本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# VPC Lattice 自带证书（BYOC）
<a name="service-byoc"></a>

要处理 HTTPS 请求，在设置自定义域名之前，必须准备好自己的 SSL/TLS 证书 AWS Certificate Manager (ACM)。这些证书必须具有与服务的自定义域名匹配的使用者备用名称（SAN），或公用名称（CN）。如果 SAN 存在，我们仅检查 SAN 列表中的匹配项。如果 SAN 不存在，则会检查 CN 中的匹配项。

VPC Lattice 使用服务器名称指示（SNI）提供 HTTPS 请求。DNS 会根据自定义域名和与该域名匹配的证书，将 HTTPS 请求路由到您的 VPC Lattice 服务。要在 ACM 中为域名申请 SSL/TLS 证书或将证书导入 ACM，请参阅*AWS Certificate Manager 用户*指南中的[颁发和管理证书](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)以及[导入证书](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。如果无法在 ACM 中请求或导入自己的证书，请使用 VPC Lattice 生成的域名和证书。

VPC Lattice 每项服务仅接受一个自定义证书。但是，您可以将自定义证书用于多个自定义域。这意味着您可以为使用自定义域名创建的所有 VPC Lattice 服务使用相同的证书。

要使用 ACM 控制台查看证书，请打开**证书**，然后选择证书 ID。您会在**关联资源**下看到与该证书关联的 VPC Lattice 服务。

**限制和注意事项**
+ VPC Lattice 允许在关联证书的使用者备用名称（SAN），或公用名称（CN）中进行深一级的通配符匹配。例如，如果您使用自定义域名 `parking.example.com` 创建服务，并将自己的证书与 SAN `*.example.com` 关联。当 `parking.example.com` 收到请求时，VPC Lattice 会将 SAN 与具有 apex 域 `example.com` 的任何域名匹配。但是，如果您拥有自定义域 `parking.different.example.com`，并且您的证书具有 SAN `*.example.com`，则请求将失败。
+  VPC Lattice 支持一级通配符域匹配。这意味着通配符只能用作一级子域，并且只能保护一个子域级别。例如，如果证书的 SAN 是 `*.example.com`，则不支持 `parking.*.example.com`。
+ VPC Lattice 支持每个域名一个通配符。这意味着 `*.*.example.com` 是无效的。有关更多信息，请参阅《AWS Certificate Manager 用户指南》**中的[请求公有证书](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)。
+ VPC Lattice 仅支持使用 2048 位 RSA 密钥的证书。
+ ACM 中的 SSL/TLS 证书必须与您关联的 VPC Lattice 服务位于同一区域。

## 保护证书私有密钥
<a name="securing-private-key"></a>

当您使用 ACM 请求 SSL/TLS 证书时，ACM 会生成一个 public/private key pair。导入证书时，将生成密钥对。公有密钥将成为证书的一部分。为了安全地存储私钥，ACM 使用 AWS KMS别名 a **w** s/acm 创建了另一个名为 KMS 密钥的密钥。 AWS KMS 使用此密钥来加密证书的私钥。有关更多信息，请参阅《AWS Certificate Manager 用户指南》**中的 [AWS Certificate Manager中的数据保护](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html)。

VPC AWS Lattice使用TLS连接管理器（一项只能访问的服务）来保护和使用您的证书的私钥。 AWS 服务当您使用 ACM 证书创建 VPC 莱迪思服务时，VPC Lattice 会将您的证书与 AWS TLS 连接管理器相关联。为此，我们会 AWS KMS 根据您的 AWS 托管密钥创建授权。此授权允许 TLS 连接管理器 AWS KMS 用于解密证书的私钥。TLS Connection Manager 使用证书和解密（明文）私有密钥，与 VPC Lattice 服务的客户端建立安全连接（SSL/TLS 会话）。当证书与 VPC Lattice 服务取消关联时，该授权就会失效。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

有关更多信息，请参阅 [静态加密](data-protection.md#encryption-rest)。