Vorrei sapere se è possibile associare un'applicazione in esecuzione su AWS a un certificato emesso da Gestione certificati AWS (ACM).
Breve descrizione
Non è consigliabile associare la tua applicazione a un certificato SSL/TLS emesso da ACM. Se associ un certificato, fornisci al browser un ID per la chiave pubblica utilizzata per il sito Web. Se un utente visita il sito Web, il pin viene memorizzato nella cache dal browser. Tale pin viene quindi utilizzato anche per verificare la chiave pubblica durante le visite future. Le informazioni sul pin sono in genere incluse nell'intestazione della risposta HTTP e nel suo tempo di vita. Se il certificato cambia, ad esempio quando viene rinnovato, la modifica può causare degli errori ai visitatori del sito web. Questi errori si verificano perché non è possibile stabilire una connessione sicura al sito Web. Per ulteriori informazioni, consulta Pinning dei certificati.
Importante: A partire dall'11 ottobre 2022 alle ore 9:00, fuso orario del Pacifico, i certificati pubblici ottenuti tramite ACM verranno emessi da una delle CA intermedie gestite da Amazon. Più CA intermedie si collegano a una CA principale di Amazon Trust Services esistente. Con questa modifica, i certificati a foglia emessi vengono firmati da diverse CA intermedie. Prima di questa modifica, Amazon gestiva un numero limitato di CA intermedie ed emetteva e rinnovava i certificati dalle stesse CA intermedie. Per maggiori informazioni, consulta Amazon introduce le autorità di certificazione intermedie dinamiche.
Risoluzione
È consigliabile collegare l'applicazione a un'autorità di certificazione principale piuttosto che a un singolo certificato o a un certificato CA intermedio. Quando associ un'applicazione a una CA di Amazon Trust Services, associ la stessa applicazione a tutte le CA nella tabella dei servizi fiduciari di Amazon.
Nota: È necessario selezionare tutte le CA a cui si associa l'applicazione perché, quando si richiede un certificato, ACM non specifica l'origine del certificato.
Per bloccare un certificato, utilizza una delle seguenti opzioni per assicurarti che l'applicazione possa connettersi al dominio.
Associare la tua applicazione a un certificato root Amazon
Quando associ l'applicazione al certificato principale, il rinnovo gestito da ACM rinnova il certificato con la stessa CA che lo ha emesso. Il certificato Nome della risorsa Amazon (ARN) rimane lo stesso. Puoi anche associare l'applicazione a più CA come pin di backup. Se il certificato scade, puoi richiedere un nuovo certificato e applicarlo al tuo sistema di bilanciamento del carico per ridurre i tempi di inattività delle applicazioni.
Importa il tuo certificato in ACM, poi associa l'applicazione al certificato importato
I certificati importati non vengono rinnovati dal processo di rinnovo gestito da ACM. Devi gestire il rinnovo del certificato e delle chiavi. Per ulteriori informazioni, consulta Importare i certificati in AWS Certificate Manager.
Informazioni correlate
Le migliori pratiche ACM
Problemi relativi al pinning dei certificati