Est-il possible d'épingler une application exécutée sur AWS à un certificat émis par AWS Certificate Manager (ACM) ?

Date de la dernière mise à jour : 10/09/2020

Si je dispose d'une application exécutée sur AWS, puis-je l’épingler à un certificat émis par AWS Certificate Manager (ACM) ?

Brève description

AWS déconseille d'épingler une application à un certificat SSL/TLS émis par ACM. Si vous épinglez un certificat, vous fournissez à un navigateur un ID pour la clé publique qui est utilisée pour le site Web. Si un utilisateur visite le site Web, l'épingle est mise en cache par le navigateur. Cette épingle est également utilisée par la suite pour vérifier la clé publique lors de futures visites. Les informations relatives à l'épingle sont généralement incluses dans l'en-tête de la réponse HTTP et dans la durée de vie (TTL) de l'épingle. Si le certificat change, par exemple, s'il est renouvelé, les visiteurs du site Web sont susceptibles de recevoir une erreur. Cette erreur se produit parce qu'une connexion sécurisée au site web ne peut pas être établie. Pour plus d'informations, consultez la section Épinglage de certificat.

Résolution

Si vous devez épingler une application à un certificat, il est conseillé de l'épingler à une autorité de certification (CA) plutôt qu'à un certificat individuel. Si vous épinglez une application à une CA Amazon Trust Services, assurez-vous d'épingler la même application à toutes les CA de la table Amazon Trust Services.

Remarque : vous devez sélectionner toutes les CA auxquelles vous épinglez votre application. En effet, lorsque vous demandez un certificat, ACM ne spécifie pas son origine.

Quand vous épinglez une application à un certificat, utilisez l'une des options suivantes pour vous assurer que l'application peut se connecter au domaine.

Épingler l'application à un certificat racine Amazon

Si vous épinglez l'application au niveau du certificat de racine, alors le renouvellement géré pour les certificats émis par Amazon d'ACM renouvelle le certificat sous la même CA qui a émis le certificat. Le certificat Amazon Resource Name (ARN) reste inchangé. Vous pouvez également épingler l'application à plusieurs CA comme épingles de sauvegarde. Si le certificat expire, vous pouvez demander un nouveau certificat et appliquer le certificat à l'équilibreur de charge pour réduire les temps d'arrêt de l'application.

Importer votre propre certificat dans ACM, puis épingler l'application au certificat importé

Les certificats importés ne sont pas renouvelés par le processus de renouvellement géré par ACM. Vous devez gérer le renouvellement des certificats et des clés. Pour plus d'informations, consultez la section Importation de certificats dans AWS Certificate Manager.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?