Validação por HTTP do AWS Certificate Manager
O Hypertext Transfer Protocol (HTTP) é um protocolo fundamental para a comunicação de dados na World Wide Web. Quando a validação por HTTP é selecionada para os certificados usados com o CloudFront, o ACM aproveita esse protocolo para verificar a propriedade do seu domínio. O ACM trabalha em conjunto com o CloudFront para fornecer a você um URL específico e um token exclusivo que devem ser colocados à disposição nesse URL em seu domínio. Esse token serve como prova de que você controla o domínio. Ao configurar um redirecionamento do seu domínio para um local controlado pelo ACM na infraestrutura do CloudFront, você demonstra capacidade de modificar conteúdo no domínio, o que valida sua propriedade. Essa integração perfeita entre o ACM e o CloudFront simplifica o processo de emissão de certificados, especialmente para distribuições do CloudFront.
Importante
A validação por HTTP não oferece suporte a certificados de domínio curingas (como *.exemplo.com). Para certificados curingas, use a validação por DNS ou a validação por e-mail.
Por exemplo, se você solicitar um certificado para o domínio example.com com www.example.com como um nome adicional que usa o CloudFront, o ACM fornecerá dois conjuntos de URLs para validação por HTTP. Cada conjunto contém um URL redirectFrom e um URL redirectTo, os quais foram criados especificamente para seu domínio e sua conta da AWS. O URL redirectFrom é um caminho no seu domínio (por exemplo, http://example.com/.well-known/pki-validation/example.txt) que precisa ser configurado. O URL redirectTo aponta para um local controlado pelo ACM na infraestrutura do CloudFront, no qual um token de validação exclusivo é armazenado. Você só precisa configurar esses redirecionamentos uma vez. Quando uma autoridade de certificação tenta validar a propriedade do seu domínio, ela solicita o arquivo da URL redirectFrom, que o CloudFront redireciona para a URL redirectTo, o que permite o acesso ao token de validação. O ACM renova automaticamente seu certificado, desde que o certificado esteja em uso com o CloudFront e seu redirecionamento permaneça em vigor.
Depois de configurar a validação por HTTP para um nome de domínio totalmente qualificado (FQDN) com o CloudFront, você pode solicitar certificados adicionais do ACM para este FQDN sem precisar repetir o processo de validação, desde que o redirecionamento HTTP permaneça em vigor. Ou seja, você pode criar certificados de substituição com o mesmo nome de domínio ou certificados que cobrem subdomínios diferentes. Como o token de validação por HTTP funciona em qualquer região da AWS em que o CloudFront esteja disponível, você pode recriar o mesmo certificado em várias regiões. Também é possível substituir um certificado excluído sem passar pelo processo de validação novamente, desde que o redirecionamento ainda esteja ativo.
Existem duas opções para a interrupção da renovação automática do seu certificado validado por HTTP. É possível remover o certificado da distribuição do CloudFront à qual ele está associado ou excluir o redirecionamento HTTP configurado para validação. Se estiver sendo usada uma rede de entrega de conteúdo (CDN) ou um servidor web diferente do CloudFront para gerenciar seus redirecionamentos, a documentação correspondente deve ser consultada para saber como remover um redirecionamento. Se o CloudFront estiver sendo usado para gerenciar seus redirecionamentos, o redirecionamento pode ser removido mediante a atualização da configuração da sua distribuição. Para obter mais informações sobre a renovação de certificados gerenciados, consulte Renovação gerenciada de certificados no AWS Certificate Manager. Lembrete: interromper a renovação automática pode levar à expiração do certificado, o que pode interromper seu tráfego HTTPS.
Como funcionam os redirecionamentos HTTP para o ACM
nota
Esta seção foi elaborada para clientes usuários do CloudFront para a entrega de conteúdo e o ACM para o gerenciamento de certificado TLS/SSL.
Quando a validação por HTTP com o ACM e o CloudFront é adotada, é necessário configurar os redirecionamentos HTTP. Esses redirecionamentos permitem que o ACM verifique a propriedade do seu domínio para que ocorra a emissão inicial do certificado e a renovação automática contínua. O mecanismo de redirecionamento funciona indicado um URL específico no seu domínio para um local controlado pelo ACM na infraestrutura do CloudFront na qual um token de validação exclusivo é armazenado.
A tabela a seguir mostra exemplos de configurações de redirecionamento para nomes de domínio. Observe que a validação por HTTP não oferece suporte a domínios curinga (como *.exemplo.com). Cada par Redirecionar de-Redirecionar para da configuração serve para autenticar a propriedade do nome de domínio.
| Nome de domínio | Redirecionar de | Redirecionar para | Comentário |
|---|---|---|---|
| exemplo.com |
|
|
Exclusivo |
| www.exemplo.com |
|
|
Exclusivo |
| host.exemplo.com |
|
|
Exclusivo |
| subdomínio.exemplo.com |
|
|
Exclusivo |
| host.subdomínio.exemplo.com |
|
|
Exclusivo |
Os valores xN nos nomes dos arquivos e os valores yN nos domínios controlados pelo ACM são identificadores exclusivos gerados pelo ACM. Por exemplo,
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
representa um URL Redirecionar de gerado. O URL Redirecionar para associado pode ser
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
para o mesmo registro de validação.
nota
Se seu servidor web ou rede de distribuição de conteúdo não oferecer suporte para a configuração de redirecionamentos no caminho especificado, consulte Solucionar problemas de validação por HTTP.
Quando você solicita um certificado e especifica a validação por HTTP, o ACM fornece as informações de redirecionamento no seguinte formato:
| Nome do domínio | Redirecionar de | Redirecionar para |
|---|---|---|
| exemplo.com | http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt |
O nome do domínio é o FQDN associado ao certificado. Redirecionar de é o URL do seu domínio em que o ACM buscará o arquivo de validação. Redirecionar para é o URL controlado pelo ACM no qual o arquivo de validação real está hospedado.
Configure seu servidor web ou distribuição do CloudFront para redirecionar solicitações do URL Redirecionar de para o URL Redirecionar para. O método exato para configurar esse redirecionamento depende do software do seu servidor web ou da configuração do CloudFront. Configure corretamente o redirecionamento para permitir que o ACM valide a propriedade do seu domínio e emita ou renove seu certificado.
Configuração da validação por HTTP
O ACM usa a validação por HTTP para verificar a propriedade do seu domínio quando emite certificados SSL/TLS públicos para uso com o CloudFront. Esta seção descreve como configurar um certificado público para usar a validação por HTTP.
Para configurar a validação por HTTP no console
nota
Este procedimento pressupõe que você já tenha solicitado um certificado pelo CloudFront e que esteja trabalhando na região da AWS onde o criou. A validação por HTTP está disponível somente por meio do atributo CloudFront Distribution Tenants.
-
Abra o console do ACM em https://console.aws.amazon.com/acm/
. -
Na lista de certificados, escolha o Certificate ID (ID do certificado) de um certificado com status Pending validation (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.
-
Na seção Domínios, você pode ver os valores Redirecionar de e Redirecionar para de cada domínio em sua solicitação de certificado.
-
Para cada domínio, configure um redirecionamento HTTP do URL Redirecionar de para o URL Redirecionar para. Você pode fazer isso por meio da configuração de distribuição do CloudFront.
-
Configure sua distribuição do CloudFront para redirecionar solicitações do URL Redirecionar de para o URL Redirecionar para. O método para configurar esse redirecionamento depende da configuração do CloudFront.
-
Depois que os redirecionamentos forem configurados, o ACM tentará validar automaticamente a propriedade do seu domínio. Esse processo pode demorar até 30 minutos.
Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de redirecionamento para você, o ACM altera o status do certificado para Prazo de validação esgotado. O motivo mais provável para esse resultado é que os redirecionamentos HTTP não tenham sido configurados. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de redirecionamento.
Importante
Para evitar problemas de validação, assegure que o conteúdo no local Redirecionar de corresponda ao conteúdo no local Redirecionar para. Se você tiver problemas, consulte Solução de problemas de validação por HTTP.
nota
Ao contrário da validação por DNS, você não pode solicitar de forma programática que o ACM crie automaticamente seus redirecionamentos HTTP. Esses redirecionamentos precisam ser configurados por meio das configurações de distribuição do CloudFront.
Para obter mais informações sobre como a validação por HTTP funciona, consulte Como funcionam os redirecionamentos HTTP para o ACM.
