AWS Certificate Manager тепер дозволяє експортувати SSL/TLS сертифікати для використання поза AWS

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Компанія Amazon Web Services оголосила про запуск нової функції у AWS Certificate Manager (ACM) — тепер ви можете експортувати публічні SSL/TLS сертифікати та використовувати їх у будь-яких середовищах, а не лише всередині хмарних сервісів AWS.

Що змінилося?

Раніше ACM дозволяв безкоштовно видавати публічні сертифікати або імпортувати сертифікати від сторонніх центрів сертифікації (CA) для роботи з такими сервісами, як Elastic Load Balancing (ELB), Amazon CloudFront та Amazon API Gateway. Але ці сертифікати не можна було експортувати, що обмежувало їх використання.

Тепер ситуація змінилася: ви можете створити експортований публічний сертифікат, отримати приватний ключ і використати його на EC2, у контейнерах або навіть на локальних серверах.

Як працюють експортовані сертифікати

Запит сертифіката

Почати можна через консоль ACM або AWS CLI. Під час створення сертифіката важливо увімкнути опцію експорту. Після видачі змінити це вже буде неможливо. Старі сертифікати (видані раніше) не підтримують експорт.

Приклад запиту через AWS CLI:

aws acm request-certificate \

—domain-name mydomain.com \

—key-algorithm EC_Prime256v1 \

—validation-method DNS \

—idempotency-token <token> \

—options CertificateTransparencyLoggingPreference=DISABLED \

Export=ENABLED

Після цього необхідно підтвердити право власності на домен. Як правило, після підтвердження сертифікат видається протягом кількох секунд.

Експорт сертифіката

Коли статус сертифіката зміниться на Issued, ви зможете його експортувати. ACM запропонує створити пароль для шифрування приватного ключа. Цей пароль знадобиться для подальшого розшифрування.

Ви зможете отримати:

• сам сертифікат у форматі PEM,
• ланцюжок сертифікації,
• зашифрований приватний ключ.

Файли можна скопіювати або завантажити окремо.

Приклад команди експорту через AWS CLI:

aws acm export-certificate \

—certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \

—passphrase fileb://path-to-passphrase-file \

| jq -r ’"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"’ \

> /tmp/export.txt

Ці сертифікати можна використовувати у будь-яких середовищах, які потребують SSL/TLS — наприклад, на EC2 або внутрішніх корпоративних серверах.

Важливі особливості

1. Безпека ключів

Через IAM-політики адміністратори можуть обмежувати доступ до функції створення експортованих сертифікатів. Користувачі з правами на створення сертифікатів автоматично отримають доступ до створення експортованих. Обов’язково зберігайте приватні ключі у захищеному сховищі.

2. Відкликання сертифікатів

У випадку витоку приватного ключа або через політику безпеки вашої компанії, сертифікат можна відкликати. Але пам’ятайте: це дія незворотна — після відкликання сертифікат не можна відновити.

3. Автоматичне оновлення

Сертифікати дійсні протягом 395 днів. Ви можете налаштувати автоматичне оновлення через Amazon EventBridge, щоб моніторити терміни дії й автоматично замінювати сертифікати у ваших системах. Оновлення також можна запускати вручну. За кожне оновлення знімається нова плата.

Вартість

Експортовані сертифікати — це платна опція. Поточні ціни:

• $15 за кожне доменне ім’я (FQDN),
• $149 за wildcard-домен.

Оплата стягується один раз під час створення сертифіката та знову при оновленні.

Підсумок

Завдяки новій можливості експорту публічних сертифікатів, ACM стає ще більш гнучким інструментом для компаній, які використовують як хмарні, так і локальні інфраструктури. Це рішення значно спрощує інтеграцію SSL/TLS у будь-яке середовище.

Спробуйте самостійно — перейдіть до консолі ACM, подайте запит на новий сертифікат та протестуйте нову функцію.