AWS Elastic Beanstalk /LoadBalancerにSSL証明書をインストールします

このハウツーは、インストールのプロセスをガイドします TLSロードバランサーからAmazonElasticCompute Cloud（Amazon EC2）インスタンスへのデータを暗号化できるようにするためのAWSElasticBeanstalk環境への/SSL証明書。

ElasticBeanstalk環境を準備します

Elastic Beanstalk環境を準備するプロセスはこのガイドの範囲外であるため、環境がすでに構成されていると想定し、代わりに証明書のインストールプロセスに焦点を当てます。 このテーマに関する詳細情報が必要な場合は、 AWS ドキュメント.

取得する TLS/ SSL証明書

証明書を使用するための最初のステップは、 証明書を購入する SSL.comなどの公的に信頼されている認証局から。 特定のニーズに合った適切な証明書を選択することが重要なので、これを参照することをお勧めします ガイド。  生成に関する追加の詳細が必要な場合 CSR 生成、またはSSL.comから証明書を注文する方法については、次のWebサイトにアクセスしてください。 知識ベース. また、24時間サポートチームに連絡することもできます。 support@ssl.com またはオンラインチャット。 見積もり、カスタムソリューション、または大量注文については、お問い合わせください sales@ssl.com.

証明書をAWSにインポートします

後で設定できるように、証明書をAWSにインポートする必要があります。 推奨されるツールは、お住まいの地域で利用可能である限り、AWS Certificate Manager（ACM）を使用することです。 そうでない場合は、証明書をAWS Identity and Access Management（IAM）にアップロードできます。 それぞれのケースを個別に確認しますが、次の手順のいずれかに従うだけで済みます。

証明書をACMにインポートします

証明書のACMへのインポートは、コンソールまたはAWSコマンドラインインターフェイス（AWS CLI）を介して実行できます。 以下では、両方のオプションについて説明します。

コンソールからインポート

1. でACMコンソールを開きます https://console.aws.amazon.com/acm/home.
2. ソフトウェアの制限をクリック 証明書をインポートする
3. 入力する必要のあるXNUMXつのフィールドが表示されます
   1. 証明書本体：SSL.comから受け取ったPEMでエンコードされた証明書を挿入します。 これはで始まる必要があります – – – – –証明書の開始– – – – – そしてで終わる – – – – –証明書の終了– – – – –.
   2. 証明書の秘密鍵：SSL.comから受け取ったPEMでエンコードされた暗号化されていない秘密鍵を挿入します。 これはで始まる必要があります – – – – –秘密鍵の開始-– – – – そしてで終わる – – – – –秘密鍵の終了– – – –-。
   3. 証明書チェーン：PEMでエンコードされた証明書チェーンを挿入します。
4. ソフトウェアの制限をクリック レビューしてインポートします。
5. あなたが表示されます ページの確認とインポート。 証明書について表示された情報をチェックして、すべてが正常であることを確認する必要があります。 フィールドは次のとおりです。

• ドメイン —証明書によって認証された完全修飾ドメイン名（FQDN）のリスト
  
  
• 有効期限 —証明書の有効期限が切れるまでの日数
  
  
• 公開鍵情報 —キーペアの生成に使用される暗号化アルゴリズム
  
  
• 署名アルゴリズム —証明書の署名を作成するために使用される暗号化アルゴリズム
  
  
• で使用できます —ACMのリスト 統合サービス インポートする証明書のタイプをサポートする
  
  6.すべてが正しい場合は、 インポート.

これで、ロードバランサーにリスナーを追加する次のステップに進む準備ができました。

AWSCLIを介してインポート

AWSCLIを使用して証明書をインポートすることを選択することもできます。 これを行うには、次のことを確認する必要があります。

• PEMでエンコードされた証明書は、という名前のファイルに保存されます Certificate.pem。
  
  
• PEMでエンコードされた証明書チェーンは、という名前のファイルに保存されます CertificateChain.pem。
  
  
• PEMでエンコードされ、暗号化されていない秘密鍵は、という名前のファイルに保存されます PrivateKey.pem。
  
  

次に、次のコマンドをXNUMXつの連続した行に入力して、ファイル名を独自の名前に置き換えます。 次の例には、読みやすくするための改行と余分なスペースが含まれています。 これは、上記の一般名を使用した例であることに注意してください。 このコマンドを実際に使用するときは、fileb：//Certificate.pemおよびその他の同様の式を、コンピューター内の実際のファイル名とパスに置き換える必要があります。

$ aws acm import-certificate –certificate fileb：//Certificate.pem \       –certificate-chain fileb：//CertificateChain.pem \       –private-key fileb：//PrivateKey.pem

Status インポート証明書 コマンドが成功すると、 Amazonリソース名（ARN） インポートされた証明書の。  これで、ロードバランサーにリスナーを追加する次のステップに進む準備ができました。

証明書をIAMにアップロードする

お住まいの地域でACMが利用できない場合にのみ、IAMを使用して証明書をアップロードする必要があります。 これは、AWSCLIで次のコマンドを入力することで実行されます。 次のことを確認する必要があることに注意してください。

• PEMでエンコードされた証明書は、という名前のファイルに保存されます Certificate.pem。
  
  
• PEMでエンコードされた証明書チェーンは、という名前のファイルに保存されます CertificateChain.pem。
  
  

PEMでエンコードされ、暗号化されていない秘密鍵は、という名前のファイルに保存されます PrivateKey.pem。

$ aws iam upload-server-certificate –server-certificate-name elastic-beanstalk-x509 –certificate-chain file：//証明書チェーン.pem –certificate-body file：//証明書.pem –private-key file：//プライベートキー.pem {     「serverCertificateMetadata」：{         「serverCertificateId」：「AS5YBEIONO2Q7CAIHKNGC」、         「serverCertificateName」：「elastic-beanstalk-x509」、         “Expiration”: “2017-01-31T23:06:22Z”,         "道"： "/"、         「arn」：「arn：aws：iam :: 123456789012：server-certificate / elastic-beanstalk-x509」、         “UploadDate”: “2016-02-01T23:10:34.167Z”     } }

　 ファイル：// プレフィックスは、現在のディレクトリにあるファイルのコンテンツをロードするようにAWSCLIに指示します。 当然、証明書のメタデータを独自のものに置き換える必要があります。 具体的には、 弾性-豆の木-x509 IAMで証明書を呼び出すための名前を指定する必要があります。  これで、ロードバランサーにリスナーを追加する次のステップに進む準備ができました。

ロードバランサーにリスナーを追加する

証明書をインストールしたら、HTTPSを有効にするためにロードバランサーにリスナーを追加する必要があります。 次のことを行う必要があります。

1.   Video Cloud Studioで ElasticBeanstalkコンソール、次に環境を選択します。
2.   ナビゲーションペインで、 　.
3.   ロードバランサー カテゴリ、選択 修正します.
4.   次のステップは、ポート443のリスナーを追加することです。手順は、ElasticBeanstalk環境のロードバランサーのタイプによって異なります。 適切なタイプのロードバランサー、クラシック、ネットワーク、またはアプリケーションを選択した後、一連の手順に従う必要があります。 手順は似ていますが、いくつかの重要な違いがあります。

のリスナーを追加する クラシックロードバランサー.

1.   選択する リスナーを追加.
2.   ポート、着信トラフィックポート（通常は443）を入力します。
3.   プロトコール、選択する HTTPS.
4.   インスタンスポート、 入る 80.
5.   インスタンスプロトコル、選択する HTTP.
6.   SSL証明書、証明書を選択してから、 SSLポリシー ドロップダウンメニューから使用したいもの。
7. 選択する Add、次に選択する 申し込む.

のリスナーを追加する ネットワークロードバランサー.

1.   選択する リスナーを追加.
2.   ポート、着信トラフィックポート（通常は443）を入力します。
3. 選択する Add、次に選択する 申し込む.

のリスナーを追加する アプリケーションロードバランサー.

1.   選択する リスナーを追加.
2.   ポート、着信トラフィックポート（通常は443）を入力します。
3.   プロトコール、選択する HTTPS.
4.   SSL証明書、証明書を選択してから、 SSLポリシー ドロップダウンリストから使用したいもの。
5.   選択する Add、次に選択する 申し込む.

上記のすべての手順では、変更はクリックした後にのみ有効になることに注意してください。 申し込む

変更を確認する

インストール後 TLSElastic Beanstalk LoadBalancerへの/SSL証明書。変更を確認して、すべてが正常であることを確認できます。 プロセスが完了するまでに数分かかるはずです。 おめでとう！ インストールしました TLSAWSElasticBeanstalk環境の/SSL証明書。ユーザーがウェブサイトに安全に接続されていることを確認します。