本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為 VPC Lattice 自備憑證 (BYOC)
<a name="service-byoc"></a>

若要提供 HTTPS 請求，您必須先在 (ACM) 中 AWS Certificate Manager 備妥自己的 SSL/TLS 憑證，才能設定自訂網域名稱。這些憑證必須具有符合您服務的自訂網域名稱的主體別名 (SAN) 或通用名稱 (CN)。如果 SAN 存在，我們只會在 SAN 清單中檢查相符項目。如果 SAN 不存在，我們會檢查 CN 中的相符項目。

VPC Lattice 使用伺服器名稱指示 (SNI) 提供 HTTPS 請求。DNS 會根據自訂網域名稱和符合此網域名稱的憑證，將 HTTPS 請求路由到您的 VPC Lattice 服務。若要請求 ACM 中網域名稱的 SSL/TLS 憑證或將憑證匯入 ACM，請參閱*AWS Certificate Manager 《 使用者指南*》中的[發行和管理憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)和[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。如果您無法在 ACM 中請求或匯入自己的憑證，請使用 VPC Lattice 產生的網域名稱和憑證。

VPC Lattice 每個服務只接受一個自訂憑證。不過，您可以針對多個自訂網域使用自訂憑證。這表示您可以針對使用自訂網域名稱建立的所有 VPC Lattice 服務使用相同的憑證。

若要使用 ACM 主控台檢視您的憑證，請開啟**憑證**，然後選取憑證 ID。您應該會在**關聯的資源**下看到與該憑證相關聯的 VPC Lattice 服務。

**限制及考量**
+ VPC Lattice 允許在關聯憑證的主體別名 (SAN) 或通用名稱 (CN) 深一級的萬用字元比對。例如，如果您使用自訂網域名稱建立服務，`parking.example.com`並將您自己的憑證與 SAN 建立關聯`*.example.com`。當 的請求傳入時`parking.example.com`，VPC Lattice 會將 SAN 與具有頂點網域 的任何網域名稱相符`example.com`。不過，如果您有自訂網域，`parking.different.example.com`且憑證有 SAN`*.example.com`，則請求會失敗。
+  VPC Lattice 支援單一層級的萬用字元網域比對。這表示萬用字元只能用作第一層子網域，而且只能保護一個子網域層級。例如，如果您憑證的 SAN 是 `*.example.com`，則`parking.*.example.com`不支援 。
+ VPC Lattice 支援每個網域名稱一個萬用字元。這表示 `*.*.example.com` 是無效的。如需詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的[請求公有憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)。
+ VPC Lattice 僅支援具有 2048 位元 RSA 金鑰的憑證。
+ ACM 中的 SSL/TLS 憑證必須與您與其建立關聯的 VPC Lattice 服務位於相同的區域。

## 保護憑證的私有金鑰
<a name="securing-private-key"></a>

當您使用 ACM 請求 SSL/TLS 憑證時，ACM 會產生公有/私有金鑰對。當您匯入憑證時，會產生金鑰對。公有金鑰會成為憑證的一部分。為了安全存放私有金鑰，ACM 會使用 AWS KMS稱為 KMS 金鑰的另一個金鑰與別名 **aws/acm**。 AWS KMS 使用此金鑰來加密憑證的私有金鑰。如需詳細資訊，請參閱《 *AWS Certificate Manager 使用者指南*》中的 [AWS Certificate Manager中的資料保護](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html)。

VPC Lattice AWS 使用 TLS Connection Manager，此服務只能存取 AWS 服務，以保護和使用憑證的私有金鑰。當您使用 ACM 憑證建立 VPC Lattice 服務時，VPC Lattice 會將您的憑證與 AWS TLS Connection Manager 建立關聯。我們會針對您的 AWS 受 AWS KMS 管金鑰在 中建立授予，藉此達成此目的。此授權允許 TLS Connection Manager 使用 AWS KMS 解密憑證的私有金鑰。TLS Connection Manager 使用憑證和解密的 （純文字） 私有金鑰，與 VPC Lattice 服務的用戶端建立安全連線 (SSL/TLS 工作階段）。當憑證與 VPC Lattice 服務取消關聯時，授權會淘汰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

如需詳細資訊，請參閱[靜態加密](data-protection.md#encryption-rest)。