我可以将 AWS 上运行的应用程序固定到由 AWS Certificate Manager (ACM) 颁发的证书吗?

上次更新时间:2020 年 9 月 10 日

如果我有一个在 AWS 上运行的应用程序,我可以将该应用程序固定到由 AWS Certificate Manager (ACM) 颁发的证书吗?

简短描述

AWS 不建议将您的应用程序固定到由 ACM 颁发的 SSL/TLS 证书。如果您要固定证书,则需为浏览器提供用于该网站的公钥 ID。如果用户访问该网站,浏览器会缓存该 pin。此外,该 pin 还会在未来的访问中被用来验证公钥。pin 信息通常包含在 HTTP 响应和 pin 生存时间 (TTL) 的标头中。如果证书发生更改(如续订证书),则该更改可能会导致网站访问者收到错误。之所以出现错误,是因为无法与网站建立安全连接。有关更多信息,请参阅证书固定

解决方法

如果必须将应用程序固定到证书,最好将其固定到证书颁发机构 (CA),而不是固定到单个证书。如果您将应用程序固定到 Amazon Trust Services CA,请务必将同一应用程序固定到 Amazon Trust Services 表上的所有 CA。

注意:您必须选择将应用程序固定到的所有 CA。这是因为当您请求证书时,ACM 不会指定证书的来源。

要固定证书,请使用以下任一选项来确保应用程序可以连接到域。

将您的应用程序固定到 Amazon 根证书

如果在根证书级别固定应用程序,适用于 ACM 的由 Amazon 颁发的证书的托管续订会在颁发该证书的同一 CA 下续订证书,并且证书的 Amazon 资源名称 (ARN) 保持不变。您还可以将您的应用程序作为备用 pin 固定到多个 CA。如果证书到期,您可以申请一个新证书并将该证书应用到负载均衡器,以缩短应用程序的停机时间。

将您自己的证书导入 ACM,并将您的应用程序固定到已导入的证书

ACM 托管的续订过程不会续订已导入的证书。您必须亲自管理证书和密钥的续订。有关更多信息,请参阅将证书导入到 AWS Certificate Manager 中


这篇文章对您有帮助吗?


您是否需要账单或技术支持?