Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. Certifikat Lifecycle Management

Säkra din infrastruktur med certifikat med hjälp av AWS Certificate Manager

Postat avAditi Goel 16 minuter
AWS Certificate Manager (ACM) erbjuder ett sätt att skapa, lagra och förnya publika och privata SSL/TLS X.509-certifikat, inklusive publika och privata nycklar. Dessa certifikat kan användas för att säkra webbplatser och applikationer som finns på AWS.
Innehållsförteckning

digitalt certifikat är en avgörande komponent för att säkra infrastruktur och säkerställa autenticiteten hos användare, applikationer, enheter, servrar med mera. Det digitala certifikatet ger ett sätt att utföra autentisering och auktorisera tjänster och utföra uppgifter som att initiera en HTTPS-anslutning, upprätta en krypterad anslutning med hjälp av asymmetrisk krypteringoch kontrollerar om en användare, webbplats eller enhet är autentisk. Digitala certifikat ersätter användarnamn/lösenord-kombinationen som används för autentisering och introducerar även fler funktioner. Om två parter till exempel avser att initiera en säker anslutning med publika nycklar, skulle den publika nyckeln kopplas till det digitala certifikatet. Detta minskar snabbt risken för man-in-the-middle-attacker och håller anslutningen säker.

Men hanteringen av dessa digitala certifikat kräver ordentlig infrastruktur. Digitala certifikat utfärdas av certifikatutfärdare (CA). Om en offentlig betrodd CA utfärdar det digitala certifikatet, kommer alla webbläsare automatiskt att lita på certifikatet efter att ha kontrollerat om certifikatet är giltigt. Om CA:n inte är betrodd, eller om certifikatet är självsignerat (vilket innebär att det inte är utfärdat av en CA), måste vi antingen uttryckligen lita på certifikatet eller få en varning i webbläsaren.

AWS Certificate Manager (ACM) ger ett sätt att skapa, lagra och förnya offentliga och privata certifikat. SSL/TLS X.509-certifikat, Inbegripet offentliga och privata nycklarDessa certifikat kan användas för att säkra webbplatser och applikationer som finns på AWS.

Amazon Web Services Certificate Manager (ACM)

AWS Certificate Manager är en tjänst från Amazon som låter en användare tillhandahålla, hantera och distribuera offentliga och privata SSL/TLS-certifikat som kan användas med AWS-tjänster och internt anslutna resurser. SSL/TLS-certifikat används för att upprätta en säker nätverksanslutning och bevisa en webbplats identitet och resurser i ett privat nätverk. ACM köper, hanterar och förnyar SSL/TLS-certifikat och distribuerar dem i infrastrukturen, vilket direkt sparar tid och förbättrar hanterbarheten.
AWS erbjuder två alternativ till kunder som driftsätter hanterade X.509-certifikat. Organisationer kan välja det som bäst passar deras behov.

  • AWS-certifikathanterare (ACM)
  • ACM Privat CA

ACM Privat CA

ACM Private CA är en tjänst för företagskunder som bygger en Public Key Infrastructure (PKI) inuti AWS-molnet och avsedda för privat bruk inom en organisation. Med ACM Private CA kan användare skapa sin CA-hierarki och utfärda certifikat för att autentisera användare, datorer, applikationer, tjänster, servrar och andra enheter. Certifikat som utfärdats av en privat CA kan inte användas på internet.

ACM-certifikat

AWS Certificate Manager genererar X.509 version 3-certifikat. Varje certifikat är giltigt i 13 månader och innehåller följande tillägg:

  • Grundläggande begränsningar – anger om certifikatets subjekt är en certifieringsutfärdare (CA).
  • Auktoritetsnyckelidentifierare – möjliggör identifiering av den offentliga nyckel som motsvarar den privata nyckel som används för att signera certifikatet.
  • Ämnesnyckelidentifierare – möjliggör identifiering av certifikat som innehåller en viss offentlig nyckel.
  • Nyckelanvändning – definierar syftet med den publika nyckeln som är inbäddad i certifikatet.
  • Utökad nyckelanvändning – anger ett eller flera syften för vilka den publika nyckeln får användas utöver de syften som identifieras av nyckelanvändningstillägget.
  • CRL-distributionspunkter – anger var CRL-information kan erhållas.

ACM-rot-CA:er

Distinguished NameKrypteringsalgoritm
CN=Amazon Root CA 1, O=Amazon, C=US2048-bitars RSA (RSA_2048)
CN=Amazon Root CA 2, O=Amazon, C=US4096-bitars RSA (RSA_4096)
CN=Amazon Root CA 3, O=Amazon, C=USElliptisk Prime-kurva 256 bitar (EC_prime256v1)
CN=Amazon Root CA 4, O=Amazon, C=USElliptisk Prime-kurva 384 bitar (EC_secp384r1)

Standardroten för ACM-utfärdade certifikat är CN=Amazon Root CA 1, O=Amazon, C=US, vilket erbjuder 2048-bitars RSA-säkerhet. De andra rötterna är reserverade för framtida bruk. Alla rötter är korssignerade av Starfield Services Root Certificate Authority (CA)-certifikatet.

ACM-certifikatets egenskaper

Certifikat som tillhandahålls av ACM har specifika egenskaper. Om certifikatet importeras till ACM kanske egenskaperna inte gäller. Egenskaperna för offentliga certifikat är:

  • Domänvalidering: ACM-certifikat är domänvaliderade, vilket är kopplat till ämnesfältet för ett ACM-certifikat. När ett ACM-certifikat begärs måste organisationen validera att den äger, kontrollerar och hanterar alla domäner som anges i begäran. Användare kan validera domänägande via e-post eller via DNS.
  • Giltighetsperiod: Giltighetstiden för ACM-certifikat är 13 månader eller 395 dagar.
  • Hanterad förnyelse och driftsättning: ACM hanterar processen för att förnya ACM-certifikat och tillhandahålla certifikaten efter att de har förnyats. Automatisk förnyelse kan hjälpa organisationer att undvika driftstopp på grund av felaktigt konfigurerade, återkallade eller utgångna certifikat.
  • Webbläsar- och applikationsförtroende: 
    ACM-certifikat är betrodda av alla större webbläsare, inklusive Google Chrome, Microsoft Internet Explorer och Microsoft Edge, Mozilla Firefox och Apple Safari. Webbläsare som litar på ACM-certifikat visar en låsikon i statusfältet eller adressfältet när de är anslutna via SSL/TLS till webbplatser som använder ACM-certifikat. Java litar också på ACM-certifikat.
  • Flera domännamn: Varje ACM-certifikat måste innehålla minst ett fullständigt kvalificerat domännamn (FQDN), och användare kan lägga till ytterligare namn om de vill. Till exempel, när användare skapar ett ACM-certifikat för www.encryptionconsulting.com, kan användarna också lägga till namnet www.encryptionconsulting.net om de kan nå sin webbplats med hjälp av något av namnen. Detta gäller även för nakna domäner (även kända som zonapex eller nakna domäner). Det vill säga, användare kan begära ett ACM-certifikat för www.encryptionconsulting.com och lägga till namnet encryptionconsulting.com.
  • Wildcard-domännamn: ACM tillåter användare att använda en asterisk (*) i domännamnet för att skapa ett ACM-certifikat som innehåller ett jokerteckennamn som kan skydda flera webbplatser inom samma domän. Till exempel täcker *.encryptionconsulting.com www.encryptionconsulting.com och images.encryptionconsulting.com.
  • algoritmer: Ett certifikat måste ange en algoritm och nyckelstorlek. För närvarande stöds följande algoritmer för offentlig nyckel av ACM:
    • 2048-bitars RSA (RSA_2048)
    • 4096-bitars RSA (RSA_4096)
    • Elliptisk Prime-kurva 256 bitar (EC_prime256v1)
    • Elliptisk Prime-kurva 384 bitar (EC_secp384r1)

Nackdelar med att använda ett ACM-certifikat

  • ACM tillhandahåller inte certifikat för utökad validering (EV) eller organisationsvalidering (OV).
  • ACM tillhandahåller inga certifikat för något annat än SSL/TLS-protokollen.
  • Organisationer kan inte använda ACM-certifikat för e-postkryptering.
  • ACM tillåter endast UTF-8-kodad ASCII för domännamn, inklusive etiketter som innehåller "xn--" (Punycode). ACM accepterar inte Unicode-inmatning (u-etiketter) för domännamn.
  • ACM tillåter för närvarande inte användare att välja bort förnyelse av hanterade certifikat för ACM-certifikat. Hanterad förnyelse är inte heller tillgänglig för certifikat som organisationer importerar till ACM.
  • Användare kan inte begära certifikat för Amazon-ägda domännamn, till exempel de som slutar på amazonaws.com, cloudfront.net eller elasticbeanstalk.com.
  • Användare kan inte ladda ner den privata nyckeln för ett ACM-certifikat.
  • Användare kan inte installera ACM-certifikat direkt på sin Amazon Elastic Compute Cloud (Amazon EC2) webbplats eller applikation. Användare kan dock använda sitt certifikat med vilken integrerad tjänst som helst.

Certifikathantering

Förhindra certifikatavbrott, effektivisera IT-verksamheten och uppnå flexibilitet med vår certifikathanteringslösning.

Boka en demo

Tjänster integrerade med AWS Certificate Manager

AWS Certificate Manager stöder ett växande antal AWS-tjänster. Organisationer kan inte installera sitt ACM-certifikat eller sitt privata ACM Private CA-certifikat direkt på sin AWS-baserade webbplats eller applikation.

  • Elastisk lastbalansering: Elastic Load Balancing distribuerar automatiskt organisationens inkommande applikationstrafik över flera Amazon EC2-instanser. Den upptäcker ohälsosamma instanser och omdirigerar trafik till hälsosamma instanser tills de ohälsosamma instanserna har återställts. Elastic Load Balancing skalar automatiskt sin kapacitet för hantering av förfrågningar som svar på inkommande trafik.
    Generellt sett kräver lastbalanserare att SSL/TLS-certifikat installeras antingen på lastbalanseraren eller på Amazon EC2-backend-instansen för att kunna leverera säkert innehåll via SSL/TLS. ACM är integrerat med Elastic Load Balancing för att distribuera ACM-certifikat på lastbalanseraren.
  • Amazon CloudFront: Amazon CloudFront är en webbtjänst som snabbar upp distributionen av en organisations dynamiska och statiska webbinnehåll till slutanvändare genom att leverera deras innehåll från ett världsomspännande nätverk av edge-platser. När en slutanvändare begär innehåll som de serverar via CloudFront, dirigeras användaren till den edge-plats som ger lägst latens. Detta säkerställer att innehåll levereras med bästa möjliga prestanda. Om innehållet för närvarande finns på den edge-platsen levererar CloudFront det omedelbart. Om innehållet för närvarande inte finns på den edge-platsen hämtar CloudFront det från Amazon S3-bucket eller webbservern som användarna har identifierat som den definitiva innehållskällan.
    För att leverera säkert innehåll över SSL/TLS kräver CloudFront att SSL/TLS-certifikat installeras antingen på CloudFront-distributionen eller på den säkerhetskopierade innehållskällan. ACM är integrerat med CloudFront för att distribuera ACM-certifikat på CloudFront-distributionen.
  • AWS Elastisk Bönstjälk: Elastic Beanstalk hjälper användare att distribuera och hantera applikationer i AWS Cloud utan att behöva oroa sig för infrastrukturen som kör dessa applikationer. AWS Elastic Beanstalk minskar hanteringskomplexiteten. Användare laddar upp sina applikationer och Elastic Beanstalk hanterar automatiskt detaljerna kring kapacitetsprovisionering, lastbalansering, skalning och hälsoövervakning. Elastic Beanstalk använder Elastic Load Balancing-tjänsten för att skapa en lastbalanserare.
    Din måste konfigurera lastutjämnaren för sin applikation i Elastic Beanstalk-konsolen för att välja en certifikatroll.
  • Amazon API-gateway: Med spridningen av mobila enheter och sakernas internet (IoT) har det blivit allt vanligare att skapa API:er som kan användas för att komma åt data och interagera med backend-system på AWS. Användare kan använda API Gateway för att publicera, underhålla, övervaka och säkra sina API:er. Efter att användaren har driftsatt sitt API till API Gateway kan användarna skapa ett anpassat domännamn för att förenkla åtkomsten. För att skapa ett anpassat domännamn måste användarna tillhandahålla ett SSL/TLS-certifikat. De kan använda ACM för att generera eller importera certifikatet.
  • AWS Nitro-enklaver: AWS Nitro Enclaves är en Amazon EC2-funktion som låter användare skapa isolerade exekveringsmiljöer, kallade enklaver, från Amazon EC2-instanser. Enklaver är separata, härdade och mycket begränsade virtuella maskiner. De tillhandahåller endast säker lokal socket-anslutning med sin överordnade instans. De har ingen permanent lagring, interaktiv åtkomst eller externa nätverk. Användare kan inte SSH-a till en enklav. Data och applikationer inuti enklaven kan inte nås av överordnade instansens processer, applikationer eller användare (inklusive root eller administratör).
  • AWS CloudFormation: AWS CloudFormation hjälper användare att modellera och konfigurera sina AWS-resurser. Användare skapar en mall som beskriver de AWS-resurser de vill använda, till exempel Elastic Load Balancing eller API Gateway. Sedan tar AWS CloudFormation hand om att provisionera och konfigurera dessa resurser åt dem. Användare behöver inte individuellt skapa och konfigurera AWS-resurser och lista ut vad som är beroende av vad; AWS CloudFormation hanterar allt detta. ACM-certifikat ingår som en mallresurs, vilket innebär att AWS CloudFormation kan begära ACM-certifikat som användare kan använda med AWS-tjänster för att säkra anslutningar.
    Med den kraftfulla automatiseringen som AWS CloudFormation erbjuder är det enkelt att överskrida certifikatkvoten, särskilt med nya AWS-konton.

Dataskydd i AWS Certificate Manager

AWS modell för delat ansvar gäller för dataskydd i AWS Certificate Manager. Som beskrivs i denna modell ansvarar AWS för att skydda den globala infrastrukturen som driver hela AWS Cloud. Organisationer ansvarar för att upprätthålla kontrollen över sitt innehåll som finns på denna infrastruktur. Detta innehåll inkluderar säkerhetskonfiguration och hanteringsuppgifter för de AWS-tjänster som organisationer använder.

Vi rekommenderar att organisationer skyddar AWS-kontouppgifter och skapar individuella användarkonton med AWS Identity and Access Management (IAM) för dataskyddsändamål. På så sätt får varje användare endast de behörigheter som krävs för att utföra sina arbetsuppgifter. Vi rekommenderar också att organisationer säkrar sina data på följande sätt:

  • Använd multifaktorautentisering (MFA) med varje konto.
  • Använd SSL/TLS för att kommunicera med AWS-resurser. Vi rekommenderar TLS 1.2 eller senare.
  • Konfigurera API- och användaraktivitetsloggning med AWS CloudTrail.
  • Använd AWS-krypteringslösningar, tillsammans med alla standardsäkerhetskontroller inom AWS-tjänster.
  • Använd avancerade hanterade säkerhetstjänster som Amazon Macie, som hjälper till att upptäcka och säkra personuppgifter som lagras i Amazon S3.
  • Om användare behöver FIPS 140-2-validerade kryptografiska moduler när de åtkommer AWS via ett kommandoradsgränssnitt eller ett API, använd en FIPS-slutpunkt.

Vi rekommenderar starkt att användare aldrig anger känslig identifierande information, till exempel kunders kontonummer, i fritt formulerade fält som ett namnfält. Detta inkluderar när användare arbetar med ACM eller andra AWS-tjänster med hjälp av konsolen, API, AWS CLI eller AWS SDK:er. All data som de anger i ACM eller andra tjänster kan hämtas för att inkluderas i diagnostikloggar. När de anger en URL till en extern server, inkludera inte inloggningsuppgifter i URL:en för att validera deras begäran till den servern.

Certifikathantering

Förhindra certifikatavbrott, effektivisera IT-verksamheten och uppnå flexibilitet med vår certifikathanteringslösning.

Boka en demo

ACM Private Key-säkerhet

När användare begär ett offentligt certifikat (s. 30) genererar AWS Certificate Manager (ACM) ett offentligt/privat nyckelpar. För importerade certifikat (s. 54) genererar användarna nyckelparet. Den offentliga nyckeln blir en del av certifikatet. ACM lagrar certifikatet och dess motsvarande privata nyckel och använder AWS Key Management Service (AWS KMS) för att skydda den privata nyckeln. Processen fungerar så här:

  1. När förstagångsanvändare begär eller importerar ett certifikat i en AWS-region skapar ACM en AWS-hanterad kundmasternyckel (CMK) i AWS KMS med aliaset AWS/ACM. Denna CMK är unik i varje AWS-konto och varje AWS-region.
  2. ACM använder denna CMK för att kryptera certifikatets privata nyckel. ACM lagrar endast en krypterad version av den privata nyckeln; ACM lagrar inte den privata nyckeln i klartext. ACM använder samma CMK för att kryptera de privata nycklarna för alla certifikat i ett specifikt AWS-konto och en specifik AWS-region.
  3. När användare associerar certifikatet med en tjänst som är integrerad med AWS Certificate Manager, skickar ACM certifikatet och den krypterade privata nyckeln till tjänsten. Ett beviljande skapas också i AWS KMS, vilket gör att tjänsten kan använda CMK i AWS KMS för att dekryptera certifikatets privata nyckel.
  4. Integrerade tjänster använder CMK i AWS KMS för att dekryptera den privata nyckeln. Sedan använder tjänsten certifikatet och den dekrypterade (klartext) privata nyckeln för att upprätta säkra kommunikationskanaler (SSL/TLS-sessioner) med sina klienter.
  5. När certifikatet kopplas bort från en integrerad tjänst tas beviljandet som skapades i steg 3 bort. Det betyder att tjänsten inte längre kan använda CMK i AWS KMS för att dekryptera certifikatets privata nyckel.

Begär ett offentligt certifikat med hjälp av konsolen

Så här begär du ett generellt ACM-certifikat (konsol):

  1. Logga in på AWS Management Console och öppna ACM-konsol. Välj Begär ett certifikat.
  2. begär ett certifikat sida, välj begära ett offentligt certifikat och begär ett certifikat att fortsätta.
  3. Lägg till domännamn sida, skriv in sitt domännamn. Användare kan använda ett fullständigt kvalificerat domännamn (FQDN), till exempel www.krypteringskonsulting.com, eller ett rent eller toppdomännamn, till exempel encryptionconsulting.com. Användare kan också använda en asterisk (*) som jokertecken längst till vänster för att skydda flera webbplatsnamn inom samma domän. Till exempel, *.krypteringskonsultering.com skyddar corp.encryptionconsulting.com och images.encryptionconsulting.comJokertecknet visas i fältet Ämne och med tillägget Alternativt namn för ämnet för ACM-certifikatet.
  4. För att lägga till ett annat namn, välj att lägg till ett annat namn till detta certifikat och skriv namnet i textrutan. Detta är användbart för att skydda både en bar domän eller en apexdomän (t.ex. krypteringskonsultation.com) och underdomäner som till exempel *.krypteringskonsultering.com).
  5. Välj valideringsmetod sida, välj antingen DNS-validering or E-postvalideringberoende på deras behov.
    Innan ACM utfärdar ett certifikat validerar de att användaren äger eller kontrollerar domännamnen i sin certifikatförfrågan. Användare kan använda antingen e-postvalidering eller DNS-validering. Om de väljer e-postvalidering skickar ACM valideringsmejl till tre kontaktadresser som är registrerade i WHOIS-databasen och fem gemensamma systemadministrationsadresser för varje domännamn. Användare eller en auktoriserad representant måste svara på ett av dessa e-postmeddelanden.
  6. Lägg till taggar sidan kan användare valfritt tagga sitt certifikat. Taggar är nyckel-/värdepar som fungerar som metadata för att identifiera och organisera AWS-resurser.
    När användarna är klara med att lägga till taggar, välj översyn.
  7. Om översyn sidan innehåller korrekt information om deras begäran, välj Bekräfta och begärEn bekräftelsesida visar att deras begäran behandlas och att certifikatdomäner valideras. Certifikat som väntar på validering finns i Väntar på validering tillstånd.

AWS-tjänster från Encryption Consulting

Krypteringskonsulttjänster tillhandahåller AWS dataskyddstjänster, där vi erbjuder vår expertis inom skalbarhet, kostnadseffektivitet och enkel implementering. AWS är en ledande molntjänstleverantör med ett brett utbud av tjänster. Det uppskattas att 41.5% av det totala antalet molnanvändare är konsumenter av AWS Cloud Services. Amazon har över 1 miljoner användare in 190 länder. En tredjedel av internetanvändarna uppskattas besöka en webbplats med hjälp av AWS. Med en så stor kundbas och tjänster finns det ett överhängande hot om dataintrång och förlust.

Organisationer som använder AWS webbtjänster och applikationer ansvarar för att säkra sina känsliga och kritiska data som lagras i molnet. AWS erbjuder enkel distribution och hantering av sin IT-verksamhet; en utmaning är dock att misstag kan inträffa och få en mer betydande inverkan.

Till exempel kan felkonfiguration av ett datalager exponera känslig information såsom personligt identifierbar information (PII), data från betalkortsbranschen (PCI) eller skyddad hälsoinformation (PHI).

Ett välrenommerat marknadsföringsanalysföretag konfigurerade inte lämpliga säkerhetskontroller på en Amazon Simple Storage Service (Amazon S3) i sin AWS-miljö i ett nyligt intrång. Till följd av denna felkonfiguration av AWS läckte data relaterade till 123 miljoner hushåll, inklusive känsliga uppgifter som hemadresser, yrken och bolåneinformation.

Encryption Consulting LLC hjälper er organisation med sin expertis inom molnplattformar och säkerhetstjänster att distribuera dataskyddskontroller i er AWS Cloud-miljö. Läs mer om våra tjänster. här.Du kan också läsa om en fallstudie vi gjorde om dataskyddstjänster. här..

Slutsats

AWS Certificate Management erbjuder ett sätt att enkelt hantera SSL/TLS-certifikat och integrera dessa certifikat i AWS-miljön för att hålla enheter, webbplatser och infrastruktur säkra. Även om vanliga SSL/TLS-certifikat används har ACM några fördelar och nackdelar, vilket skiljer det från hur SSL/TLS-certifikat vanligtvis har använts. På Encryption Consulting tillhandahåller vi en detaljerad bedömning och lösning till organisationer som skapar säker och skalbar infrastruktur samtidigt som de bibehåller effektiviteten och håller kostnaderna minimala.

Referenser:

Upptäck vår

Relaterade bloggar

Certifikat Lifecycle Management

Automatisera certifikathantering i Azure Key Vault

Juni 23, 2026
Certifikat Lifecycle Management

Styrning av AI-agenter börjar med maskinidentitet 

Juni 22, 2026
Certifikat Lifecycle Management

Varför Let's Encrypts ändringar från den 13 maj är viktiga

Utforska

Fler ämnen