Перейти к основному содержимому

Сертификаты TLS (SSL) для пользовательских доменов

Для обращения к объектам в бакете через пользовательский домен по HTTPS нужно добавить сертификат TLS (SSL). Управлять сертификатами можно через панель управления или User Certificates API.

Выпустить сертификат можно у любого провайдера. При использовании DNS-хостинга Servercore вы можете быстро выпустить сертификат Let’s Encrypt, но после каждого перевыпуска Let’s Encrypt сертификат необходимо добавлять вручную.

Сертификат добавляется на уровне страны: он будет работать только для бакетов, размещенных в регионе выбранной страны.

Для одного домена может быть активен один сертификат. Если для домена добавлено несколько сертификатов, активным будет последний загруженный. Если активный сертификат будет удален или срок его действия истечет, автоматически активируется предыдущий, но только если срок его действия не истек.

Протокол TLS

Протокол Transport Layer Security (TLS) является новой версией протокола SSL и используется вместе с протоколом HTTP. При совместном использовании HTTP и TLS обеспечивается шифрование, аутентификация и целостность данных.

к сведению

Мы рекомендуем использовать TLS-протокол версии 1.2 и выше. Версии ниже 1.2 признаны устаревшими (подробнее на сайте IETF) и не поддерживаются S3 с 1 мая 2023 года.

Посмотреть используемую версию TLS можно в логах.

Подробнее о настройке TLS версии 1.2 в документации Amazon:

Добавить сертификат

В рамках проекта можно добавить до 100 сертификатов.

  1. В панели управления в верхнем меню нажмите Продукты и выберите S3.

  2. Перейдите в раздел SSL-сертификаты.

  3. Нажмите Добавить сертификат.

  4. Выберите страну, для бакетов в которой будет работать сертификат.

  5. Введите имя для сертификата, оно должно быть уникальным в рамках проекта.

  6. Добавьте основной сертификат:

    -----BEGIN CERTIFICATE-----
    <certificate.crt>
    -----END CERTIFICATE-----

    Укажите <certificate.crt> — приватный ключ в формате PKCS#1.

  7. Добавьте приватный ключ:

    -----BEGIN PRIVATE KEY-----
    <private_key.key>
    -----END PRIVATE KEY-----

    Укажите <private_key.key> — приватный ключ в формате PKCS#1.

  8. Нажмите Добавить сертификат. Сертификат активируется в течение пяти минут.

Статусы сертификатов

in progressСертификат проходит проверку (до пяти минут). При успешной проверке статус изменится на active, а в случае ошибки — на error
errorПроверка сертификата завершилась ошибкой, для просмотра причины наведите курсор на статус. Исправьте ошибку, удалите сертификат и добавьте его снова
activeСертификат активен
expiredСрок действия сертификата истек. Удалите сертификат и добавьте новый

Удалить сертификат

Нельзя удалить сертификаты, которые находятся в процессе добавления.

  1. В панели управления в верхнем меню нажмите Продукты и выберите S3.
  2. Перейдите в раздел SSL-сертификаты.
  3. В строке с сертификатом нажмите .
  4. Введите имя сертификата и нажмите Удалить.