msi*_*kis 5 ssl certificate amazon-web-services amazon-cloudfront aws-certificate-manager
在不同地区请求相同的通配符证书是否安全?我在爱尔兰地区使用连接到生产 ELB 的一个,但我需要在弗吉尼亚北部地区使用相同的 ELB 将其连接到 CloudFront。
如果您多次向 Amazon Certificate Manager 请求“相同”证书(无论是在同一区域还是跨区域),您实际上不会多次获得相同的证书。多个证书均具有相同的主题和主题备用名称,但它们并不是真正的“相同”证书。他们将拥有不同的私钥和 ARN。
跨区域请求具有相同主题(域)的证书不会产生安全隐患,因为这两个证书没有任何共同点。
请注意,如果您使用HPKP,则需要考虑多个有效公钥的存在。不建议固定 ACM 颁发的证书,而且显然,无论如何,固定现在已被弃用。
此外,无论您是否在多个区域使用证书,请务必尽可能对您的证书使用 DNS 验证。如果您使用电子邮件验证,证书的自动年度续订可能无法按预期工作,特别是当在多个区域中创建相同域的证书或证书位于单个区域但仅是通配符域的证书时。如果您不使用 DNS 验证,在这些情况和其他情况下,您可能必须手动确认续订电子邮件。(这并不是服务本身的限制。自动续订电子邮件验证的证书要求服务验证证书上列出的域名是否确实在 Internet 上使用该证书,并且 ACM 需要使用 no 来验证这一点内部信息。)
DNS 验证是在 ACM 可用后引入的,因此,如果您在此功能发布之前拥有 ACM 颁发的现有证书,则应考虑创建具有 DNS 验证的新证书,然后切换到它们。
| 归档时间: |
|
| 查看次数: |
2386 次 |
| 最近记录: |