Ce guide vous guidera tout au long du processus d'installation d'un TLS/SSL à votre environnement AWS Elastic Beanstalk afin que vous puissiez chiffrer les données de votre équilibreur de charge vers votre instance Amazon Elastic Compute Cloud (Amazon EC2).
Si la certificat d'importation commande est réussie, elle renvoie le Nom de ressource Amazon (ARN) du certificat importé.
Vous êtes maintenant prêt à passer à l'étape suivante consistant à ajouter des écouteurs à vos équilibreurs de charge.
La fichier: // préfixe indique à l'AWS CLI de charger le contenu d'un fichier dans le répertoire actuel. Naturellement, vous devez remplacer les métadonnées du certificat par les vôtres. Plus précisément, le haricot-élastique-x509 doit spécifier le nom pour appeler le certificat dans IAM.
Vous êtes maintenant prêt à passer à l'étape suivante consistant à ajouter des écouteurs à vos équilibreurs de charge.
Préparez votre environnement Elastic Beanstalk
Le processus de préparation de l'environnement Elastic Beanstalk sort du cadre de ce guide. Par conséquent, nous supposerons que votre environnement est déjà configuré et nous nous concentrerons plutôt sur le processus d'installation du certificat. Si vous avez besoin de plus d'informations sur le sujet, veuillez commencer par le Documentation AWS.Acquérir un TLS/ Certificat SSL
Pour utiliser un certificat, la première étape consiste à acheter un certificat d'une autorité de certification de confiance publique, telle que SSL.com. Il est important de choisir le bon certificat pour vos besoins spécifiques, nous vous conseillons donc de vous référer à ce guider. Si vous avez besoin de détails supplémentaires concernant la génération du CSR génération, ou comment commander votre certificat auprès de SSL.com, veuillez visiter notre knowledgebase. Vous pouvez également contacter notre équipe d'assistance 24 heures sur XNUMX au support@ssl.com ou le chat en ligne. Pour des devis, des solutions personnalisées ou des commandes à volume élevé, veuillez contacter ventes@ssl.com.Importer le certificat dans AWS
Le certificat doit être importé dans AWS afin de pouvoir être configuré ultérieurement. L'outil recommandé consiste à utiliser AWS Certificate Manager (ACM) tant qu'il est disponible dans votre région. Dans le cas contraire, vous pouvez télécharger votre certificat sur AWS Identity and Access Management (IAM). Nous verrons chaque cas séparément, mais il vous suffit de suivre l'une des procédures suivantes.Importer un certificat dans ACM
L'importation d'un certificat dans ACM peut être effectuée via la console ou via l'AWS Command Line Interface (AWS CLI). Ci-dessous, nous vous guiderons à travers les deux options.Importer via la console
- Ouvrez la console ACM à https://console.aws.amazon.com/acm/home.
- Cliquez sur Importer un certificat
- Vous verrez trois champs que vous devez remplir
- Organisme de certification: insérez le certificat encodé PEM que vous avez reçu de SSL.com. Cela devrait commencer par – – – – – DÉBUT CERTIFICAT – – – – – et se termine par – – – – – CERTIFICAT DE FIN – – – – –.
- Clé privée du certificat: insérez la clé privée non cryptée encodée PEM que vous avez reçue de SSL.com. Cela devrait commencer par – – – – – COMMENCEZ LA CLÉ PRIVÉE – – – – – et se termine par – – – – – FIN CLÉ PRIVÉE – – – – -.
- Chaîne de certificats: insère la chaîne de certificat encodée PEM.
- Cliquez sur Réviser et importer.
- Vous verrez un Page de révision et d'importation. Vous devez vérifier les informations affichées sur votre certificat pour valider que tout est en ordre. Les champs sont :
- Domaines — Une liste de noms de domaine pleinement qualifiés (FQDN) authentifiés par le certificat
- Expire dans — Le nombre de jours avant l'expiration du certificat
- Informations sur la clé publique — L'algorithme cryptographique utilisé pour générer la paire de clés
- Algorithme de signature — L'algorithme cryptographique utilisé pour créer la signature du certificat
- Peut être utilisé avec — Une liste d'ACM pleins de fonctionnalités prenant en charge le type de certificat que vous importez
6. Si tout est correct, choisissez Importer.
Importation via AWS CLI
Vous pouvez également choisir d'importer le certificat à l'aide de l'AWS CLI. Pour ce faire, vous devez vous assurer que :- Le certificat encodé PEM est stocké dans un fichier nommé Certificat.pem.
- La chaîne de certificats encodée PEM est stockée dans un fichier nommé CertificateChain.pem.
- La clé privée non chiffrée encodée en PEM est stockée dans un fichier nommé PrivateKey.pem.
$ aws acm import-certificate –fichier de certificatb://Certificate.pem \ –fichier de chaîne de certificatsb://CertificateChain.pem \ –fichier de clé privéeb://PrivateKey.pem |
Charger un certificat dans IAM
Vous devez utiliser IAM pour télécharger un certificat uniquement si ACM n'est pas disponible dans votre région. Cela se fait en tapant la commande suivante sur l'AWS CLI. Notez que vous devez vous assurer de ce qui suit :- Le certificat encodé PEM est stocké dans un fichier nommé Certificat.pem.
- La chaîne de certificats encodée PEM est stockée dans un fichier nommé CertificateChain.pem.
$ aws iam upload-server-certificate –server-certificate-name elastic-beanstalk-x509 –certificate-chain file://CertificatChain.pem –fichier de l'organisme de certification://Certificat.pem –fichier de clé privée://Clé Privée.pem { "ServerCertificateMetadata": { "ServerCertificateId": "AS5YBEIONO2Q7CAIHKNGC", "ServerCertificateName": "elastic-beanstalk-x509", “Expiration”: “2017-01-31T23:06:22Z”, "Chemin": "/", "Arn": "arn:aws:iam::123456789012:server-certificate/elastic-beanstalk-x509", “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
Ajoutez des écouteurs à vos équilibreurs de charge
Après avoir installé votre certificat, vous devez ajouter des écouteurs à vos équilibreurs de charge pour activer HTTPS. Vous devriez faire ce qui suit :- Ouvrez le Console Elastic Beanstalk, puis sélectionnez votre environnement.
- Dans le volet de navigation, choisissez Configuration.
- Dans le Équilibreur de charge catégorie, choisissez modifier.
- L'étape suivante consiste à ajouter l'écouteur pour le port 443. La procédure dépend du type d'équilibreur de charge dans votre environnement Elastic Beanstalk. Vous devez suivre l'ensemble d'instructions après avoir sélectionné le type approprié d'équilibreur de charge, classique, réseau ou application. Les étapes sont similaires, mais avec quelques différences cruciales.
Ajouter des auditeurs pour un Équilibreur de charge classique.
- Choisir Ajouter un écouteur.
- Pour Port, entrez le port du trafic entrant (généralement 443).
- Pour Passerelle, choisissez HTTPS.
- Pour Port d'instance, Entrer 80.
- Pour Protocole d'instance, choisissez HTTP.
- Pour certificat SSL, choisissez votre certificat, puis choisissez le Politique SSL que vous souhaitez utiliser dans le menu déroulant.
- Choisir Ajouter, puis choisissez Appliquer.
Ajouter des auditeurs pour un Équilibreur de charge réseau.
- Choisir Ajouter un écouteur.
- Pour Port, entrez le port du trafic entrant (généralement 443).
- Choisir Ajouter, puis choisissez Appliquer.
Ajouter des auditeurs pour un Équilibreur de charge d'application.
- Choisir Ajouter un écouteur.
- Pour Port, entrez le port du trafic entrant (généralement 443).
- Pour Passerelle, choisissez HTTPS.
- Pour certificat SSL, choisissez votre certificat, puis choisissez le Politique SSL que vous souhaitez utiliser dans la liste déroulante.
- Choisir Ajouter, puis choisissez Appliquer.