Est-il possible d’épingler une application exécutée sur AWS à un certificat émis par AWS Certificate Manager (ACM) ?

Dernière mise à jour : 2021-10-06

Si je dispose d’une application exécutée sur AWS, puis-je l’épingler à un certificat émis par AWS Certificate Manager (ACM) ?

Brève description

Il n'est pas recommandé d’épingler votre application à un certificat SSL/TLS émis par ACM. Si vous épinglez un certificat, vous fournissez un ID à un navigateur pour la clé publique qui est utilisée pour le site Web. Si un utilisateur visite le site Web, l'épingle est mise en cache par le navigateur. Cette épingle est également utilisée par la suite pour vérifier la clé publique lors de futures visites. Les informations relatives à l'épingle sont généralement incluses dans l'en-tête de la réponse HTTP et dans la durée de vie (TTL) de l'épingle. Si le certificat change, par exemple, s'il est renouvelé, les visiteurs du site Web sont susceptibles de recevoir une erreur. Cette erreur se produit parce qu'une connexion sécurisée au site web ne peut pas être établie. Pour plus d'informations, consultez la section Épinglage de certificat.

Résolution

Si vous devez épingler une application à un certificat, il est conseillé de l’épingler à une autorité de certification (CA) plutôt qu’à un certificat donné. Si vous épinglez une application à une CA Amazon Trust Services, assurez-vous d’épingler la même application à toutes les CA de la table Amazon Trust Services.

Remarque : Vous devez sélectionner toutes les CA auxquelles vous épinglez votre application. En effet, lorsque vous demandez un certificat, ACM ne spécifie pas son origine.

Quand vous épinglez une application à un certificat, utilisez l'une des options suivantes pour vous assurer que l'application peut se connecter au domaine.

Épingler votre application à un certificat racine Amazon

Si vous épinglez l’application au niveau du certificat racine, alors le renouvellement géré des certificats émis par Amazon d’ACM renouvelle le certificat sous la même CA qui a émis le certificat. Le certificat Amazon Resource Name (ARN) reste inchangé. Vous pouvez également épingler l’application à plusieurs CA comme épingles de sauvegarde. Si le certificat expire, vous pouvez demander un nouveau certificat et appliquer le certificat à l’équilibreur de charge pour réduire les temps d’arrêt de l’application.

Importer votre propre certificat dans ACM, puis épingler l’application au certificat importé

Les certificats importés ne sont pas renouvelés par le processus de renouvellement géré par ACM. Vous devez gérer le renouvellement des certificats et des clés. Pour plus d'informations, consultez la section Importation de certificats dans AWS Certificate Manager.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?