我可以將在 AWS 上運行的應用程式釘選至由 ACM 發行的憑證嗎?

1 分的閱讀內容
0

我想知道是否可以將 AWS 上正在運行的應用程式釘選至由 AWS Certificate Manager (ACM) 發行的憑證。

簡短描述

將您的應用程式釘選至由 ACM 發行的 SSL/TLS 憑證並不是最佳做法。如果您釘選憑證,您將提供瀏覽器,以及用於該網站的公開金鑰 ID。如果使用者存取該網站,則瀏覽器將快取該釘選。接著,該釘選也在未來存取時用於驗證公開金鑰。釘選資訊通常包含在 HTTP 回應的標頭,以及釘選的存留時間 (TTL) 中。如果變更憑證 (例如,憑證已更新時),則該變更可能會導致網站訪客收到錯誤訊息。發生這些錯誤的原因是無法建立與網站的安全連線。如需詳細資訊,請參閱憑證釘選

**重要事項:**自 2022 年 10 月 11 日太平洋時間上午 9 點起,透過 ACM 取得的公開憑證會從 Amazon 管理的中繼 CA 之一發行。多個中繼 CA 鏈結到現有的 Amazon Trust Services 根 CA。透過此變更,已發給您的分葉憑證會由不同的中繼 CA 簽署。在此變更之前,Amazon 維護有限數量的中繼 CA,並從相同的中繼 CA 發行和更新憑證。如需詳細資訊,請參閱 Amazon 推出動態中繼憑證授權機構

解決方案

最佳做法是將您的應用程式釘選至根憑證授權機構 (CA),而非個人憑證或中繼 CA 憑證。將應用程式釘選至 Amazon Trust Services CA 時,請將相同的應用程式釘選至 Amazon Trust Services 中的所有 CA。

**注意:**您必須選取要釘選應用程式的所有 CA,因為當您要求憑證時,ACM 不會指定憑證的來源。

若要釘選憑證,請使用下列其中一個選項,確定該應用程式可以連線到網域。

將您的應用程式釘選至 Amazon 根憑證

當您在根憑證層級釘選應用程式時,ACM 管理的續約 會在發行憑證的相同 CA 下更新該憑證。憑證 Amazon Resource Name (ARN) 不會變更。您同樣可以將應用程序釘選至多個 CA 作為備份釘選。如果憑證過期,您可以要求新憑證並將該憑證套用至您的負載平衡器,減少應用程式停機時間。

將您自己的憑證匯入 ACM,然後將您的應用程式釘選至已匯入的憑證

ACM 管理的續訂程序不會更新已匯入的憑證。您必須管理該憑證和金鑰的續約。如需詳細資訊,請參閱將憑證匯入至 AWS Certificate Manager (ACM)

相關資訊

ACM 最佳實務

憑證釘選問題

AWS 官方
AWS 官方已更新 1 年前