Posso fixar um aplicativo que está sendo executado na AWS em um certificado emitido pelo ACM?
Quero saber se consigo fixar um aplicativo que está sendo executado na AWS em um certificado emitido pelo AWS Certificate Manager (ACM).
Breve descrição
Não é uma prática recomendada fixar seu aplicativo em um certificado SSL/TLS emitido pelo ACM. Se você fizer isso, fornecerá ao navegador um ID para a chave pública usada no site. Se um usuário visitar o site, o ID será armazenado em cache pelo navegador. Esse ID também é usado para verificar a chave pública durante visitas futuras. As informações do ID geralmente são incluídas no cabeçalho da resposta HTTP e no tempo de vida (TTL) do ID. Se o certificado for alterado, por exemplo, quando o certificado for renovado, essa alteração poderá fazer com que os visitantes do site recebam erros. Esses erros ocorrem porque não é possível estabelecer uma conexão segura com o site. Para mais informações, consulte Fixação de certificados.
Importante: A partir de 11 de outubro de 2022, às 9h, horário do Pacífico, os certificados públicos obtidos por meio do ACM são emitidos por uma das CAs intermediárias que a Amazon gerencia. Várias CAs intermediárias se conectam a uma CA raiz existente do Amazon Trust Services. Com essa alteração, os certificados "leaf" emitidos para você são assinados por diferentes CAs intermediárias. Antes dessa mudança, a Amazon mantinha um número limitado de CAs intermediárias e emitia e renovava certificados das mesmas CAs intermediárias. Para obter mais informações, consulte Amazon introduces dynamic intermediate certificate authorities.
Resolução
É uma prática recomendada fixar seu aplicativo a uma autoridade de certificação (CA) raiz em vez de a um certificado individual ou intermediário da CA. Ao fixar um aplicativo em uma CA do Amazon Trust Services, fixe o mesmo aplicativo em todas as CAs na tabela de serviços de confiança da Amazon.
Observação: Você deve selecionar todas as CAs às quais você fixa seu aplicativo porque, quando você solicita um certificado, o ACM não especifica a origem desse certificado.
Para fixar um certificado, use uma das opções a seguir para garantir que o aplicativo possa se conectar ao domínio.
Fixe seu aplicativo em um certificado raiz da Amazon
Quando você fixa seu aplicativo no nível do certificado raiz, a renovação gerenciada pelo ACM renova o certificado sob a mesma CA que emitiu o certificado. O nome do recurso da Amazon (ARN) do certificado permanece o mesmo. Você também pode fixar seu aplicativo em várias CAs como backup. Se o certificado expirar, é possível solicitar um novo certificado e aplicá-lo ao seu balanceador de carga para reduzir o tempo de inatividade do aplicativo.
Importe seu próprio certificado para o ACM e, em seguida, fixe seu aplicativo no certificado importado
Os certificados importados não são renovados pelo processo de renovação gerenciado pelo ACM. Você deve gerenciar a renovação do certificado e das chaves. Para mais informações, consulte Importação de certificados para o AWS Certificate Manager.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos