将 Amazon S3 和 Amazon CloudFront 证书迁移到 Amazon Trust Services 是否会影响我的应用程序?

上次更新日期:2021 年 3 月 4 日

将 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudFront 证书迁移到 Amazon Trust Services 可能影响了我的应用程序。我想验证 Amazon Trust Services 颁发机构 (CA) 是否在我的信任库中。

简短描述

从 2021 年 3 月 23 日起,AWS 将开始将 Amazon S3 和 CloudFront 的安全套接字层/传输层安全 (SSL/TLS) CA 从 DigiCert 迁移到 Amazon Trust Services

符合下列任何情景的应用程序流量不受此迁移的影响:

  • HTTP 流量
  • 使用自定义域和证书发送到 CloudFront 的 HTTPS 流量
  • 在 S3 已经使用 Amazon Trust Services 的 AWS 区域,发送到该区域中 S3 存储桶的 HTTPS 流量(eu-west-3、eu-north-1、me-south-1、ap-northeast-3、ap-east-1 或 us-gov-east-1)

解决方法

如果存在以下任何情况,您必须确认您的应用程序信任 Amazon Trust Services 作为 CA:

  • 您直接将 HTTPS 流量发送到非上文所列区域中的 S3 存储桶。
  • 您将 HTTPS 流量发送到 *.cloudfront.net 涵盖的 CloudFront 域。

如果您使用其他 AWS 服务,则您的应用程序可能已信任 Amazon Trust Services。Amazon Elastic Compute Cloud (Amazon EC2) 和 Amazon DynamoDB 等许多 AWS 服务已经迁移了 CA。

由 Amazon Trust Services 颁发的证书已包含在大多数 Web 浏览器、操作系统和应用程序的信任库中。您可能不需要更新配置来处理迁移,但也有例外。如果您构建自定义证书信任库区或使用证书绑定功能,则可能需要更新配置。如果 Amazon Trust Services 不在您的信任库中,您将在浏览器(请参阅示例)和应用程序中看到错误消息。

要验证 Amazon Trust Services 是否已在您的信任库中,请从用于连接到 Amazon S3 或 CloudFront 终端节点的系统中运行以下任何测试:

  • 此测试 URL检索测试对象。 然后,验证您是否收到 200 回复或在测试图像中看到绿色的对钩标志。
  • 在以下任何 AWS 区域创建一个 Amazon S3 存储桶:eu-west-3、eu-north-1、me-south-1、ap-northeast-3、ap-east-1 或 us-gov-east-1。(这些区域中的 S3 存储桶已经使用 Amazon Trust Services 证书。) 然后,通过 HTTPS 从此存储桶检索测试对象

如果其中某项测试成功,则您的客户端已准备好迁移到 Amazon Trust Services。

要验证 Amazon Trust Services 的所有四个根 CA 都包含在您的信任库中,请执行以下操作:

对于此迁移,您的应用程序无需直接信任 Amazon Trust Services 的根 CA。如果您的应用程序信任 Starfield Services 根 CA,就已足够了。Amazon S3 和 CloudFront 将呈现具有由 Starfield Service 根 CA 交叉签名的 Amazon 根 CA 的证书链。

如果前两个测试中的任何一项测试失败,则说明 Amazon Trust Services CA 不在您的信任库中。执行以下一项或多项操作以更新您的信任库,从而使其包含 Amazon Trust Services CA:

  • 升级操作系统或 Web 浏览器。
  • 更新应用程序以通过自定义域名和您自己的证书来使用 CloudFront。
  • 如果您的应用程序使用的是自定义信任库,则必须将 Amazon 根 CA添加到应用程序的信任库中。
  • 如果您使用证书绑定来锁定信任的 CA,则必须调整绑定以包含 Amazon Trust Services CA。
  • 大多数 AWS 软件开发工具包和 AWS 命令行界面 (AWS CLI) 不受此迁移的影响。但如果您使用的是 2013 年 10 月 29 日之前发布的 Python AWS 软件开发工具包或 AWS CLI 版本,则必须升级证书。
    注意:如果在运行 AWS CLI 命令时收到错误,请确保您使用的是最新的 AWS CLI 版本

这篇文章对您有帮助吗?


您是否需要账单或技术支持?