使用AWS API网关进行客户端TLS身份验证

Question

是否可以在AWS API网关上设置客户端TLS身份验证？

我不是指在API Gateway和Elastic Beanstalk之间，因为它被描述为here，而是在客户端和API Gateway本身之间，可能有一个自定义的授权器(例如Lambda)，在将请求转发到Elastic Beanstalk之前检查证书的有效性。

Answer 1

您可以通过为api创建自定义域名并将证书添加到自定义域名来完成此操作

以下是如何为自定义域设置证书-

要为边缘优化的自定义域名提供证书，您可以请求AWS证书管理器( ACM )在ACM中生成新证书，或将由第三方证书颁发机构颁发的证书导入ACM。

若要为支持ACM的地域自定义域名提供证书，您必须向ACM申请证书。若要为不支持ACM的地域自定义域名提供证书，必须将证书导入该地域的API网关。

要导入SSL/TLS证书，您必须提供PEM格式的SSL/TLS证书正文、其私钥和自定义域名的证书链。ACM中存储的每个证书都由其ARN标识。要将AWS管理的证书用于域名，只需引用其ARN即可。

ACM使得为API设置和使用自定义域名变得简单:在中创建给定域名的证书或将其导入到ACM中，在API网关中使用ACM提供的证书的ARN设置域名，并将自定义域名下的基本路径映射到API的部署阶段。使用ACM颁发的证书，您不必担心暴露任何敏感的证书细节，例如私钥。

参考：https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html