Denne fremgangsmåten vil veilede deg gjennom prosessen med å installere en TLS/SSL-sertifikat til AWS Elastic Beanstalk-miljøet ditt slik at du kan kryptere data fra belastningsbalanseren til Amazon Elastic Compute Cloud (Amazon EC2)-forekomsten.
Dersom import-sertifikat kommandoen er vellykket, returnerer den Amazon Resource Name (ARN) av det importerte sertifikatet.
Nå er du klar til å fortsette til neste trinn med å legge til lyttere til belastningsbalanserne.
De fil: // prefiks forteller AWS CLI å laste innholdet i en fil i gjeldende katalog. Naturligvis bør du erstatte metadataene til sertifikatet med dine egne. Nærmere bestemt elastisk-bønnestengel-x509 bør spesifisere navnet for å kalle sertifikatet i IAM.
Nå er du klar til å fortsette til neste trinn med å legge til lyttere til belastningsbalanserne.
Forbered ditt elastiske bønnestengelmiljø
Prosessen med å forberede Elastic Beanstalk-miljøet ligger utenfor denne veiledningen, og derfor vil vi anta at miljøet ditt allerede er konfigurert og fokusere på installasjonsprosessen av sertifikatet i stedet. Hvis du trenger mer informasjon om emnet, vennligst start med AWS dokumentasjon.Skaff deg en TLS/ SSL-sertifikat
For å bruke et sertifikat er det første trinnet å kjøpe et sertifikat fra en offentlig pålitelig sertifiseringsinstans, som SSL.com. Det er viktig å velge riktig sertifikat for dine spesifikke behov, så vi anbefaler deg å henvise til dette guide. Hvis du trenger ytterligere detaljer angående generering av CSR generasjon, eller hvordan du bestiller sertifikatet ditt fra SSL.com, vennligst besøk vår kunnskapsbase. Du kan også kontakte vårt 24-timers supportteam på support@ssl.com eller nettpraten. For tilbud, tilpassede løsninger eller høyvolumsbestillinger, vennligst kontakt sales@ssl.com.Importer sertifikatet til AWS
Sertifikatet må importeres til AWS slik at det kan konfigureres senere. Det anbefalte verktøyet er å bruke AWS Certificate Manager (ACM) så lenge det er tilgjengelig for din region. I tilfelle det ikke er det, kan du laste opp sertifikatet til AWS Identity and Access Management (IAM). Vi vil se hver sak separat, men du trenger bare å følge én av følgende prosedyrer.Importer et sertifikat til ACM
Import av et sertifikat til ACM kan gjøres gjennom konsollen eller gjennom AWS Command Line Interface (AWS CLI). Nedenfor vil vi guide deg gjennom begge alternativene.Importer gjennom konsollen
- Åpne ACM-konsollen på https://console.aws.amazon.com/acm/home.
- Klikk på Importer et sertifikat
- Du vil se tre felt du må fylle ut
- Sertifiseringsorgan: sett inn det PEM-kodede sertifikatet du har mottatt fra SSL.com. Dette bør begynne med – – – – – START SERTIFIKAT – – – – – og avslutt med – – – – – SLUTTBEVIS – – – – –.
- Sertifikat privat nøkkel: sett inn den PEM-kodede, ukrypterte private nøkkelen du har mottatt fra SSL.com. Dette bør begynne med – – – – – START PRIVAT NØKKEL- – – – – og avslutt med – – – – – AVSLUTT PRIVAT NØKKEL – – – – -.
- Sertifikatkjede: sett inn den PEM-kodede sertifikatkjeden.
- Klikk på Gjennomgå og importer.
- Du vil se en Se gjennom og importer siden. Du må sjekke den viste informasjonen om sertifikatet ditt for å bekrefte at alt er i orden. Feltene er:
- Domener — En liste over fullstendig kvalifiserte domenenavn (FQDN) autentisert av sertifikatet
- UTLØPER OM — Antall dager til sertifikatet utløper
- Offentlig nøkkelinformasjon — Den kryptografiske algoritmen som brukes til å generere nøkkelparet
- Signaturalgoritme — Den kryptografiske algoritmen som brukes til å lage sertifikatets signatur
- Kan brukes med — En liste over ACM integrerte tjenester som støtter sertifikattypen du importerer
6. Hvis alt er riktig, velg Import.
Importer gjennom AWS CLI
Du kan også velge å importere sertifikatet ved å bruke AWS CLI. For å gjøre dette, må du sørge for følgende:- Det PEM-kodede sertifikatet er lagret i en fil med navn Certificate.pem.
- Den PEM-kodede sertifikatkjeden er lagret i en fil med navn CertificateChain.pem.
- Den PEM-kodede, ukrypterte private nøkkelen er lagret i en fil med navn PrivateKey.pem.
$ aws acm import-sertifikat –sertifikat fileb://Certificate.pem \ –sertifikatkjedefilb://CertificateChain.pem \ –private-key fileb://PrivateKey.pem |
Last opp et sertifikat til IAM
Du bør bruke IAM til å laste opp et sertifikat bare hvis ACM ikke er tilgjengelig i din region. Dette gjøres ved å skrive følgende kommando på AWS CLI. Merk at du bør sørge for følgende:- Det PEM-kodede sertifikatet er lagret i en fil med navn Certificate.pem.
- Den PEM-kodede sertifikatkjeden er lagret i en fil med navn CertificateChain.pem.
$ aws iam upload-server-sertifikat –server-sertifikat-navn elastic-beanstalk-x509 –sertifikat-kjede fil://CertificateChain.pem –sertifikat-kropp fil://Certificate.pem –privatnøkkelfil://PrivateKey.pem { «ServerCertificateMetadata»: { "ServerCertificateId": "AS5YBEIONO2Q7CAIHKNGC", "ServerCertificateName": "elastic-beanstalk-x509", “Expiration”: “2017-01-31T23:06:22Z”, "Bi": "/", "Arn": "arn:aws:iam::123456789012:server-sertifikat/elastic-beanstalk-x509", “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
Legg til lyttere til belastningsbalanserne
Etter at du har installert sertifikatet ditt, må du legge til lyttere til lastbalanserne for å aktivere HTTPS. Du bør gjøre følgende:- Åpne Elastisk Beanstalk-konsoll, og velg deretter miljøet ditt.
- Velg i navigasjonsruten Konfigurasjon.
- på Lastbalanse kategori, velg endre.
- Det neste trinnet er å legge til lytteren for port 443. Prosedyren avhenger av typen lastbalanser i ditt Elastic Beanstalk-miljø. Du bør følge instruksjonene etter å ha valgt riktig type lastbalanser, Classic, Network eller Application. Trinnene er like, men med noen få avgjørende forskjeller.
Legg til lyttere for en Klassisk Load Balancer.
- Velg Legg til lytter.
- Til Havn, skriv inn porten for innkommende trafikk (vanligvis 443).
- Til Protokoll, velg HTTPS.
- Til Forekomstport, Tast inn 80.
- Til Forekomstprotokoll, velg HTTP.
- Til SSL-sertifikat, velg sertifikatet ditt og velg deretter SSL-policy som du vil bruke fra rullegardinmenyen.
- Velg Legg til, og velg deretter Påfør.
Legg til lyttere for en Network Load Balancer.
- Velg Legg til lytter.
- Til Havn, skriv inn porten for innkommende trafikk (vanligvis 443).
- Velg Legg til, og velg deretter Påfør.
Legg til lyttere for en Lastbalanse for applikasjon.
- Velg Legg til lytter.
- Til Havn, skriv inn porten for innkommende trafikk (vanligvis 443).
- Til Protokoll, velg HTTPS.
- Til SSL-sertifikat, velg sertifikatet ditt og velg deretter SSL-policy som du vil bruke fra rullegardinlisten.
- Velg Legg til, og velg deretter Påfør.