Это руководство проведет вас через процесс установки TLS/SSL к вашей среде AWS Elastic Beanstalk, чтобы вы могли шифровать данные из балансировщика нагрузки в инстанс Amazon Elastic Compute Cloud (Amazon EC2).
Если же линия индикатора импортный сертификат команда выполнена успешно, она возвращает Название ресурса Amazon (ARN) импортированного сертификата.
Теперь вы готовы перейти к следующему шагу по добавлению прослушивателей в ваши балансировщики нагрузки.
Ассоциация файл: // Префикс указывает интерфейсу командной строки AWS загружать содержимое файла в текущем каталоге. Естественно, следует заменить метаданные сертификата на свои. В частности, эластичный бобовый стебель-x509 следует указать имя для вызова сертификата в IAM.
Теперь вы готовы перейти к следующему шагу по добавлению прослушивателей в ваши балансировщики нагрузки.
Подготовьте среду Elastic Beanstalk
Процесс подготовки среды Elastic Beanstalk выходит за рамки этого руководства, поэтому мы будем считать, что ваша среда уже настроена, и вместо этого сосредоточимся на процессе установки сертификата. Если вам нужна дополнительная информация по этому вопросу, пожалуйста, начните с Документация AWS.Приобрести TLS/ SSL-сертификат
Чтобы использовать сертификат, первым делом купить сертификат от общедоступного доверенного центра сертификации, например SSL.com. Выбор правильного сертификата для ваших конкретных потребностей важен, поэтому мы советуем вам обратиться к этому руководства. Если вам нужны дополнительные сведения о создании CSR генерации или как заказать сертификат на SSL.com, пожалуйста, посетите наш база знаний. Вы также можете связаться с нашей круглосуточной службой поддержки по адресу support@ssl.com или онлайн-чат. Для получения предложений, индивидуальных решений или крупных заказов, пожалуйста, свяжитесь с sales@ssl.com.Импорт сертификата в AWS
Сертификат необходимо импортировать в AWS, чтобы его можно было настроить позже. Рекомендуемый инструмент — использовать AWS Certificate Manager (ACM), если он доступен для вашего региона. Если это не так, вы можете загрузить свой сертификат в AWS Identity and Access Management (IAM). Мы рассмотрим каждый случай отдельно, но вам нужно выполнить только одну из следующих процедур.Импорт сертификата в ACM
Импорт сертификата в ACM можно выполнить через консоль или через интерфейс командной строки AWS (AWS CLI). Ниже мы познакомим вас с обоими вариантами.Импорт через консоль
- Откройте консоль ACM по адресу https://console.aws.amazon.com/acm/home.
- Нажмите на Импорт сертификата
- Вы увидите три поля, которые необходимо заполнить
- Орган сертификации: вставьте сертификат в формате PEM, который вы получили от SSL.com. Это должно начинаться с – – – – – НАЧАТЬ СЕРТИФИКАТ – – – – – и заканчивается – – – – – КОНЕЦ СВИДЕТЕЛЬСТВА – – – – –.
- Закрытый ключ сертификата: вставьте незашифрованный закрытый ключ с кодировкой PEM, который вы получили от SSL.com. Это должно начинаться с – – – – – НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ- – – – – и заканчивается – – – – – КОНЕЦ ЗАКРЫТОГО КЛЮЧА – – – – -.
- Цепочка сертификатов: вставьте цепочку сертификатов в кодировке PEM.
- Нажмите на Обзор и импорт.
- Вы увидите Страница обзора и импорта. Вам необходимо проверить отображаемую информацию о вашем сертификате, чтобы убедиться, что все в порядке. Поля:
- Домены — Список полных доменных имен (FQDN), аутентифицированных сертификатом
- Истекает — Количество дней до истечения срока действия сертификата
- Информация об открытом ключе — Криптографический алгоритм, используемый для генерации пары ключей
- Алгоритм подписи — Криптографический алгоритм, используемый для создания подписи сертификата.
- Может использоваться с — Список АКМ интегрированные услуги которые поддерживают тип сертификата, который вы импортируете
6. Если все верно, выбираем Импортировать.
Импорт через интерфейс командной строки AWS
Вы также можете импортировать сертификат с помощью интерфейса командной строки AWS. Для этого необходимо убедиться в следующем:- Сертификат в формате PEM хранится в файле с именем Сертификат.pem.
- Цепочка сертификатов в формате PEM хранится в файле с именем Цепочка сертификатов.pem.
- Закодированный PEM незашифрованный закрытый ключ хранится в файле с именем PrivateKey.pem.
$ aws acm import-certificate – файл сертификатаb://Certificate.pem \ – файл цепочки сертификатовb://CertificateChain.pem \ – файл закрытого ключаb://PrivateKey.pem |
Загрузить сертификат в IAM
Вы должны использовать IAM для загрузки сертификата, только если ACM недоступен в вашем регионе. Это делается путем ввода следующей команды в интерфейсе командной строки AWS. Обратите внимание, что вы должны убедиться в следующем:- Сертификат в формате PEM хранится в файле с именем Сертификат.pem.
- Цепочка сертификатов в формате PEM хранится в файле с именем Цепочка сертификатов.pem.
$ aws iam upload-server-certificate –server-certificate-name elastic-beanstalk-x509 –certificate-chain file://Цепочка сертификатов.pem – файл-тела сертификата://Сертификат.pem –файл закрытого ключа://Приватный ключ.pem { «ServerCertificateMetadata»: { «ServerCertificateId»: «AS5YBEIONO2Q7CAIHKNGC», «ServerCertificateName»: «elastic-beanstalk-x509», “Expiration”: “2017-01-31T23:06:22Z”, "Дорожка": "/", «Арн»: «арн: aws: iam:: 123456789012: сертификат сервера / эластичный-beanstalk-x509», “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
Добавьте слушателей к вашим балансировщикам нагрузки
После того, как вы установили свой сертификат, вам нужно добавить слушателей к вашим балансировщикам нагрузки, чтобы включить HTTPS. Вы должны сделать следующее:- Откройте приложение Эластичная консоль Beanstalk, а затем выберите свою среду.
- На панели навигации выберите Конфигурация.
- В Балансировщик нагрузки категория, выберите Изменить.
- Следующим шагом будет добавление прослушивателя для порта 443. Процедура зависит от типа балансировщика нагрузки в вашей среде Elastic Beanstalk. Вы должны следовать набору инструкций после выбора соответствующего типа балансировщика нагрузки, классического, сетевого или приложения. Шаги похожи, но с несколькими важными отличиями.
Добавьте слушателей для Классический балансировщик нагрузки.
- Выберите Добавить слушателя.
- Что касается порт, введите порт входящего трафика (обычно 443).
- Что касается протокол, выберите HTTPS.
- Что касается Порт экземпляра, войти 80.
- Что касается Протокол экземпляра, выберите HTTP.
- Что касается SSL сертификат, выберите свой сертификат, а затем выберите SSL-политика который вы хотите использовать из раскрывающегося меню.
- Выберите Добавить, а затем выберите Применить.
Добавьте слушателей для Балансировщик сетевой нагрузки.
- Выберите Добавить слушателя.
- Что касается порт, введите порт входящего трафика (обычно 443).
- Выберите Добавить, а затем выберите Применить.
Добавьте слушателей для Балансировщик нагрузки приложений.
- Выберите Добавить слушателя.
- Что касается порт, введите порт входящего трафика (обычно 443).
- Что касается протокол, выберите HTTPS.
- Что касается SSL сертификат, выберите свой сертификат, а затем выберите SSL-политика который вы хотите использовать из выпадающего списка.
- Выберите Добавить, а затем выберите Применить.