Амазон сертификат на андроиде что это
5 самых вредных настроек в каждом смартфоне, которые нужно проверить поскорее
Смартфон, как и любое другое электронное устройство, имеет базовые настройки, установленные производителем. Некоторые из них могут мешать быстрой работе гаджета, а также негативно влиять на его автономность или защиту данных. Иногда юзер самостоятельно активирует вредные функции, что также негативно сказывается на устройстве. В список абсолютно ненужных и вредных, но очень популярных у пользователей настроек, попали сразу 5 позиций.
Отчеты
Базовая функция смартфонов на Android, основная задача которой анализировать все ошибки, возникающие в работе устройства. Данные об ошибках сохраняются в памяти смартфона, и с определенной периодичностью отправляются разработчику.
Он в свою очередь должен проанализировать их, и выпустить обновления программного обеспечения, которое устранит системные баги.
Настройка работает постоянно, а значит «съедает» заряд и часть оперативной памяти. История сбоев кэшируется в памяти телефона, нагружая его. И особенно негативно функция сказывается на смартфонах с малым объемом оперативной памяти. Это приводит к появлению новых ошибок, а значит и к росту папки, в результате чего проблемный круг замыкается.
Для отключения настройки, перейдите к списку всех системных приложений, и отзовите доступ разрешения к файлам. В таком случае функция будет временно приостановлена, но перезагрузка гаджета может снова активировать ее.
Меню SIM-карты
Встроенное приложение, которое нельзя удалить со смартфона без ряда дополнительных манипуляций. Функция работает постоянно, сокращая период автономности смартфона. Оперативная память также «страдает». Любое работающие приложения «съедает» встроенную память, нагружая телефон.
Фоновые настройки незаметны только пользователям смартфонов с большим объемом оперативки. Остальные не понимают причину возникновения сбоев в работе гаджета.
Меню SIM-карты никак не влияет на ее работу и возможности телефона. Его удаление не отразится и на возможности смартфона принимать или передавать сигнал. Оно является неким «паразитом» от мобильных операторов, которые с помощью ее предлагают различные платные услуги.
Отключить приложение можно посредством применения стороннего софта, или получения root-прав.
Отзывы о маркете
Бесполезное для пользователя приложение, потребляющие заряд батареи. Системная функция «Отзывы о Play Market» может быть отключена пользователем вручную. Это продлит период автономности телефона, и разгрузит оперативку.
Отзывы о Маркете работают в фоновом режиме, и кэшируют информацию, засоряя смартфон.
Для отключения функции:
При этом в зависимости от модели смартфона название разделов может несколько отличаться.
Надежные сертификаты
Системная функция, образующая своеобразную «дыру» в системе безопасности смартфона. Сертификаты установлены на каждом телефоне, вне зависимости от производителя или модели.
Функцию можно найти в настройках гаджета, в разделе «Пароли и безопасность» и в пункте «Конфиденциальность».
Для отключения:
Некоторые сертификаты не только защищают персональные данные, но и служат троянским конем для системы. Под ними можно спрятать различные вирусы и другое вредоносное ПО, способное нанести серьёзный ущерб операционной системе.
Сервисы и обратная связь
Очередное системное приложение, потребляющее энергию и память смартфона в фоновом режиме. Выключается аналогично сервису «Отзывы о Маркете».
Порядок отключения функции: Play Market – Настройки – Справка-отзыв – Нажмите, чтобы перейти в настройки… – Сервисы и обратная связь – Питание и производительность – Ограничения работы в фоновом режиме.
Полностью удалить системное приложение можно с помощью компьютера и стороннего программного обеспечения, которым нужно уметь пользоваться. «Открытость» операционной системы Android позволяет юзерам изменять ее по своему желанию, при условии наличия root-прав.
Некоторые предустановленные приложение не приносят пользу юзерам, но при этом потребляют приличный процент заряда и объем оперативки. Разгрузить телефон можно с помощью временного отключения базовых настроек, а также их полного удаления с помощью стороннего ПО, справившись с проблемой всего лишь за несколько минут.
Как получить бесплатный SSL-сертификат от Amazon и переехать на HTTPS на Amazon S3
В конце лета нам пришло сообщение от Google о том, что в Chrome будут появляться предупреждения о возможной опасности при переходе на наш сайт «Я люблю ИП». Это касалось страниц, где есть текстовые формы ( или ). Изменения должны были вступить в силу с октября, и мы решили, что наконец пора осуществить переезд на HTTPS, который мы планировали уже давно.
В сети много инструкций о том, как переехать на HTTPS, поэтому я постараюсь их не повторять и расскажу, как получить бесплатный SSL-сертификат от Amazon и установить его на сайте. Весь процесс у нас занял не более двух часов. Но я надеюсь, с этой инструкцией у вас получится сделать всё ещё быстрее.
Итак, вот краткое содержание статьи:
1) Подготовка сайта к переезду
2) Бесплатный SSL-сертификат от Amazon
3) Установка сертификата
4) Настройка домена
5) Редирект для домена на HTTPS без www
6) Рекомендации по SEO
Статья предполагает, что у вас уже есть статичный сайт на Amazon S3. Если ещё нет, то вы можете воспользоваться этой инструкцией от Amazon (на английском).
Подготовка сайта к переезду
Самая трудозатратная часть, по описанию во многих статьях, это подготовка сайта к переезду. Её смысл заключается в том, чтобы изменить абсолютные ссылки на относительные. Это касается внутренних ссылок сайта, картинок и внешних файлов.
Расслабьтесь. Владельцы старых Android-смартфонов не лишатся доступа к миллионам сайтов
Короткий период программной поддержки никогда особенно не страшил пользователей Android. Большинству из них было достаточно того, чтобы смартфон по-прежнему работает даже спустя два года после выхода, позволяет скачивать любые приложения из Google Play, а при необходимости не чинит препятствий для перепрошивки. Поэтому новость о том, что в 2021 году пользователи Android 7.1.1 и более ранних версий ОС лишатся доступа к более чем 200 миллионам сайтов из-за прекращения поддержки системного сертификата безопасности, прошла почти незамеченной. Но это и к лучшему.
Прекращение поддержки сертификата DST Root X3 на Android 7.1.1 отменяется
Прекращение поддержки сертификата безопасности могло привести к тому, что пользователям смартфонов на Android 7.1.1 и ниже был бы закрыт доступ к миллионам сайтов, которые используют его для защиты.
Если вы не понимаете, о чём идёт речь, вот вам небольшой экскурс. Около месяца назад стало известно, что компания Let’s Encrypt, разработчик сертификата безопасности DST Root X3, собирается прекратить его поддержку. Это специальный компонент, который отвечает за защиту пользователей при посещении сайтов в интернете, блокируя фишинговые и уведомляя об отсутствии протокола шифрования и, следовательно, опасности ввода персональных данных, которые могут быть либо перехвачены, либо прочитаны владельцем ресурса.
Сертификаты безопасности на Android
DST Root X3 — сертификат безопасности, вшитый в старые смартфоны на Android
Сертификат DST Root X3, поддержка которого должна была прекратиться в 2021 году, являлся для всех смартфонов с Android 7.1.1 и ниже системным. То есть зашитым в операционную систему по умолчанию без возможности самостоятельной замены. Единственный вариант заменить его – выпустить обновление с необходимыми изменениями. Но поскольку производители процессоров поддерживают их не дольше трёх лет, у владельцев потенциально затронутых устройств не было никакой надежды на апдейт.
К счастью для владельцев старых устройств, Let’s Encrypt продлила соглашение с IdenTrust, поставщиком цифровых подписей для сертификатов безопасности. Это значит, что действие сертификата DST Root X3 будет продлено, а пользователи смогут и дальше пользоваться сайтами в интернете без ограничений. Получается, что им больше не нужно ждать ни обновлений с обновлённым сертификатом безопасности, ни перепрошивать свои аппараты самостоятельно на кастомные прошивки, ни использовать альтернативные браузеры со встроенными сертификатами.
Не открывается сайт на Android. Что делать
Firefox — едва ли не единственный браузер со встроенными сертификатами безопасности
Впрочем, даже если бы поддержка сертификата DST Root X3 действительно прекратилась, большой беды всё равно бы не произошло. Несмотря на то что сертификаты являются встроенным системным компонентом Android, существуют браузеры, у которых есть собственный набор сертификатов. То есть даже если бы DST Root X3 лишился поддержки, пользователи Android всё равно смогли бы продолжать пользоваться интернетом как ни в чём не бывало. Главное установить подходящий браузер. В нашем случае это Mozilla Firefox – наиболее популярный и авторитетный веб-обозреватель, имеющий версии и для ПК, и для мобильных платформ.
Вообще, держать Firefox у себя можно просто на всякий случай в качестве подстраховки, особенно, если ваш смартфон уже не получает обновлений. Ведь никогда не знаешь, в какой момент сертификат безопасности, который используется системой по умолчанию, лишится поддержки и прекратит обеспечивать вас доступом к нужным вам сайтам. А, учитывая, что количество веб-ресурсов, для которых сертификаты являются проводниками, измеряются десятками и сотнями миллионов, Firefox про запас уже не выглядит как прихоть.
Как установить и удалить цифровые сертификаты на Android
Хотя наш терминал готов к работе одновременно с тем, как мы включаем его в первый раз, правда в том, что бывают случаи, когда его безопасность заставляет нас использовать известные цифровые сертификаты. Эта опция доступна на всех Android терминалы и могут быть необходимо для успешного проведения некоторых процедур.
Что такое цифровые сертификаты?
Так называемые цифровые сертификаты идентифицируют компьютеры, телефоны и приложения по соображениям безопасности. Сопоставимым примером могут быть наши водительские права, которые используются для подтверждения того, что мы можем водить машину на законных основаниях. Таким же образом цифровой сертификат идентифицирует наше устройство и подтверждает имеющиеся у него права доступа.
Если мы зайдем в Настройки / Безопасность / Шифрование и учетные данные, мы можем ознакомиться со всеми этими сертификатами. Как мы говорим, цель состоит в том, чтобы наш терминал может без проблем получить доступ к большому количеству функций. Например, если мы посмотрим на длинный список, мы увидим некоторые из них, такие как «Google Trust Services», отвечающие за работу с сертификатами как Google, так и всего Alphabet.
Как устанавливаются новые сертификаты?
Поскольку все чаще проводить процедуры, требующие обмена конфиденциальной информацией, это Возможно, что в некоторых случаях нам придется установить цифровой сертификат. Например, в Испании это Фабрика национальной валюты и марок, которая действует как «поставщик сертификационных услуг», предоставляя нам различные типы электронных сертификатов, с помощью которых мы можем идентифицировать себя и выполнять формальные процедуры. безопасно через Интернет.
Чтобы установить новые сертификаты, мы должны сначала скачал файл с соответствующего веб-сайта. После этого мы нажимаем на Настройки / Безопасность / Шифрование и учетные данные. Теперь коснемся установки сертификатов из хранилища.
Удалить личные сертификаты
Возможно, что мы больше не нужен сертификат, или по соображениям безопасности мы хотим отменить его присутствие в нашей системе. В этом случае всегда важно соблюдать осторожность, чтобы не удалить из системы какие-либо сертификаты, которые необходимы для правильной работы телефона. В этом случае мы возвращаемся в Настройки / Безопасность / Шифрование и учетные данные. Затем в хранилище учетных данных мы касаемся «удалить учетные данные» и принимаем.
Вопросы и ответы по AWS Certificate Manager
Общие вопросы
Вопрос: Что такое AWS Certificate Manager (ACM)?
AWS Certificate Manager – это сервис, позволяющий легко предоставлять и развертывать публичные и частные сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для использования вместе с сервисами AWS или внутренними подключенными ресурсами, а также помогающий управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете, а также ресурсов в частных сетях. AWS Certificate Manager позволяет не тратить время на приобретение, загрузку и обновление сертификатов SSL/TLS вручную. Благодаря AWS Certificate Manager можно быстро запросить сертификат, выполнить его развертывание с помощью таких ресурсов AWS, как балансировщики нагрузки сервиса Elastic Load Balancing, базы раздачи Amazon CloudFront или API в Amazon API Gateway, а также позволить сервису AWS Certificate Manager выполнять обновление сертификатов. Данный сервис позволяет также создавать частные сертификаты для внутренних ресурсов и централизованно управлять жизненным циклом сертификатов. Публичные и частные сертификаты SSL/TLS, которые предоставляются с помощью AWS Certificate Manager и используются только для интегрированных с ACM сервисов (например, Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Вы ежемесячно оплачиваете работу каждого частного центра сертификации до его удаления, а также выпущенные сертификаты, которые используются не только для интегрированных с ACM сервисов.
Вопрос: Что такое сертификат SSL/TLS?
Сертификаты SSL/TLS позволяют браузерам проверять подлинность веб-сайтов и устанавливать с ними зашифрованные сетевые соединения с использованием протокола Secure Sockets Layer/Transport Layer Security (SSL/TLS). Сертификаты используются в рамках криптографической системы, известной как инфраструктура открытого ключа (PKI). PKI дает одной стороне возможность устанавливать подлинность другой стороны с помощью сертификатов (при условии, что обе стороны доверяют третьей стороне, известной как центр сертификации). Дополнительная справочная информация и определения приведены в разделе Concepts Руководства пользователя ACM.
Вопрос: Что такое частные сертификаты?
Частные сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют частные сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.
Вопрос: В чем разница между публичными и частными сертификатами?
Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты определяют ресурсы в общедоступном Интернете, а частные сертификаты – в частных сетях. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам администратору нужно явно настроить приложения. Публичные центры сертификации (организации, выдающие публичные сертификаты) должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Частные центры сертификации находятся под управлением частных организаций. Администраторы частных центров сертификации могут задавать собственные правила для выдачи частных сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат. Подробная информация о частных сертификатах и частных центрах сертификации приведена в разделе Частный ЦС ACM ниже.
Вопрос: Каковы преимущества использования AWS Certificate Manager (ACM) и ACM Private Certificate Authority (CA)?
ACM упрощает использование протоколов SSL/TLS для веб-сайтов и приложений, работающих на платформе AWS. ACM устраняет необходимость в ряде ручных операций, связанных с использованием протоколов и управлением сертификатами SSL/TLS. ACM управляет обновлением сертификатов, что позволяет избежать простоев из-за неправильно настроенных, отозванных или просроченных сертификатов. Сервис обеспечивает защиту сетевых соединений с помощью протоколов SSL/TLS и простоту управления сертификатами. Использование протоколов SSL/TLS для сайтов с выходом в Интернет помогает улучшать ранжирование сайта в поисковых системах и обеспечивать соответствие нормативным требованиям в отношении шифрования данных при передаче.
При хранении и защите закрытых ключей сертификата сервис ACM для управления сертификатами использует криптостойкие алгоритмы шифрования и рекомендации по управлению ключами. ACM позволяет централизованно управлять всеми сертификатами SSL/TLS, выпущенными AWS Certificate Manager в регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса AWS Certificate Manager. ACM интегрирован с другими сервисами AWS, что позволяет запрашивать сертификаты SSL/TLS и выполнять их развертывание в балансировщике нагрузки Elastic Load Balancing или базе раздачи Amazon CloudFront с помощью Консоли управления AWS, команд в интерфейсе командной строки AWS или вызовов API.
Частный ЦС ACM – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. Частный ЦС ACM обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. Частный ЦС ACM расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно управлять публичными и частными сертификатами. Частный ЦС ACM обеспечивает разработчикам дополнительную гибкость, позволяя создавать и развертывать частные сертификаты программными средствами с помощью API. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих специальных настроек жизненного цикла сертификата или имен ресурсов. С помощью частного ЦС ACM можно создавать, отслеживать частные сертификаты для подключенных ресурсов, а также управлять ими из единого центра с помощью надежного управляемого сервиса частного центра сертификации с оплатой по факту использования.
Администраторы ЦС могут использовать частный ЦС ACM для создания полной иерархии ЦС, в том числе корневых ЦС онлайн и подчиненных ЦС, без необходимости использовать внешние ЦС. Иерархия ЦС обеспечивает высокий уровень безопасности и возможность ограничения доступа для наиболее доверенных корневых ЦС на верхнем уровне цепи доверия, при этом условия доступа и массового выпуска сертификатов менее строгие для подчиненных ЦС на нижних уровнях цепи. Клиенты могут создавать защищенные ЦС высокой надежности без построения и поддержания собственной локальной инфраструктуры ЦС.
Вопрос. Какие типы сертификатов можно создавать с помощью ACM и какими типами сертификатов можно управлять?
ACM позволяет управлять жизненным циклом публичных и частных сертификатов. Возможности ACM зависят от типа сертификата (публичный или частный), способа получения сертификата и места его развертывания. Подробная информация о публичных сертификатах приведена в разделе «Публичные сертификаты ACM», а в разделе «Частный ЦС ACM» приведены сведения о частных сертификатах и частных центрах сертификации.
Публичные сертификаты: ACM управляет обновлением и развертыванием публичных сертификатов, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway.
Частные сертификаты: частный ЦС ACM предоставляет три способа по созданию частных ключей и управлению ими. 1) Можно делегировать управление частными сертификатами ACM. В этом случае ACM может автоматически обновлять и развертывать частные сертификаты, которые используются для интегрированных с ACM сервисов, в том числе Amazon CloudFront, Elastic Load Balancing и Amazon API Gateway. Эти частные сертификаты можно просто развертывать с помощью Консоли управления AWS, API или интерфейса командной строки (CLI). 2) Можно экспортировать частные сертификаты из ACM и использовать их с инстансами EC2, контейнерами, локальными серверами и устройствами IoT. Частный ЦС ACM автоматически обновляет эти сертификаты и после завершения обновления отправляет уведомление Amazon CloudWatch. Для загрузки обновленных сертификатов и закрытых ключей, а также их развертывания с помощью приложения можно создать код на стороне клиента. 3) Частный ЦС ACM позволяет создавать собственные закрытые ключи, генерировать запрос на подпись сертификата (CSR), выдавать частные сертификаты в частный ЦС ACM и управлять ключами и сертификатами. За обновление и развертывание таких частных сертификатов отвечает сам клиент.
Импортированные сертификаты: если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Вы самостоятельно следите за сроком действия импортированных сертификатов и обеспечиваете их обновление до истечения этого срока. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.
Сертификаты CA – частный ЦС ACM может выдавать сертификаты для идентификации частных центров сертификации. Эти сертификаты позволяют администраторам ЦС создавать иерархию частных ЦС, что обеспечивает высокую безопасность и возможность ограничения доступа для наиболее доверенных корневых ЦС на верхнем уровне цепи доверия, в то же время предоставляя больше прав доступа и возможность пакетной выдачи сертификатов подчиненным ЦС на более низких уровнях цепи.
Вопрос. Как начать работу с ACM?
Чтобы начать работу с сервисом AWS Certificate Manager, перейдите к сервису Certificate Manager в Консоли управления AWS и с помощью соответствующего мастера запросите сертификат SSL/TLS. Если вы уже создали частный ЦС ACM, выберите тип сертификата – публичный или частный, а затем введите название своего сайта. См. разделы «Частный ЦС ACM» и «Публичные сертификаты ACM» ниже, чтобы определить актуальный тип сертификата и узнать подробнее о частном ЦС ACM. Можно также запросить сертификат, используя интерфейс командной строки или API AWS. После выдачи сертификата его можно использовать в других сервисах AWS, интегрированных с ACM. Для каждого интегрированного сервиса требуется просто выбрать соответствующий сертификат SSL/TLS из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью команды интерфейса командной строки или вызова API AWS. После этого интегрированный сервис развертывает сертификат в выбранном вами ресурсе. Подробности о том, как запросить и использовать сертификаты, предоставляемые AWS Certificate Manager, см. в разделе Начало работы Руководства пользователя AWS Certificate Manager. Кроме использования частных сертификатов в интегрированных с ACM сервисах их можно применять для инстансов EC2, контейнеров ECS или любых других сред. Подробнее см. в разделе «Частные сертификаты».
Вопрос: С какими сервисами AWS можно использовать сертификаты ACM?
Публичные и частные сертификаты ACM можно использовать со следующими сервисами AWS:
• Elastic Load Balancing – см. документацию по Elastic Load Balancing
• Amazon CloudFront – см. документацию по CloudFront
• Amazon API Gateway – см. документацию по API Gateway
• AWS Elastic Beanstalk – см. документацию по AWS Elastic Beanstalk
• AWS CloudFormation – в настоящее время можно использовать только публичные сертификаты, которые поддерживают проверку с помощью электронной почты. См. документацию по AWS CloudFormation
Кроме этого, частные сертификаты частного ЦС ACM можно использовать с инстансами EC2, контейнерами, устройствами IoT и собственными серверами.
Вопрос: В каких регионах доступен сервис ACM?
Актуальные сведения о доступности сервисов AWS по регионам см. на страницах глобальной инфраструктуры AWS. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния) или импортировать его в этот регион. Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.
Частный центр сертификации (ЦС) ACM
Вопрос. Что такое частный ЦС ACM?
Частные сертификаты используются для идентификации и защиты соединений между подключенными ресурсами (например, серверами, мобильными и устройствами IoT, приложениями) в частных сетях. Частный ЦС ACM – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. Частный ЦС ACM обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. Частный ЦС ACM расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно создавать публичные и частные сертификаты, а также управлять ими. С помощью Консоли управления AWS или API ACM можно с легкостью создавать и развертывать частные сертификаты для ресурсов AWS. Для инстансов EC2, контейнеров, устройств IoT, локальных ресурсов можно просто создавать и отслеживать частные сертификаты и применять собственный код на стороне клиента для автоматизации их развертывания. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих особых алгоритмов ключа, специальных настроек жизненного цикла сертификата или имен ресурсов, а также управлять такими сертификатами. Подробнее об частном ЦС ACM.
Вопрос: Что такое частные сертификаты?
Частные сертификаты идентифицируют ресурсы внутри организации (например, приложения, сервисы, устройства и пользователей). При установлении защищенного зашифрованного канала связи каждый адрес использует сертификат и криптографические методы, чтобы подтвердить свою подлинность другому адресу. Внутренние адреса API, веб-серверы, пользователи VPN, устройства IoT и многие другие приложения используют частные сертификаты для создания зашифрованных каналов связи, которые необходимы для безопасной работы.
Вопрос: Что такое частный центр сертификации (ЦС)?
Частный центр сертификации занимается выдачей, проверкой и отзывом частных сертификатов в рамках частной сети (т. е. не в общедоступном Интернете). Он состоит из двух основных компонентов. Первый компонент – сертификат центра сертификации, криптографический структурный элемент, с помощью которого можно выдавать сертификаты. Второй компонент – набор сервисов времени выполнения для хранения информации об отзыве с помощью списка отзыва сертификатов (CRL). Когда ресурсы пытаются устанавливать между собой связь, они проверяют состояние представленных другой стороной сертификатов по списку отзыва сертификатов. Если сертификаты действительны, соединение между двумя ресурсами подтверждается (криптографическое удостоверение подлинности одной стороны другой стороне), между ними создается зашифрованный канал связи (TLS/SSL).
Вопрос: В чем отличие частных сертификатов и частных центров сертификации от публичных сертификатов и публичных центров сертификации?
Компоненты частного центра сертификации такие же, как и у публичного центра сертификации. Но публичные центры сертификации выдают и проверяют сертификаты для ресурсов общедоступного Интернета, а частные центры сертификации выполняют эти операции для частных сетей. Ключевое отличие состоит в том, что по умолчанию приложения и браузеры автоматически доверяют публичным сертификатам, а для доверия частным сертификатам от частного центра сертификации администратору нужно явно настроить приложения. Публичные центры сертификации должны выполнять строгие правила, обеспечивать прозрачность рабочих процессов, а также соответствовать стандартам безопасности со стороны поставщиков браузера и операционной системы, которые определяют, какому центру сертификации их браузеры и операционные системы должны доверять автоматически. Администраторы частных центров сертификации могут задавать собственные правила для выдачи частных сертификатов, в том числе устанавливать порядок выдачи сертификатов и определять, какую информацию должен содержать сертификат.
Вопрос: Почему организации используют частные сертификаты, а не публичные сертификаты?
Частные сертификаты предоставляют возможность определить почти все в организации, не раскрывая публично связанных имен. Примеры имен, которые можно использовать в частных сертификатах: Wiki.internal, IP-адрес 192.168.1.1, fire-sensor-123, user123. Публичные сертификаты жестко ограничены определением ресурсов с помощью публичных имен DNS (например, www.example.com). Частные сертификаты могут включать информацию, недопустимую в публичных сертификатах. Некоторые корпоративные приложения используют возможность включения дополнительной информации в частные сертификаты, поэтому они не могут работать с публичными сертификатами.
Вопрос: Что такое самозаверенные сертификаты и почему вместо них организации используют сертификаты частного центра сертификации?
Самозаверенные сертификаты выпускаются без участия центра сертификации. В отличие от сертификатов, изданных и подписанных центром сертификации, самозаверенные сертификаты издаются и подписываются тем же лицом, которое идентифицируют. Поэтому у них имеются серьезные ограничения: их можно использовать для шифрования соединения, но не для подтверждения подлинности; их также нельзя отзывать. С точки зрения безопасности такие сертификаты неприемлемы. Однако некоторые организации их используют, потому что такие сертификаты просты в генерации, не требуют специального опыта или инфраструктуры, многие приложения принимают их. Выпуск самозаверенных сертификатов не подразумевает никакого контроля. Организации, использующие такие сертификаты, подвержены повышенному риску сбоев в работе из-за истечения срока действия сертификатов, поскольку не существует способа отследить его. Частный ЦС ACM решает все эти проблемы.
Вопрос: Как начать работать с частным ЦС ACM?
Чтобы начать работу с частным ЦС ACM, перейдите к сервису Certificate Manager в Консоли управления AWS и выберите пункт «Private CAs» (Частные центры сертификации) в левой части экрана. Чтобы начать создание частного центра сертификации, нажмите «Get started» (Начать). Подробнее читайте в разделе «Начало работы» Руководства пользователя частного ЦС ACM.
Вопрос: Где можно узнать подробнее о частном ЦС ACM?
Иерархические связи корневых ЦС
Вопрос. Что такое корневой ЦС?
Корневой ЦС – это криптографический структурный элемент и корень доверия, в котором может быть выпущен сертификат. Он состоит из закрытого ключа для подписи (выпуска) сертификатов и корневого сертификата, идентифицирующего корневой ЦС и связывающего закрытый ключ с именем ЦС. Корневые сертификаты передаются в хранилища доверия каждого субъекта в среде. Администраторы создают хранилища доверия и включают в них только те ЦС, которым доверяют. Они обновляют хранилища доверия или встраивают их в операционные системы, инстансы и образы хост-компьютеров субъектов среды. Когда ресурсы пытаются устанавливать между собой связь, они проверяют сертификаты, предоставленные каждой организацией. Если сертификаты действительны и можно выстроить цепочку от сертификата до корневого сертификата, установленного в хранилище доверия, соединение между двумя ресурсами подтверждается (криптографическое удостоверение подлинности одной стороны другой стороне) и между ними создается зашифрованный канал связи (TLS/SSL).
Вопрос. Что такое иерархия ЦС?
Иерархия ЦС – это структура для организации центров сертификации. Иерархия ЦС обеспечивает высокий уровень безопасности и возможность ограничения доступа для наиболее доверенных корневых ЦС на верхнем уровне цепи доверия, при этом условия доступа и массового выпуска сертификатов менее строгие для подчиненных ЦС на нижних уровнях цепи.
Вопрос. Как использовать иерархию ЦС для установки доверия в частных сертификатах?
В иерархии ЦС подчиненные ЦС располагаются ниже корневого ЦС. Подчиненный ЦС может непосредственно выпускать сертификаты; действовать как промежуточный ЦС, заверять сертификаты подчиненных ЦС и создавать организационные структуры; действовать как выдающий ЦС, который выдает сертификаты конечных субъектов, или действовать как промежуточный и выдающий ЦС одновременно. После размещения корня в хранилище доверия в организации (см. вопрос «Что такое корневой ЦС?») сертификаты, от которых можно проследить связь с корневым сертификатом в хранилище доверия, также будут доверенными. Этот процесс называется подтверждением пути сертификата. Сертификат, соответствующий этому описанию, считается связующим звеном с доверенным корнем.
Вопрос. Как осуществляется управление ЦС в иерархии?
Корневые ЦС и другие ЦС в верхней части иерархии ЦС, как правило, имеют ограничительную политику, контролирующую выпуск сертификатов и административный доступ. Эти ЦС редко используются, тщательно контролируются и проверяются, вследствие чего снижается риск компрометации. Поэтому им больше всего доверяют. Как правило, корневые ЦС имеют более продолжительный жизненный цикл, чем ЦС на нижних уровнях иерархии, в соответствии с политиками изоляции и контроля, регулирующими их использование.
Вопрос. На каком уровне иерархии ЦС располагается частный ЦС ACM?
В частном ЦС ACM можно создать иерархию ЦС с пятью уровнями: корневой ЦС, три уровня подчиненных (промежуточных) ЦС и один выдающий ЦС. Можно также включить частные ЦС ACM в иерархию ЦС с локальными ЦС.
Вопрос. Обязательно ли создавать иерархию ЦС для использования частного ЦС ACM?
Нет. Можно выдавать сертификаты конечного субъекта с помощью корневого ЦС. Однако в большинстве случаев следует руководствоваться рекомендациями по безопасности и создавать по крайней мере двухуровневые иерархии ЦС с корневым ЦС в качестве корня доверия и подчиненным ЦС для выдачи сертификатов конечных субъектов. Дополнительную информацию см. в ACM Private CA [Creating a CA] guide.
Вопрос: Где можно узнать подробнее о частном ЦС ACM?
Сертификаты ACM
Вопрос: Какими типами сертификатов управляет ACM?
ACM управляет публичными, частными и импортированными сертификатами. Подробную информацию о возможностях ACM по управлению сертификатами можно найти на странице документации по выпуску и управлению сертификатами.
Вопрос. Может ли ACM предоставлять сертификаты для нескольких доменных имен?
Да. Каждый сертификат должен включать хотя бы одно доменное имя, при желании в сертификат можно включать дополнительные доменные имена. Например, можно добавить имя www.example.net в сертификат для доменного имени www.example.com, если пользователи могут обращаться к вашему сайту, используя любое из этих доменных имен. Вы должны быть собственником имен или управлять всеми именами, включенными в запрос сертификата.
Вопрос: Что такое доменное имя с шаблоном подстановки?
Вопрос: Может ли ACM предоставлять сертификаты с доменными именами, указанными с использованием шаблонов подстановки?
Вопрос: Предоставляет ли ACM сертификаты на что-либо, кроме протоколов SSL/TLS?
Сертификаты, управляемые ACM, предназначены для использования с протоколами SSL/TLS. Если выпускать частные сертификаты напрямую из частного ЦС ACM и управлять ключами и сертификатами без использования ACM, для них можно задать субъект, срок действия, алгоритм ключа, алгоритм подписи и использовать их с протоколами SSL/TLS и другими приложениями.
Вопрос: Можно ли использовать сертификаты ACM для подписания кода или шифрования электронной почты?
Вопрос: Предоставляет ли ACM сертификаты, используемые для подписи и шифрования электронной почты (сертификаты S/MIME)?
В настоящий момент нет.
Вопрос: Каков срок действия сертификатов ACM?
Сертификаты, выданные сервисом ACM, действительны в течение 13 месяцев (395 дней). Если выпускать частные сертификаты напрямую из частного ЦС ACM и управлять ключами и сертификатами без использования ACM, для них можно задать любой срок действия, в том числе абсолютную дату истечения или период в днях, месяцах или годах от текущего времени.
Вопрос: Какие алгоритмы используются в сертификатах ACM?
В сертификатах, управляемых ACM, используются ключи RSA с 2048-битным модулем и SHA-256. Если выпускать частные сертификаты напрямую из частного ЦС ACM и управлять ключами и сертификатами без использования ACM, можно выпустить и использовать сертификаты на эллиптических кривых (ECDSA). В настоящее время ACM не имеет возможности управлять такими сертификатами.
Вопрос: Как отозвать сертификат?
Чтобы отправить запрос на отзыв публичного сертификата сервисом ACM, перейдите в Центр AWS Support и создайте соответствующую заявку. Как отозвать частный сертификат, выданный частным ЦС ACM, см. в Руководстве пользователя частного ЦС ACM.
Вопрос: Можно ли копировать сертификаты ACM в другие регионы AWS?
В настоящее время сертификаты, управляемые ACM, нельзя копировать между регионами. Копировать можно частные сертификаты, экспортированные из ACM или выпущенные напрямую в частный ЦС ACM без использования ACM для управления ключами и сертификатами.
Вопрос: Можно ли использовать один и тот же сертификат ACM в нескольких регионах AWS?
Это зависит от того, используете ли вы Elastic Load Balancing или Amazon CloudFront. Чтобы использовать сертификат с сервисом Elastic Load Balancing для того же сайта (того же полностью определенного доменного имени, то есть FQDN или набора FQDN) в другом регионе, потребуется запросить новый сертификат для каждого региона, где планируется использование. Чтобы использовать сертификат ACM с сервисом Amazon CloudFront, необходимо запросить сертификат в регионе Восток США (Северная Вирджиния). Сертификаты ACM в этом регионе, связанные с базой раздачи CloudFront, распространяются на все географические местоположения, указанные в настройках этой базы раздачи.
Вопрос: Можно ли получить сертификат в сервисе ACM, если у меня уже есть сертификат для того же доменного имени от другого провайдера?
Вопрос: Можно ли использовать сертификаты на инстансах Amazon EC2 или на собственных серверах?
Частные сертификаты частного ЦС ACM можно использовать с инстансами EC2, контейнерами и собственными серверами. В настоящее время публичные сертификаты ACM можно использовать только с определенными сервисами AWS. См. ответ на вопрос С какими сервисами AWS можно использовать сертификаты ACM?
Вопрос: Допускает ли ACM применение в доменных именах символов национальных алфавитов, то есть использование так называемых интернационализированных доменных имен?
ACM не поддерживает символы национальных алфавитов в кодировке Unicode; при этом в доменных именах могут применяться символы национальных алфавитов в кодировке ASCII.
Вопрос: Какие форматы доменных меток разрешает использовать ACM?
ACM разрешает использование только символов ASCII в кодировке UTF-8, включая метки, содержащие префикс «xn--», который применяется для преобразования доменных имен в кодировку Punycode. ACM не принимает для доменных имен метки в формате Unicode.
Публичные сертификаты ACM
Вопрос: Что такое публичные сертификаты?
Публичные и частные сертификаты помогают клиентам определять ресурсы в сетях и устанавливать защищенное соединение между этими ресурсами. Публичные сертификаты идентифицируют ресурсы в Интернете.
Вопрос: Какой тип публичных сертификатов предоставляет ACM?
ACM предоставляет публичные сертификаты валидации домена (DV-сертификаты) для использования с веб-сайтами и приложениями, выполняющими терминацию SSL/TLS. Подробную информацию о сертификатах ACM см. в разделе Характеристики сертификатов.
Вопрос: Доверяют ли браузеры, операционные системы и мобильные устройства публичным сертификатам ACM?
Публичным сертификатам ACM доверяет большинство современных браузеров, операционных систем и мобильных устройств. Сертификаты, предоставляемые сервисом ACM, поддерживаются в 99 % распространенных браузеров и операционных систем, включая Windows XP SP3 и Java версии 6 и выше.
Вопрос: Как можно удостовериться, что мой браузер доверяет публичным сертификатам ACM?
Если браузер доверяет сертификатам ACM, он отображает значок замка и не выдает предупреждений о проблемах с сертификатом при подключении к сайтам, которые используют сертификаты ACM для подключений SSL/TLS, например по протоколу HTTPS.
Публичные сертификаты ACM подтверждены центром сертификации Amazon. Любой браузер, приложение или ОС, в доверенный список которых входят центры сертификации Amazon Root CA 1, Starfield Services Root CA – G2 или Starfield Class 2 CA, доверяет сертификатам ACM.
Вопрос: Предоставляет ли ACM публичные сертификаты с проверкой организации (OV-сертификаты) или с расширенной проверкой (EV-сертификаты)?
В настоящий момент нет.
Вопрос: Где описаны политики и практики Amazon по выпуску публичных сертификатов?
Все описания приводятся в Положении о сертификационной политике и Положении о сертификационной практике компании Amazon Trust Services. Последние версии этих документов см. в репозитории Amazon Trust Services.
Создание публичных сертификатов ACM
Вопрос: Как создать публичный сертификат в сервисе ACM?
Вы можете использовать Консоль управления AWS, интерфейсы командной строки AWS, а также API или SDK ACM. При использовании Консоли управления AWS перейдите к разделу «Certificate Manager», выберите пункт «Request a certificate» (Запросить сертификат), выберите пункт «Request a public certificate» (Запросить публичный сертификат), введите доменное имя сайта и завершите формирование запроса, следуя инструкциям на экране. Если для доступа к сайту пользователи могут использовать другие доменные имена, можно включить в запрос эти дополнительные имена. Прежде чем ACM сможет выдать сертификат, он проверит, действительно ли вы владеете / управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS требуется добавить запись в публичную конфигурацию DNS для своего домена, чтобы подтвердить, что вы владеете доменом или управляете им. После однократной проверки управления доменом с помощью записи DNS можно получить дополнительные сертификаты, и ACM может обновлять существующие сертификаты для домена, пока запись будет присутствовать, а сертификат – использоваться. Повторная проверка управления доменом не потребуется. Если выбрать проверку с помощью электронной почты вместо проверки с помощью записи DNS, владельцу домена будут отправлены электронные письма с запросом подтверждения на выдачу сертификата. После подтверждения права владения или возможности управления для каждого доменного имени, указанного в запросе, сертификат будет выдан и готов к использованию с другими сервисами AWS, например Elastic Load Balancing или Amazon CloudFront. Подробности см. в документации ACM.
Вопрос: Почему ACM проверяет право владения доменом для публичных сертификатов?
Сертификаты используются для установления подлинности веб-сайта и безопасного соединения между браузерами и приложениями или сайтом. Для выдачи публичного доверенного сертификата Amazon должен убедиться, что сторона, запросившая сертификат, управляет доменным именем, указанным в запросе.
Вопрос: Каким образом ACM проверяет право владения доменом перед выдачей публичного сертификата для домена?
Перед выдачей сертификата ACM проверяет, действительно ли вы владеете или управляете доменными именами, указанными в запросе на сертификат. Во время запроса сертификата можно выбрать проверку с помощью записи DNS или с помощью электронной почты. При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив запись CNAME в конфигурацию DNS. Подробнее см. в разделе Проверка с помощью записи DNS. Если у вас нет возможности добавлять записи в публичную конфигурацию DNS указанного домена, вы можете использовать вместо проверки с помощью записи DNS проверку с помощью электронной почты. При проверке с помощью электронной почты ACM отправляет электронные письма зарегистрированному владельцу домена, а владелец или его уполномоченный представитель может подтвердить выпуск сертификата для каждого доменного имени, указанного в запросе на сертификат. Подробнее см. в разделе Проверка с помощью электронной почты.
Вопрос. Какой метод проверки для публичного сертификата следует использовать: с помощью записи DNS или с помощью электронной почты?
Если у вас есть возможность изменить конфигурацию DNS для указанного домена, рекомендуется использовать проверку с помощью записи DNS. Для клиентов, которые не могут получить проверочные письма от ACM по электронной почте или у которых регистратор домена не публикует контактную информацию с адресом электронной почты владельца домена в WHOIS, проверка с помощью записи DNS является обязательной. Если вы не можете изменить свою конфигурацию DNS, следует использовать проверку с помощью электронной почты.
Вопрос. Можно ли для существующего публичного сертификата изменить способ проверки с помощью электронной почты на проверку с помощью записи DNS?
Нет. Однако можно запросить в ACM новый бесплатный сертификат и выбрать для нового сертификата проверку с помощью записи DNS.
Вопрос: Сколько времени занимает выпуск публичного сертификата?
Для выдачи сертификата после проверки всех доменных имен, указанных в запросе на сертификат, может потребоваться несколько часов.
Вопрос: Что происходит при запросе публичного сертификата?
ACM пытается проверить право владения или возможность управления для каждого доменного имени, указанного в запросе на сертификат, в соответствии с выбранным во время запроса методом проверки (с помощью записи DNS или с помощью электронной почты). Пока ACM проверяет, действительно ли вы владеете или управляете доменом, запрос сертификата будет иметь статус «Pending validation» (Ожидает проверки). Дополнительные сведения о процессе проверки см. ниже в разделах Проверка с помощью записи DNS и Проверка с помощью электронной почты. После проверки всех доменных имен, указанных в запросе на сертификат, для выдачи сертификата может потребоваться несколько часов. После выдачи сертификата статус запроса сертификата изменяется на «Issued» (Выпущен), а сам сертификат можно использовать для других сервисов AWS, интегрированных с ACM.
Вопрос: Проверяет ли ACM записи авторизации центра сертификации (CAA) перед выпуском публичных сертификатов?
Да. Записи авторизации центра сертификации (CAA) позволяют владельцам доменов указывать, какие органы сертификации уполномочены выдавать сертификаты для их доменов. При запросе сертификата ACM AWS Certificate Manager ищет запись CAA в конфигурации зоны DNS для соответствующего домена. Если запись CAA отсутствует, сертификат для домена может выдать Amazon. Большинство клиентов относятся к этой категории.
Если конфигурация DNS содержит запись CAA, для выдачи домену сертификата Amazon в ней должен быть указан один из следующих центров сертификации: amazon.com, amazontrust.com, awstrust.com или amazonaws.com. Подробные сведения см. в разделе Настройка записи CAA или Устранение проблем с CAA Руководства пользователя AWS Certificate Manager.
Вопрос: Поддерживает ли ACM другие способы проверки домена?
В настоящий момент нет.
Проверка с помощью записи DNS (публичные сертификаты)
Вопрос. Что такое проверка с помощью записи DNS?
При проверке с помощью записи DNS можно подтвердить право владения доменом, добавив в конфигурацию DNS запись CNAME. Проверка с помощью записи DNS позволяет при запросе сертификатов SSL/TLS из ACM легко подтвердить, что вы являетесь владельцем домена.
Вопрос. Каковы преимущества использования проверки с помощью записи DNS?
Проверка с помощью записи DNS позволяет легко подтвердить, что вы владеете или управляете доменом, для получения сертификата SSL/TLS. При проверке с помощью записи DNS, чтобы подтвердить возможность управления своим доменным именем, достаточно внести в конфигурацию DNS запись CNAME. Для упрощения процесса проверки с помощью записи DNS консоль управления ACM может автоматически настроить записи DNS, если для управления ими используется сервис Amazon Route 53. Таким образом, подтвердить управление доменным именем можно за несколько щелчков мышью. После настройки записи CNAME сервис ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока присутствует проверочная запись DNS. Обновление выполняется автоматически и не требует вмешательства пользователя.
Вопрос. Кому рекомендуется использовать проверку с помощью записи DNS?
Возможность использования проверки с помощью записи DNS следует рассмотреть всем, кто запрашивает сертификат через ACM и может изменять конфигурацию DNS для запрашиваемого домена.
Вопрос. Продолжает ли ACM поддерживать проверку с помощью электронной почты?
Да. ACM продолжает поддерживать проверку с помощью электронной почты для клиентов, которые не могут изменить конфигурацию DNS.
Вопрос. Какие записи необходимо добавить в мою конфигурацию DNS для проверки домена?
Необходимо добавить запись CNAME для домена, который требуется проверить. Например, чтобы проверить имя www.example.com, добавьте запись CNAME в зону для example.com. Добавленная запись содержит случайный токен, который ACM генерирует специально для этого домена и вашего аккаунта AWS. Получить две части записи CNAME (имя и метку) можно в ACM. Дополнительные инструкции см. в Руководстве пользователя ACM.
Вопрос. Как добавить или изменить записи DNS для моего домена?
Для получения дополнительных сведений о том, как добавить или изменить записи DNS, обратитесь к провайдеру DNS. В документации по DNS сервиса Amazon Route 53 содержится дополнительная информация для клиентов, использующих DNS в Amazon Route 53.
Вопрос. Позволяет ли ACM упростить проверку с помощью записи DNS для клиентов, использующих DNS Amazon Route 53?
Да. Для клиентов, которые используют для управления записями DNS сервис Amazon Route 53, при запросе сертификата консоль ACM может автоматически добавлять записи в конфигурацию DNS. Ваша зона хостинга DNS Route 53 для домена должна быть настроена в том же аккаунте AWS, из которого подается запрос, при этом у вас должны быть достаточные разрешения для внесения изменений в конфигурацию Amazon Route 53. Дополнительные инструкции см. в Руководстве пользователя ACM.
Вопрос. Требуется ли для проверки с помощью записи DNS использовать определенного провайдера DNS?
Нет. Проверку с помощью записи DNS можно использовать с любым провайдером DNS, если он позволяет добавить запись CNAME в конфигурацию DNS.
Вопрос. Сколько записей DNS мне потребуется добавить, если мне необходимо несколько сертификатов для одного и того же домена?
Одну. Можно получить несколько сертификатов для одного доменного имени в одном аккаунте AWS, используя одну запись CNAME. Например, если вы подаете 2 запроса на сертификат из одного и того же аккаунта AWS для одного и того же доменного имени, вам потребуется только 1 запись CNAME DNS.
Вопрос. Можно ли проверить несколько доменных имен с помощью одной записи CNAME?
Нет. У каждого доменного имени должна быть уникальная запись CNAME.
Вопрос. Можно ли проверить доменное имя с шаблоном подстановки, используя проверку с помощью записи DNS?
Вопрос. Как ACM создает записи CNAME?
Записи CNAME DNS состоят из двух компонентов: имени и метки. Имя записи CNAME, созданной ACM, состоит из символа подчеркивания (_), за которым следует токен, который является уникальной строкой, связанной с конкретным аккаунтом AWS и доменным именем. ACM добавляет знак подчеркивания и токен к вашему доменному имени для создания компонента имени. Соответствующую метку ACM создает из символа подчеркивания, добавленного к другому токену, который также связан с конкретным аккаунтом AWS и доменным именем. ACM добавляет символ подчеркивания и токен к доменному имени DNS, используемому AWS для проверки подлинности (acm-validations.aws). В следующих примерах показано форматирование записей CNAME для www.example.com, subdomain.example.com и *.example.com.
_TOKEN1.www.example.com CNAME _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME _TOKEN4.acm-validations.aws
_TOKEN5.example.com CNAME _TOKEN6.acm-validations.aws
Обратите внимание на то, что ACM удаляет знак подстановки (*) при создании записей CNAME для имен с использованием шаблонов. В результате этого запись CNAME, созданная ACM для такого имени (например, *.example.com), является той же записью, которая была возвращена для доменного имени без метки с подстановочным знаком (example.com).
Вопрос. Можно ли проверить все поддомены домена, используя одну запись CNAME?
Нет. Для каждого доменного имени, включая имена хостов и имена поддоменов, должна выполняться отдельная проверка с помощью уникальной записи CNAME.
Вопрос. Почему ACM использует для проверки с помощью записи DNS записи CNAME, а не записи TXT?
Использование записи CNAME позволяет ACM обновлять сертификаты, пока существует запись CNAME. Запись CNAME направляется на запись TXT в домене AWS (acm-validations.aws), которую ACM может обновлять по мере необходимости для проверки или повторной проверки доменного имени без необходимости выполнения каких-либо действий со стороны клиента.
Вопрос. Работает ли проверка с помощью записи DNS между регионами AWS?
Да. Можно создать одну запись CNAME DNS и использовать ее для получения сертификатов в том же аккаунте AWS в любом регионе AWS, где работает сервис ACM. Настроив запись CNAME один раз, вы сможете обеспечить выпуск и обновление сертификатов из ACM для доменного имени без создания другой записи.
Вопрос. Можно ли выбрать разные методы проверки в рамках одного сертификата?
Нет. Для каждого сертификата может использоваться только один метод проверки.
Вопрос. Как обновить сертификат, для которого использовалась проверка с помощью записи DNS?
ACM будет автоматически обновлять используемые сертификаты (связанные с другими ресурсами AWS), пока будет присутствовать запись DNS, используемая для проверки.
Вопрос. Можно ли отозвать разрешение на выдачу сертификатов для моего домена?
Да. Просто удалите запись CNAME. После удаления записи CNAME и распространения изменений через DNS ACM прекратит выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS. Время распространения изменений после удаления записи зависит от провайдера DNS.
Вопрос. Что произойдет при удалении записи CNAME?
Если вы удалите запись CNAME, ACM не сможет выдавать или обновлять сертификаты для соответствующего домена, используя проверку с помощью записи DNS.
Проверка с помощью электронной почты (публичные сертификаты)
Вопрос: Что такое проверка с помощью электронной почты?
При проверке с помощью электронной почты зарегистрированному владельцу каждого домена, указанного в запросе на сертификат, отправляется письмо с запросом на подтверждение. Владелец домена или уполномоченный представитель (подтверждающее лицо) может подтвердить запрос на сертификат, выполнив содержащиеся в электронном письме инструкции. Инструкции предлагают подтверждающему лицу нажать на содержащуюся в письме ссылку или скопировать эту ссылку в адресную строку браузера, чтобы перейти на веб-сайт для подтверждения. Подтверждающее лицо проверяет информацию, связанную с запросом на сертификат, например доменное имя, ID сертификата (ARN) и ID аккаунта AWS, инициировавшего запрос, и в случае правильно указанной информации подтверждает запрос.
Вопрос: Когда я запрашиваю сертификат и выбираю проверку с помощью электронной почты, на какие адреса электронной почты отправляется запрос на подтверждение сертификата?
При запросе сертификата с использованием проверки с помощью электронной почты служба WHOIS выполняет поиск всех доменных имен, содержащихся в запросе на сертификат, в своей базе и извлекает контактную информацию домена. Электронные письма отправляются лицу, на имя которого зарегистрирован домен, а также указанным для домена контактным лицам по административным и техническим вопросам. Кроме того, письмо отправляется на пять специальных адресов электронной почты, которые образованы путем добавления имен admin@, administrator@, hostmaster@, webmaster@ и postmaster@ к доменному имени, для которого запрашивается сертификат. Например, если вы запрашиваете сертификат для домена server.example.com, электронные письма на основе контактной информации, возвращаемой запросом WHOIS для домена example.com, будут отправлены лицу, на имя которого зарегистрирован домен, контактным лицам по административным и техническим вопросам, а также на адреса admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com и webmaster@server.example.com.
Пять специальных адресов электронной почты для доменных имен, которые начинаются с «www», или для универсальных имен, которые начинаются со звездочки (*), формируются по другому принципу. ACM удаляет начальные символы «www» или звездочку, и электронное письмо отправляется на административные адреса, формируемые путем добавления имен admin@, administrator@, hostmaster@, postmaster@ и webmaster@ к оставшейся части доменного имени. Например, при запросе сертификата для домена www.example.com электронное письмо отправляется на адреса контактных лиц в сервисе WHOIS, как описано выше, а также на адрес admin@example.com, а не admin@www.example.com. Остальные четыре специальных адреса электронной почты формируются аналогичным образом.
После отправки запроса на сертификат вы можете просмотреть список электронных адресов, на которые было отправлено электронное письмо для каждого домена, с помощью консоли ACM, интерфейса командной строки или API AWS.
Вопрос: Можно ли настраивать адреса электронной почты, на которые отправляется запрос на подтверждение сертификата?
Нет, но вы можете настроить базовое доменное имя, на которое будет отправлено проверочное письмо. Базовое доменное имя должно быть супердоменом для доменного имени в запросе на сертификат. Например, если вы хотите запросить сертификат для ресурса server.domain.example.com, но хотите направить электронные письма для подтверждения сертификата на адрес admin@domain.example.com, вы можете сделать это, используя интерфейс командной строки или API AWS. Подробности см. в Справочнике по интерфейсу командной строки ACM и Справочнике по API ACM.
Вопрос: Можно ли использовать домены, содержащие контакты прокси-сервера (например, Privacy Guard или WhoisGuard)?
Да, однако доставка электронной почты из-за прокси-сервера может занять больше времени. Электронная почта, отправленная через прокси-сервер, может попасть в папку спама. Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.
Вопрос: Может ли ACM проверить подлинность моей идентификации, используя информацию о техническом контактном лице моего аккаунта AWS?
Процедуры и политики проверки подлинности идентификационных данных владельца домена очень жесткие. Стандарты политик для публичных доверенных центров сертификации устанавливает организация CA/Browser Forum. Подробнее см. в последней версии Положения о сертификационной практике компании Amazon Trust Services в репозитории Amazon Trust Services.
Вопрос: Что делать, если письмо с подтверждением не приходит?
Обратитесь к Руководству пользователя ACM, чтобы устранить возможные проблемы.
Защита закрытого ключа
Вопрос: Как осуществляется управление закрытыми ключами сертификатов, предоставляемых ACM?
Для каждого сертификата, предоставляемого ACM, создается пара ключей. AWS Certificate Manager разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.
Вопрос: Копирует ли ACM сертификаты в другие регионы AWS?
Нет. Закрытый ключ каждого сертификата ACM хранится в том регионе, в котором был запрошен сертификат. Например, если вы получили новый сертификат в регионе Восток США (Северная Вирджиния), ACM хранит закрытый ключ в регионе Восток США (Северная Вирджиния). Сертификаты ACM копируются в другие регионы только тогда, когда они связаны с базой раздачи CloudFront. В этом случае CloudFront распространяет сертификат ACM в местоположения, определенные для вашей базы раздачи.
Вопрос: Можно ли проверить использование закрытого ключа сертификата?
Да. Используя сервис AWS CloudTrail, вы можете просмотреть журналы и узнать, когда использовались закрытые ключи сертификата.
Оплата
Вопрос: Каков принцип оплаты за использование сертификатов ACM?
Публичные и частные сертификаты SSL/TLS, которые предоставляются с помощью AWS Certificate Manager для использования в интегрированных с ACM сервисах (например, Elastic Load Balancing, Amazon CloudFront и Amazon API Gateway), являются бесплатными. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Private Certificate Authority в AWS Certificate Manager предусматривает оплату по факту использования. Вы оплачиваете работу каждого частного ЦС ACM ежемесячно до его удаления. Оплате также подлежат частные сертификаты, которые вы создаете в ACM или экспортируете из этого сервиса, например, для использования с EC2 или локальными серверами, а также сертификаты, выпущенные непосредственно в Private CA с использованием самостоятельно созданного закрытого ключа. Подробные сведения и примеры приведены на странице цен.
Подробности
Вопрос: Можно ли использовать один и тот же сертификат с несколькими балансировщиками нагрузки Elastic Load Balancing и несколькими базами раздачи CloudFront?
Вопрос: Можно ли использовать публичные сертификаты для внутренних балансировщиков нагрузки Elastic Load Balancing, не имеющих доступа к публичному Интернету?
Да, можно также использовать частный ЦС ACM для выпуска частных сертификатов, которые ACM может обновлять без проверки. Подробнее о том, как ACM осуществляет обновление публичных сертификатов, недоступных из публичного Интернета, и частных сертификатов, см. в разделе Управляемое обновление и развертывание.
Вопрос: Будет ли сертификат для ресурса www.example.com работать также и для ресурса example.com?
Нет. Чтобы сайт был доступен через оба доменных имени (www.example.com и example.com), необходимо запросить сертификат, включающий оба имени.
Вопрос: Можно ли импортировать и использовать в AWS сертификат стороннего центра сертификации?
Да. Если вы хотите использовать с Amazon CloudFront, Elastic Load Balancing или Amazon API Gateway сторонний сертификат, его можно импортировать в ACM с помощью Консоли управления AWS, интерфейса командной строки AWS или API ACM. ACM не управляет процессом обновления импортированных сертификатов. Консоль управления AWS можно использовать для мониторинга окончания срока действия импортированных сертификатов и для импорта новых сторонних сертификатов взамен сертификатов с истекшим сроком действия.
Вопрос: Как ACM может помочь моей организации в соблюдении требований?
Использование ACM помогает обеспечить соответствие нормативным требованиям, упрощая процессы установления безопасных соединений, которые входят в типовые требования многих стандартов (например, PCI, FedRAMP и HIPAA). Подробную информацию по вопросам соответствия требованиям см. в разделе http://aws.amazon.com/compliance.
Вопрос: Предусмотрено ли в сервисе ACM соглашение об уровне обслуживания?
ACM не предусматривает SLA. Соглашение SLA действует для управляемых частных ЦС в ACM Private Certificate Authority.
Вопрос: Предоставляет ли ACM знак сертификата защищенности сайта или логотип доверия, которые я могу отобразить на моем веб‑сайте?
Нет. Если вы хотите использовать на сайте печать безопасности, можете получить ее у стороннего поставщика. Мы рекомендуем обратиться к поставщику, который может оценить и подтвердить безопасность вашего сайта, или ваших коммерческих принципов, или и того, и другого.
Вопрос: Разрешает ли компания Amazon использовать ее торговые марки или логотип в качестве значка сертификации, печати безопасности или логотипа доверия?
Нет. Печати и значки этого типа могут быть скопированы на сайты, не использующие сервис ACM, и могут использоваться ненадлежащим способом, чтобы обманным путем вызвать доверие. В целях защиты наших клиентов и репутации компании Amazon мы не разрешаем использовать наш логотип подобным образом.
Ведение журналов
Вопрос: Какие данные журналов доступны в сервисе AWS CloudTrail?
Журналы позволяют установить, какие пользователи и аккаунты делали вызовы API AWS для сервисов, поддерживающих AWS CloudTrail, IP-адрес источника, сделавшего вызовы, и время, когда они были сделаны. Например, можно установить, какой пользователь выполнил вызов API, чтобы связать сертификат, предоставленный ACM, с Elastic Load Balancer, и когда сервис Elastic Load Balancing расшифровал ключ с помощью вызова API KMS.
Управляемое обновление и развертывание
Вопрос: Что представляет собой управляемое обновление и развертывание сервиса ACM?
Возможность управляемого обновления и развертывания ACM управляет процессом обновления сертификатов SSL/TLS, предоставляемых ACM, и их дальнейшим развертыванием.
Вопрос: Каковы преимущества использования управляемого обновления и развертывания ACM?
ACM может управлять обновлением и развертыванием сертификатов SSL/TLS. По сравнению с ручными процедурами, при которых возможны ошибки, ACM обеспечивает более качественный процесс настройки и обслуживания протоколов SSL/TLS для защищенных веб-сервисов и приложений. Управляемое обновление и развертывание позволяет избежать простоев из-за просроченных сертификатов. ACM работает как сервис, обеспечивая интеграцию с другими сервисами AWS. Это позволяет централизованно управлять сертификатами и развертывать их на платформе AWS с помощью Консоли управления AWS, интерфейса командной строки AWS или API-интерфейсов. С помощью частного ЦС ACM можно создавать частные сертификаты, а затем экспортировать их. ACM обновляет экспортированные сертификаты, предоставляя возможность коду на стороне клиента загружать и развертывать их.
Вопрос: Для каких сертификатов ACM можно использовать автоматическое обновление и развертывание?
ACM может обновить публичные сертификаты ACM и выполнить их развертывание без дополнительной проверки со стороны владельца домена. Если сертификат не может быть обновлен без дополнительной проверки, ACM управляет процессом обновления, проверяя права владения или возможность управления доменом для всех доменных имен, указанных в сертификате. После проверки каждого доменного имени, указанного в сертификате, ACM обновляет сертификат и автоматически развертывает его на используемых ресурсах AWS. Если ACM не может проверить право владения доменом, сервис присылает соответствующее уведомление владельцу аккаунта AWS.
Если при запросе сертификата выбрана проверка с помощью записи DNS, ACM сможет обновлять сертификат неограниченное количество раз, не требуя каких-либо действий со стороны клиента, если сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена. Если при запросе сертификата выбрана проверка с помощью электронной почты, вы можете улучшить возможности ACM, связанные с автоматическим обновлением и развертыванием сертификатов ACM, убедившись, что сертификат используется и все доменные имена, включенные в сертификат, ведут на ваш сайт и доступны из Интернета.
ACM предоставляет три варианта управления частными сертификатами, выпущенными частным ЦС ACM. ACM предоставляет различные возможности по обновлению и развертыванию, которые зависят от способа управления частными сертификатами. Для каждого выпущенного частного сертификата можно выбрать наиболее подходящий вариант.
1) ACM может полностью автоматически обновлять частные сертификаты, выданные частным ЦС ACM и используемые для интегрированных с ACM сервисов (например, Elastic Load Balancing, API Gateway), а также управлять такими сертификатами. ACM может обновлять и развертывать частные сертификаты, созданные и управляемые в ACM, до тех пор, пока выдавший их частный центр сертификации находится в активном состоянии.
2) Частный ЦС ACM автоматически обновляет сертификат для частных сертификатов, экспортированных из ACM для использования с локальными ресурсами, инстансами EC2 и устройствами IoT. Клиент отвечает за получение нового сертификата и закрытого ключа, а также за их развертывание с приложения.
3) Если выпустить сертификаты напрямую из частного ЦС ACM и управлять ключами и сертификатами без использования ACM, ACM не обновляет сертификат. За обновление и развертывание таких частных сертификатов отвечает сам клиент.
Вопрос: Когда ACM обновляет сертификаты?
ACM начинает процесс обновления за 60 дней до истечения срока действия сертификата. В настоящее время сертификаты ACM действительны в течение 13 месяцев (395 дней). Подробнее об управляемом обновлении см. в Руководстве пользователя ACM.
Вопрос: Буду ли я предварительно извещен об обновлении сертификата и развертывании нового сертификата?
Нет. ACM может обновить сертификат или повторно создать ключи и заменить старые без предварительного уведомления.
Вопрос: Может ли ACM обновить публичные сертификаты, содержащие пустые домены, такие как example.com (также известные как начало зоны)?
Если в запросе сертификата выбрана проверка с помощью записи DNS для публичного сертификата, ACM сможет обновлять ваш сертификат, не требуя каких-либо действий с вашей стороны, пока сертификат используется (связан с другими ресурсами AWS) и запись CNAME не удалена.
Если вы выбрали проверку с помощью электронной почты при запросе публичного сертификата для пустого домена, убедитесь, что DNS-поиск пустого домена разрешается адресом ресурса AWS, связанного с сертификатом. Разрешение пустого домена в ресурсе AWS может быть непростой задачей, если вы не используете Route 53 или другой провайдер DNS, поддерживающий записи ресурса псевдонима (или эквивалентные им) для преобразования пустых доменов в ресурсы AWS. Подробнее см. в Руководстве разработчика по Route 53.
Вопрос: Будут ли закрыты текущие подключения к сайту в процессе развертывания ACM обновленного сертификата?
Нет. Соединения, устанавливаемые после развертывания нового сертификата, используют новый сертификат, при этом существующие соединения не затрагиваются.