È possibile associare un'applicazione in esecuzione su AWS a un certificato emesso da ACM?

3 minuti di lettura

Vorrei sapere se è possibile associare un'applicazione in esecuzione su AWS a un certificato emesso da Gestione certificati AWS (ACM).

Breve descrizione

Non è consigliabile associare la tua applicazione a un certificato SSL/TLS emesso da ACM. Se associ un certificato, fornisci al browser un ID per la chiave pubblica utilizzata per il sito Web. Se un utente visita il sito Web, il pin viene memorizzato nella cache dal browser. Tale pin viene quindi utilizzato anche per verificare la chiave pubblica durante le visite future. Le informazioni sul pin sono in genere incluse nell'intestazione della risposta HTTP e nel suo tempo di vita. Se il certificato cambia, ad esempio quando viene rinnovato, la modifica può causare degli errori ai visitatori del sito web. Questi errori si verificano perché non è possibile stabilire una connessione sicura al sito Web. Per ulteriori informazioni, consulta Pinning dei certificati.

Importante: A partire dall'11 ottobre 2022 alle ore 9:00, fuso orario del Pacifico, i certificati pubblici ottenuti tramite ACM verranno emessi da una delle CA intermedie gestite da Amazon. Più CA intermedie si collegano a una CA principale di Amazon Trust Services esistente. Con questa modifica, i certificati a foglia emessi vengono firmati da diverse CA intermedie. Prima di questa modifica, Amazon gestiva un numero limitato di CA intermedie ed emetteva e rinnovava i certificati dalle stesse CA intermedie. Per maggiori informazioni, consulta Amazon introduce le autorità di certificazione intermedie dinamiche.

Risoluzione

È consigliabile collegare l'applicazione a un'autorità di certificazione principale piuttosto che a un singolo certificato o a un certificato CA intermedio. Quando associ un'applicazione a una CA di Amazon Trust Services, associ la stessa applicazione a tutte le CA nella tabella dei servizi fiduciari di Amazon.

Nota: È necessario selezionare tutte le CA a cui si associa l'applicazione perché, quando si richiede un certificato, ACM non specifica l'origine del certificato.

Per bloccare un certificato, utilizza una delle seguenti opzioni per assicurarti che l'applicazione possa connettersi al dominio.

Associare la tua applicazione a un certificato root Amazon

Quando associ l'applicazione al certificato principale, il rinnovo gestito da ACM rinnova il certificato con la stessa CA che lo ha emesso. Il certificato Nome della risorsa Amazon (ARN) rimane lo stesso. Puoi anche associare l'applicazione a più CA come pin di backup. Se il certificato scade, puoi richiedere un nuovo certificato e applicarlo al tuo sistema di bilanciamento del carico per ridurre i tempi di inattività delle applicazioni.

Importa il tuo certificato in ACM, poi associa l'applicazione al certificato importato

I certificati importati non vengono rinnovati dal processo di rinnovo gestito da ACM. Devi gestire il rinnovo del certificato e delle chiavi. Per ulteriori informazioni, consulta Importare i certificati in AWS Certificate Manager.

Informazioni correlate

Le migliori pratiche ACM

Problemi relativi al pinning dei certificati

Argomenti

Sicurezza, identità e conformità

Tag

AWS Certificate Manager

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso associare un certificato ACM SSL/TLS a un sistema Classic, Application o Network Load Balancer?
AWS UFFICIALEAggiornata 3 anni fa
Come posso richiedere un certificato privato utilizzando la console ACM quando il periodo di validità ACM-PCA è inferiore a 13 mesi?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a installare un certificato SSL/TLS sulla mia istanza EC2 Windows su cui è in esecuzione il server IIS?
AWS UFFICIALEAggiornata 2 anni fa
Come posso associare più certificati SSL o TLS ACM ad Application Load Balancer utilizzando CloudFormation?
AWS UFFICIALEAggiornata 2 anni fa