice 使用服务器名称指示(SNI)提供 HTTPS 请求。DNS 会根据自定义域名和与该域名匹配的证书,将 HTTPS 请求路由到您的 VPC Lattice 服务。要在 ACM 中为域名申请 SSL/TLS 证书或将证书导入 ACM,请参阅AWS Certificate Manager用户指南中的颁发和管理证书以及导入证书。如果无法在 ACM 中请求或导入自己的证书,请使用 VPC Lattice 生成的域名和证书。
VPC Lattice 每项服务仅接受一个自定义证书。但是,您可以将自定义证书用于多个自定义域。这意味着您可以为使用自定义域名创建的所有 VPC Lattice 服务使用相同的证书。
要使用 ACM 控制台查看证书,请打开证书,然后选择证书 ID。您会在关联资源下看到与该证书关联的 VPC Lattice 服务。
限制和注意事项
-
VPC Lattice 允许在关联证书的使用者备用名称(SAN),或公用名称(CN)中进行深一级的通配符匹配。例如,如果您使用自定义域名
parking.example.com创建服务,并将自己的证书与 SAN*.example.com关联。当parking.example.com收到请求时,VPC Lattice 会将 SAN 与具有 apex 域example.com的任何域名匹配。但是,如果您拥有自定义域parking.different.example.com,并且您的证书具有 SAN*.example.com,则请求将失败。 -
VPC Lattice 支持一级通配符域匹配。这意味着通配符只能用作一级子域,并且只能保护一个子域级别。例如,如果证书的 SAN 是
*.example.com,则不支持parking.*.example.com。 -
VPC Lattice 支持每个域名一个通配符。这意味着
*.*.example.com是无效的。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的请求公有证书。 -
VPC Lattice 仅支持使用 2048 位 RSA 密钥的证书。
-
ACM 中的 SSL/TLS 证书必须与您关联的 VPC Lattice 服务位于同一区域。
保护证书私有密钥
当您使用 ACM 请求 SSL/TLS 证书时,ACM 会生成一个 public/private key pair。导入证书时,将生成密钥对。公有密钥将成为证书的一部分。为了安全地存储私钥,ACM 使用AWS KMS别aws/acm名为 KMS 密钥创建了另一个密钥。 AWS KMS使用此密钥来加密证书的私钥。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的 AWS Certificate Manager 中的数据保护。
VPC AWS Lattice使用TLS连接管理器(一项只能访问的服务)来保护和使用您的证书的私钥。AWS 服务当您使用 ACM 证书创建 VPC 莱迪思服务时,VPC Lattice 会将您的证书与 AWS TLS 连接管理器相关联。为此,我们会AWS KMS根据您的AWS托管密钥创建授权。此授权允许 TLS 连接管理器AWS KMS用于解密证书的私钥。TLS连接管理器使用证书和解密(纯文本)私钥与VPC莱迪思服务的客户端建立安全连接(SSL/TLS 会话)。当证书与 VPC Lattice 服务取消关联时,该授权就会失效。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的授权。
有关更多信息,请参阅 静态加密。