是否可以在 AWS API Gateway 上设置客户端 TLS 身份验证?
我不是说 API 网关和 Elastic Beanstalk 之间,正如它所描述的那样 here ,但在客户端和 API 网关本身之间,可能有一个自定义授权方(例如 Lambda)在将请求转发到 Elastic Beanstalk 之前检查证书的有效性。
最佳答案
您可以通过为您的 api 创建一个自定义域名并将证书添加到您的自定义域名来做到这一点
这是为自定义域设置证书的方法 -
要为边缘优化的自定义域名提供证书,您可以请求 AWS Certificate Manager (ACM) 在 ACM 中生成新证书或将第三方证书颁发机构颁发的证书导入 ACM。
要为支持 ACM 的区域中的区域自定义域名提供证书,您必须向 ACM 申请证书。如需为不支持ACM的地区的地区自定义域名提供证书,您需要将证书导入该地区的API网关。
要导入 SSL/TLS 证书,您必须提供 PEM 格式的 SSL/TLS 证书正文、其私钥以及自定义域名的证书链。存储在 ACM 中的每个证书都由其 ARN 标识。要将 AWS 托管的证书用于域名,您只需引用其 ARN。
ACM 使得为 API 设置和使用自定义域名变得简单:在 ACM 中为给定域名创建或导入证书,在 API 网关中使用由提供的证书的 ARN 设置域名ACM,并将自定义域名下的基本路径映射到 API 的部署阶段。使用 ACM 颁发的证书,您不必担心会泄露任何敏感的证书详细信息,例如私钥。
引用:https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html
关于amazon-web-services - 使用 AWS API Gateway 的客户端 TLS 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51610034/