Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Best Practices
Bewährte Methoden sind Empfehlungen, die Ihnen helfen können, AWS Certificate Manager (AWS Certificate Manager) effektiver zu nutzen. Die folgenden bewährten Methoden basieren auf praktischen Erfahrungen aktueller ACM-Kunden.
Themen
Account-level Trennung
Verwenden Sie die Trennung auf Kontoebene in Ihren Richtlinien, um zu kontrollieren, wer auf Kontoebene auf Zertifikate zugreifen kann. Bewahren Sie Ihre Produktionszertifikate in separaten Konten auf als Ihre Test- und Entwicklungszertifikate. Wenn Sie die Trennung auf Kontoebene nicht verwenden können, können Sie den Zugriff auf bestimmte Rollen einschränken, indem Sie in Ihren Richtlinien kms:CreateGrant Aktionen verweigern. Dadurch wird eingeschränkt, welche Rollen in einem Konto Zertifikate auf hoher Ebene signieren können. Informationen zu Zuschüssen, einschließlich der Terminologie von Zuschüssen, finden Sie AWS KMSim AWS Key Management ServiceEntwicklerhandbuch unter Zuschüsse.
Wenn Sie eine detailliertere Steuerung wünschen, als die Verwendung kms:CreateGrant von nach Konto zu beschränken, können Sie sich mithilfe der KMS: EncryptionContext -Bedingungsschlüssel kms:CreateGrant auf bestimmte Zertifikate beschränken. Geben Sie arn:aws:acm als Schlüssel den Wert des ARN an, der eingeschränkt werden soll. Die folgende Beispielrichtlinie verhindert die Verwendung eines bestimmten Zertifikats, erlaubt aber andere.
AWS CloudFormation
Mit können AWS CloudFormation Sie eine Vorlage erstellen, die die AWS Ressourcen beschreibt, die Sie verwenden möchten. CloudFormationstellt diese Ressourcen dann für Sie bereit und konfiguriert sie. CloudFormationkann Ressourcen bereitstellen, die von ACM unterstützt werden, wie Elastic Load Balancing CloudFront, Amazon und Amazon API Gateway. Weitere Informationen finden Sie unter Verwaltete Automatisierung mit integrierten Services.
Wenn Sie CloudFormation mehrere Testumgebungen schnell erstellen und löschen, empfehlen wir, nicht für jede Umgebung ein separates ACM-Zertifikat zu erstellen. Dadurch wird Ihr Zertifikatkontingent schnell ausgeschöpft. Weitere Informationen finden Sie unter Kontingente. Erstellen Sie stattdessen ein Platzhalter-Zertifikat für alle Domainnamen, die Sie für das Testen verwenden. Wenn Sie beispielsweise wiederholt ACM-Zertifikate für Domainnamen erstellen, die sich nur durch eine Versionsnummer unterscheiden, z. B. <version> .service.example.com erstellen Sie stattdessen ein einzelnes Platzhalterzertifikat für. <*> .service.example.com
Wichtig
Wenn Sie CloudFront Amazon-Distributionen verwenden, beachten Sie, dass die HTTP-Validierung keine Platzhalterzertifikate unterstützt. Wenn Sie Platzhalterzertifikate in Ihre CloudFormation Vorlagen für die Verwendung mit Amazon aufnehmen CloudFront, müssen Sie entweder die DNS-Validierung oder die E-Mail-Validierung verwenden. Wir empfehlen die DNS-Validierung für automatische Verlängerungsfunktionen.
Fügen Sie das Platzhalterzertifikat in die Vorlage ein, die zur Erstellung Ihrer Testumgebung CloudFormation verwendet wird.
Benutzerdefinierte Trust Stores
Um die Konnektivität zu Endpunkten sicherzustellen, die durch ACM-Zertifikate geschützt sind, empfehlen wir, die Amazon-Roots
Zertifikat-Pinning
Certificate Pinning, manchmal auch SSL-Pinning genannt, ist ein Prozess, den Sie in Ihrer Anwendung verwenden können, um einen Remote-Host zu validieren, indem Sie diesen Host direkt seinem X.509 Zertifikat oder öffentlichen Schlüssel zuordnen, anstatt einer Zertifikatshierarchie. Die Anwendung verwendet daher Pinning, um die Validierung der Zertifikatskette zu umgehen SSL/TLS . Beim typischen SSL-Validierungsprozess werden Signaturen in der Zertifikatkette, vom Zertifikat der Stammzertifizierungsstelle (CA) bis zu den untergeordneten CA-Zertifikaten, falls vorhanden, überprüft. Außerdem überprüft er das Zertifikat für den Remote-Host unten in der Hierarchie. Ihre Anwendung kann stattdessen an das Zertifikat für den Remote-Host pinnen, um zu vermitteln, dass nur das Zertifikat und nicht das Stammzertifikat oder ein anderes in der Kette vertrauenswürdig ist. Sie können Ihrer Anwendung während der Entwicklung das Zertifikat oder den öffentlichen Schlüssel des Remote-Hosts hinzufügen. Alternativ kann die Anwendung das Zertifikat oder den Schlüssel hinzufügen, wenn sie zum ersten Mal eine Verbindung mit dem Host einrichtet.
Warnung
Wir empfehlen, dass Ihre Anwendung nicht ein ACM-Zertifikat pinnt. ACM verlängert Ihre Amazon-issued SSL/TLS Zertifikate automatischVerwaltete Zertifikatserneuerung in AWS Certificate Manager, bevor sie ablaufen. Zur Erneuerung eines Zertifikats generiert ACM ein neues öffentlich-privates Schlüsselpaar. Wenn Ihre Anwendung das ACM-Zertifikat anheftet und das Zertifikat erfolgreich mit einem neuen öffentlichen Schlüssel erneuert wird, kann die Anwendung möglicherweise keine Verbindung zu Ihrer Domain herstellen.
Wenn Sie sich entscheiden, ein Zertifikat zu pinnen, hindern die folgenden Optionen Ihre Anwendung nicht daran, eine Verbindung zu Ihrer Domain herzustellen:
-
Importieren Sie Ihr Zertifikat in ACM und pinnen Sie dann Ihre Anwendung an das importierte Zertifikat. ACM versucht nicht, importierte Zertifikate automatisch zu erneuern.
-
Wenn Sie ein öffentliches Zertifikat verwenden, heften Sie Ihre Anwendung an alle verfügbaren Amazon-Stammzertifikate
an. Wenn Sie ein privates Zertifikat verwenden, heften Sie Ihre Anwendung an das Stammzertifikat der Zertifizierungsstelle an.
Domainvalidierung
Bevor die Amazon Certificate Authority (CA) ein Zertifikat für Ihre Site ausstellen kann, muss AWS Certificate Manager (ACM) verifizieren, dass Sie Eigentümer aller Domains sind oder diese kontrollieren, die Sie in Ihrer Anfrage angegeben haben. Sie können die Verifizierung per E-Mail oder DNS durchführen. Weitere Informationen erhalten Sie unter AWS Certificate Manager DNS-Validierung und AWS Certificate Manager E-Mail-Validierung.
Hinzufügen oder Löschen von Domainnamen
Sie können keine Domainnamen zu einem vorhandenen ACM-Zertifikat hinzufügen oder daraus entfernen. Stattdessen müssen Sie ein neues Zertifikat mit der überarbeiteten Liste der Domainnamen anfordern. Beispiel: Wenn Ihr Zertifikat fünf Domainnamen hat und Sie vier weitere hinzufügen möchten, müssen Sie ein neues Zertifikat mit allen neun Domainnamen anfordern. Wie bei jedem neuen Zertifikat müssen Sie den Besitz aller Domainnamen in der Anforderung validieren, einschließlich der Namen, die Sie zuvor für das ursprüngliche Zertifikat validiert haben.
Wenn Sie eine E-Mail-Validierung verwenden, erhalten Sie für jede Domain bis zu 8 Validierungs-E-Mails, wobei mindestens eine innerhalb von 72 Stunden bearbeitet werden muss. Wenn Sie beispielsweise ein Zertifikat mit fünf Domainnamen anfordern, erhalten Sie bis zu 40 Validierungsnachrichten, wobei mindestens fünf innerhalb von 72 Stunden bearbeitet werden müssen. Da die Anzahl der Domainnamen in der Zertifikatsanforderung steigt, steigt auch der Arbeitsaufwand für die Validierung des Besitzes der Domain per E-Mail.
Wenn Sie stattdessen die DNS-Validierung verwenden, müssen Sie einen neuen DNS-Datensatz für den FQDN, den Sie validieren möchten, in die Datenbank schreiben. ACM sendet Ihnen den zu erstellenden Datensatz sowie später Abfragen für die Datenbank, um festzustellen, ob der Datensatz hinzugefügt wurde. Das Hinzufügen des Datensatzes garantiert, dass Sie die Domain besitzen oder kontrollieren. Wenn Sie im obigen Beispiel ein Zertifikat mit fünf Domainnamen anfordern, müssen Sie fünf DNS-Datensätze erstellen. Wir empfehlen Ihnen, nach Möglichkeit die DNS-Validierung zu verwenden.
EinschaltenAWS CloudTrail
Schalten Sie die CloudTrail Protokollierung ein, bevor Sie ACM verwenden. CloudTrail ermöglicht es Ihnen, Ihre AWS Bereitstellungen zu überwachen, indem Sie einen Verlauf der AWS API-Aufrufe für Ihr Konto abrufen, einschließlich API-Aufrufen, die über die AWS Management Console, die AWS SDKs, Amazon Web Services und übergeordnete Amazon AWS Command Line Interface Web Services getätigt wurden. Sie können auch feststellen, welche Benutzer und Konten die ACM-APIs aufgerufen haben, die Quell-IP-Adresse, von der diese Aufrufe stammen, sowie den Zeitpunkt der Aufrufe. Sie können mithilfe der API CloudTrail in Anwendungen integrieren, die Erstellung von Trails für Ihr Unternehmen automatisieren, den Status Ihrer Trails überprüfen und kontrollieren, wie Administratoren die Anmeldung ein- und ausschalten CloudTrail . Weitere Informationen finden Sie unter Erstellen eines Trails. Beispiel-Trails für ACM Aktionen finden Sie unter Wird mit verwendet CloudTrail AWS Certificate Manager.