Kann ich eine Anwendung, die auf AWS läuft, an ein Zertifikat anheften, das von ACM ausgestellt wurde?

Kurzbeschreibung

Es ist keine bewährte Methode, Ihre Anwendung an ein von ACM ausgestelltes SSL-/TLS-Zertifikat anzuheften. Wenn Sie ein Zertifikat anheften, geben Sie einem Browser eine ID für den öffentlichen Schlüssel, der für die Website verwendet wird. Wenn ein Benutzer die Website besucht, wird die PIN vom Browser zwischengespeichert. Diese PIN wird dann auch verwendet, um den öffentlichen Schlüssel bei zukünftigen Besuchen zu überprüfen. Die PIN-Informationen sind normalerweise im Header der HTTP-Antwort und in der Gültigkeitsdauer (TTL) für den PIN enthalten. Wenn sich das Zertifikat ändert, z. B. wenn das Zertifikat erneuert wird, kann diese Änderung dazu führen, dass Website-Besucher Fehler erhalten. Diese Fehler treten auf, weil keine sichere Verbindung zur Website hergestellt werden kann. Weitere Informationen finden Sie unter Certificate Pinning.

Wichtig: Ab dem 11. Oktober 2022 um 9:00 Uhr Pacific Time werden öffentliche Zertifikate, die über ACM erworben wurden, von einer der Zwischenzertifizierungsstellen ausgestellt, die Amazon verwaltet. Mehrere zwischengeschaltete Zertifizierungsstellen sind an eine bestehende Amazon Trust Services-Stammzertifizierungsstelle angebunden. Mit dieser Änderung werden die an Sie ausgestellten Leaf-Zertifikate von verschiedenen zwischengeschalteten Zertifizierungsstellen signiert. Vor dieser Änderung verwaltete Amazon eine begrenzte Anzahl von Zwischenzertifizierungsstellen und stellte Zertifikate derselben Zwischenzertifizierungsstellen aus und erneuerte sie. Weitere Informationen finden Sie unter Amazon führt dynamische Zwischenzertifizierungsstellen ein.

Behebung

Es hat sich bewährt, Ihre Anwendung an eine Stammzertifizierungsstelle (CA) anzuheften und nicht an ein einzelnes Zertifikat oder ein Zwischenzertifikat einer CA. Wenn Sie eine Anwendung an eine Amazon Trust Services-CA anheften, heften Sie dieselbe Anwendung an alle CAs in der Amazon Trust Services-Tabelle an.

Hinweis: Sie müssen alle Zertifizierungsstellen auswählen, an die Sie Ihre Anwendung anheften, da ACM bei der Anforderung eines Zertifikats die Herkunft des Zertifikats nicht angibt.

Verwenden Sie zum Anheften eines Zertifikats eine der folgenden Optionen, um sicherzustellen, dass die Anwendung eine Verbindung mit der Domäne herstellen kann.

Pinnen Sie Ihre Anwendung an ein Amazon-Stammzertifikat

Wenn Sie Ihre Anwendung an die Ebene des Stammzertifikats anheften,erneuert die von ACM verwaltete Verlängerung das Zertifikat unter derselben Zertifizierungsstelle, die das Zertifikat ausgestellt hat. Das Zertifikat Amazon Resource Name (ARN) bleibt unverändert. Sie können Ihre Anwendung auch als Backup-Pins an mehrere CAs anheften. Wenn das Zertifikat abläuft, können Sie ein neues Zertifikat anfordern und das Zertifikat auf Ihren Load Balancer anwenden, um die Ausfallzeiten der Anwendung zu reduzieren.

Importieren Sie Ihr eigenes Zertifikat in ACM und heften Sie dann Ihre Anwendung an das importierte Zertifikat an

Importierte Zertifikate werden durch den von ACM verwalteten Verlängerungsprozess nicht erneuert. Sie müssen die Erneuerung des Zertifikats und der Schlüssel verwalten. Weitere Informationen finden Sie unter Importieren von Zertifikaten in AWS Certificate Manager.

Weitere Informationen

Bewährte Methoden für ACM

Probleme beim Anheften von Zertifikaten