Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zertifikatsverwaltung mit AWS Certificate Manager
AWS Certificate Manager (ACM)
Unterstützung durch Zertifizierungsstellen
CloudFront Mutual TLS (Origin) erfordert Client-Zertifikate mit Extended Key Usage (EKU) für die TLS-Client-Authentifizierung. Aufgrund dieser Anforderung müssen Sie Zertifikate von Ihrer Zertifizierungsstelle ausstellen und in AWS Certificate Manager importieren. Die Funktionen zur automatischen Bereitstellung und Verlängerung von Zertifikaten von ACM sind für gegenseitige TLS-Client-Zertifikate (Origin) nicht verfügbar. CloudFront Mutual TLS (Origin) unterstützt Client-Zertifikate aus zwei Quellen:
-
AWS Private Zertifizierungsstelle: Sie können Zertifikate von AWS einer privaten Zertifizierungsstelle mithilfe von Zertifikatsvorlagen ausstellen, die die TLS-Client-Authentifizierung im Feld „Erweiterte Schlüsselverwendung“ enthalten (z. B. die EndEntityClientAuthCertificate Vorlage). Nachdem Sie das Zertifikat von AWS Private CA ausgestellt haben, müssen Sie es in ACM in der Region USA Ost (Nord-Virginia) (us-east-1) importieren. Dieser Ansatz bietet die Sicherheitsvorteile von AWS Private CA und gibt Ihnen gleichzeitig die Kontrolle über das Lebenszyklusmanagement von Zertifikaten.
-
Private Zertifizierungsstellen von Drittanbietern: Sie können Zertifikate auch über Ihre bestehende private Zertifizierungsstellen-Infrastruktur ausstellen und in ACM importieren. Auf diese Weise können Sie Ihre aktuellen Zertifikatsverwaltungsprozesse beibehalten und gleichzeitig die wechselseitigen TLS-Funktionen (Origin) nutzen CloudFront. Zertifikate müssen die TLS-Client-Authentifizierung im Feld „Erweiterte Schlüsselverwendung“ enthalten und müssen zusammen mit dem Zertifikat, dem privaten Schlüssel und der Zertifikatskette im PEM-Format vorliegen.
Wichtig
Sowohl bei AWS Private CA als auch bei Drittanbietern sind Sie dafür verantwortlich CAs, die Ablaufdaten der Zertifikate zu überwachen und erneuerte Zertifikate vor Ablauf in ACM zu importieren. Die automatische Verlängerungsfunktion von ACM gilt nicht für importierte Zertifikate, die für Mutual TLS (Origin) verwendet werden.
Anforderungen und Spezifikationen für Zertifikate
Anforderungen an das Kundenzertifikat
-
Format: PEM-Format (Privacy Enhanced Mail)
-
Komponenten: Zertifikat, privater Schlüssel und Zertifikatskette
-
Maximale Tiefe der Zertifikatskette: 3 (Blattzertifikat + Zwischenzertifikat + Stammzertifikat)
-
Maximale Größe der Zertifikatskette: 64 KB
-
Größe des Zertifikats: 96 KB darf nicht überschritten werden
-
Maximale Größe des privaten Schlüssels: 5 KB (ACM-Einschränkung)
-
Maximale Anzahl von mTLS-Zertifikaten mit eindeutigem Ursprung ARNs , die pro API-Aufruf zur Erstellung oder Aktualisierung der CloudFront Distribution hinzugefügt oder geändert werden können: 5
-
Region: Zertifikate müssen in ACM in der Region USA Ost (Nord-Virginia) (us-east-1) gespeichert werden
Unterstützte Zertifikatsspezifikationen
-
Zertifikatstyp: X.509v3
-
Algorithmen mit öffentlichen Schlüsseln:
RSA: 2048-Bit
ECDSA: P-256
-
Signaturalgorithmen:
SHA256, SHA384, SHA512 mit RSA
SHA256 SHA384, SHA512 mit ECSA
SHA256, mit SHA384 SHA512 RSASSA-PSS mit MGF1
-
Erweiterte Schlüsselverwendung (erforderlich): Für das Zertifikat muss die Erweiterung Extended Key Usage (EKU) auf TLS-Client-Authentifizierung eingestellt sein, um sicherzustellen, dass es für mTLS-Zwecke autorisiert ist
Anforderungen an das Serverzertifikat
Ihre Ursprungsserver müssen während des gegenseitigen TLS-Handshakes Zertifikate von öffentlich vertrauenswürdigen Zertifizierungsstellen vorlegen. Vollständige Informationen zu den Zertifikatsanforderungen für Ursprungsserver finden Sie unter Anforderungen für die Verwendung von SSL/TLS Zertifikaten mit CloudFront.
Fordern Sie ein Zertifikat an oder importieren Sie es
Bevor Sie Mutual TLS (Origin) aktivieren können, müssen Sie über ein in ACM verfügbares Client-Zertifikat verfügen.
Fordern Sie ein Zertifikat von AWS Private CA an und importieren Sie es
Voraussetzungen:
Eine AWS private Zertifizierungsstelle, die in Ihrem Konto konfiguriert ist
Erlaubnis zur Ausstellung von Zertifikaten von AWS Private CA
Erlaubnis zum Import von Zertifikaten in ACM
Eine Zertifikatsvorlage ARN
Extended key usage:TLS web client authentication, die zu Ihrem Anwendungsfall passtInstallieren Sie OpenSSL, AWS CLI und jq (zum Parsen von JSON).
Um ein Zertifikat von PCA anzufordern und in ACM (AWS CLI) zu importieren
-
Legen Sie Ihren privaten CA-ARN zur einfacheren Wiederverwendung in einer Variablen fest.
PCA_ARN="arn:aws:acm-pca:region:account:certificate-authority/12345678..." -
Verwenden Sie OpenSSL, um einen privaten ECDSA P-256-Schlüssel (Prime256v1-Kurve) und eine Certificate Signing Request (CSR) zu generieren, und stellen Sie sicher, dass das Flag -nodes verwendet wird, um den privaten Schlüssel unverschlüsselt zu halten, wie es für den ACM-Import erforderlich ist.
openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 -nodes \ -keyout private.key \ -out request.csr \ -subj "/CN=client.example.com" -
Senden Sie die CSR an Ihre AWS private Zertifizierungsstelle, um ein Zertifikat auszustellen, das den ARN des neu ausgestellten Zertifikats zurückgibt.
CERT_ARN=$(aws acm-pca issue-certificate \ --certificate-authority-arn "$PCA_ARN" \ --csr fileb://request.csr \ --signing-algorithm "SHA256WITHECDSA" \ --validity Value=365,Type="DAYS" \ --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \ --query 'CertificateArn' --output text) -
Rufen Sie das Zertifikatspaket mit dem Befehl get-certificate von AWS PCA ab, der sowohl das Blattzertifikat als auch die Kette zurückgibt, und trennen Sie sie dann mit jq in verschiedene Dateien.
# Retrieve the full certificate bundle in JSON format aws acm-pca get-certificate \ --certificate-authority-arn "$PCA_ARN" \ --certificate-arn "$CERT_ARN" \ --output json > full_cert.json # Split into Leaf and Chain jq -r '.Certificate' full_cert.json > leaf_cert.pem jq -r '.CertificateChain' full_cert.json > cert_chain.pem -
Importieren Sie den unverschlüsselten privaten Schlüssel, das Blattzertifikat und die Zertifikatskette in AWS ACM, indem Sie das fileb://-Protokoll verwenden, um Binärdateidaten in der CLI korrekt zu verarbeiten.
aws acm import-certificate \ --certificate fileb://leaf_cert.pem \ --private-key fileb://private.key \ --certificate-chain fileb://cert_chain.pem \ --region us-east-1 \ --query 'CertificateArn' \ --output text
Importieren Sie ein Zertifikat von einer Zertifizierungsstelle eines Drittanbieters
Voraussetzungen:
Ein Zertifikat, ein unverschlüsselter privater Schlüssel und eine Zertifikatskette von Ihrer Zertifizierungsstelle im PEM-Format
Das Zertifikat muss die erweiterte Schlüsselverwendung für die TLS-Client-Authentifizierung enthalten
Berechtigungen zum Importieren von Zertifikaten in ACM
Um ein Zertifikat in ACM (AWS CLI) zu importieren
aws acm import-certificate \ --certificate fileb://certificate.pem \ --private-key fileb://private-key.pem \ --certificate-chain fileb://certificate-chain.pem \ --region us-east-1 \ --query 'CertificateArn' \ --output text
Nächste Schritte
Nachdem Sie Ihr Client-Zertifikat in ACM abgerufen oder importiert haben, können Sie Ihren Ursprungsserver so konfigurieren, dass eine gegenseitige TLS-Authentifizierung erforderlich ist, und Mutual TLS (Origin) auf Ihrer CloudFront Distribution aktivieren. Anweisungen zur Aktivierung von Mutual TLS (Origin) in CloudFront finden Sie im nächsten Abschnitt „Mutual TLS (Origin) für CloudFront Distributionen aktivieren“.
