このハウツーは、インストールのプロセスをガイドします TLSロードバランサーからAmazonElasticCompute Cloud(Amazon EC2)インスタンスへのデータを暗号化できるようにするためのAWSElasticBeanstalk環境への/SSL証明書。
Status インポート証明書 コマンドが成功すると、 Amazonリソース名(ARN) インポートされた証明書の。
これで、ロードバランサーにリスナーを追加する次のステップに進む準備ができました。
この ファイル:// プレフィックスは、現在のディレクトリにあるファイルのコンテンツをロードするようにAWSCLIに指示します。 当然、証明書のメタデータを独自のものに置き換える必要があります。 具体的には、 弾性-豆の木-x509 IAMで証明書を呼び出すための名前を指定する必要があります。
これで、ロードバランサーにリスナーを追加する次のステップに進む準備ができました。
ElasticBeanstalk環境を準備します
Elastic Beanstalk環境を準備するプロセスはこのガイドの範囲外であるため、環境がすでに構成されていると想定し、代わりに証明書のインストールプロセスに焦点を当てます。 このテーマに関する詳細情報が必要な場合は、 AWS ドキュメント.取得する TLS/ SSL証明書
証明書を使用するための最初のステップは、 証明書を購入する SSL.comなどの公的に信頼されている認証局から。 特定のニーズに合った適切な証明書を選択することが重要なので、これを参照することをお勧めします ガイド。 生成に関する追加の詳細が必要な場合 CSR 生成、またはSSL.comから証明書を注文する方法については、次のWebサイトにアクセスしてください。 知識ベース. また、24時間サポートチームに連絡することもできます。 お問い合わせ またはオンラインチャット。 見積もり、カスタムソリューション、または大量注文については、お問い合わせください お問い合わせ.証明書をAWSにインポートします
後で設定できるように、証明書をAWSにインポートする必要があります。 推奨されるツールは、お住まいの地域で利用可能である限り、AWS Certificate Manager(ACM)を使用することです。 そうでない場合は、証明書をAWS Identity and Access Management(IAM)にアップロードできます。 それぞれのケースを個別に確認しますが、次の手順のいずれかに従うだけで済みます。証明書をACMにインポートします
証明書のACMへのインポートは、コンソールまたはAWSコマンドラインインターフェイス(AWS CLI)を介して実行できます。 以下では、両方のオプションについて説明します。コンソールからインポート
- でACMコンソールを開きます https://console.aws.amazon.com/acm/home.
- ソフトウェアの制限をクリック 証明書をインポートする
- 入力する必要のあるXNUMXつのフィールドが表示されます
- 証明書本体:SSL.comから受け取ったPEMでエンコードされた証明書を挿入します。 これはで始まる必要があります – – – – –証明書の開始– – – – – そしてで終わる – – – – –証明書の終了– – – – –.
- 証明書の秘密鍵:SSL.comから受け取ったPEMでエンコードされた暗号化されていない秘密鍵を挿入します。 これはで始まる必要があります – – – – –秘密鍵の開始-– – – – そしてで終わる – – – – –秘密鍵の終了– – – –-。
- 証明書チェーン:PEMでエンコードされた証明書チェーンを挿入します。
- ソフトウェアの制限をクリック レビューしてインポートします。
- あなたが表示されます ページの確認とインポート。 証明書について表示された情報をチェックして、すべてが正常であることを確認する必要があります。 フィールドは次のとおりです。
- ドメイン —証明書によって認証された完全修飾ドメイン名(FQDN)のリスト
- 有効期限 —証明書の有効期限が切れるまでの日数
- 公開鍵情報 —キーペアの生成に使用される暗号化アルゴリズム
- 署名アルゴリズム —証明書の署名を作成するために使用される暗号化アルゴリズム
- で使用できます —ACMのリスト 統合サービス インポートする証明書のタイプをサポートする
6.すべてが正しい場合は、 インポート.
AWSCLIを介してインポート
AWSCLIを使用して証明書をインポートすることを選択することもできます。 これを行うには、次のことを確認する必要があります。- PEMでエンコードされた証明書は、という名前のファイルに保存されます Certificate.pem。
- PEMでエンコードされた証明書チェーンは、という名前のファイルに保存されます CertificateChain.pem。
- PEMでエンコードされ、暗号化されていない秘密鍵は、という名前のファイルに保存されます PrivateKey.pem。
| $ aws acm import-certificate –certificate fileb://Certificate.pem \ –certificate-chain fileb://CertificateChain.pem \ –private-key fileb://PrivateKey.pem |
証明書をIAMにアップロードする
お住まいの地域でACMが利用できない場合にのみ、IAMを使用して証明書をアップロードする必要があります。 これは、AWSCLIで次のコマンドを入力することで実行されます。 次のことを確認する必要があることに注意してください。- PEMでエンコードされた証明書は、という名前のファイルに保存されます Certificate.pem。
- PEMでエンコードされた証明書チェーンは、という名前のファイルに保存されます CertificateChain.pem。
| $ aws iam upload-server-certificate –server-certificate-name elastic-beanstalk-x509 –certificate-chain file://証明書チェーン.pem –certificate-body file://証明書.pem –private-key file://プライベートキー.pem { 「serverCertificateMetadata」:{ 「serverCertificateId」:「AS5YBEIONO2Q7CAIHKNGC」、 「serverCertificateName」:「elastic-beanstalk-x509」、 “Expiration”: “2017-01-31T23:06:22Z”, "道": "/"、 「arn」:「arn:aws:iam :: 123456789012:server-certificate / elastic-beanstalk-x509」、 “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
ロードバランサーにリスナーを追加する
証明書をインストールしたら、HTTPSを有効にするためにロードバランサーにリスナーを追加する必要があります。 次のことを行う必要があります。- Video Cloud Studioで ElasticBeanstalkコンソール、次に環境を選択します。
- ナビゲーションペインで、 .
- ロードバランサー カテゴリ、選択 修正します.
- 次のステップは、ポート443のリスナーを追加することです。手順は、ElasticBeanstalk環境のロードバランサーのタイプによって異なります。 適切なタイプのロードバランサー、クラシック、ネットワーク、またはアプリケーションを選択した後、一連の手順に従う必要があります。 手順は似ていますが、いくつかの重要な違いがあります。
のリスナーを追加する クラシックロードバランサー.
- 選択する リスナーを追加.
- ポート、着信トラフィックポート(通常は443)を入力します。
- プロトコル、選択する HTTPS.
- インスタンスポート、 入る 80.
- インスタンスプロトコル、選択する HTTP.
- SSL証明書、証明書を選択してから、 SSLポリシー ドロップダウンメニューから使用したいもの。
- 選択する Add、次に選択する 申し込む.
のリスナーを追加する ネットワークロードバランサー.
- 選択する リスナーを追加.
- ポート、着信トラフィックポート(通常は443)を入力します。
- 選択する Add、次に選択する 申し込む.
のリスナーを追加する アプリケーションロードバランサー.
- 選択する リスナーを追加.
- ポート、着信トラフィックポート(通常は443)を入力します。
- プロトコル、選択する HTTPS.
- SSL証明書、証明書を選択してから、 SSLポリシー ドロップダウンリストから使用したいもの。
- 選択する Add、次に選択する 申し込む.
