Установите SSL-сертификат на AWS Elastic Beanstalk/Load Balancer

Это руководство проведет вас через процесс установки TLS/SSL к вашей среде AWS Elastic Beanstalk, чтобы вы могли шифровать данные из балансировщика нагрузки в инстанс Amazon Elastic Compute Cloud (Amazon EC2).

Подготовьте среду Elastic Beanstalk

Процесс подготовки среды Elastic Beanstalk выходит за рамки этого руководства, поэтому мы будем считать, что ваша среда уже настроена, и вместо этого сосредоточимся на процессе установки сертификата. Если вам нужна дополнительная информация по этому вопросу, пожалуйста, начните с Документация AWS.

Приобрести TLS/ SSL-сертификат

Чтобы использовать сертификат, первым делом купить сертификат от общедоступного доверенного центра сертификации, например SSL.com. Выбор правильного сертификата для ваших конкретных потребностей важен, поэтому мы советуем вам обратиться к этому руководства.  Если вам нужны дополнительные сведения о создании CSR генерации или как заказать сертификат на SSL.com, пожалуйста, посетите наш база знаний. Вы также можете связаться с нашей круглосуточной службой поддержки по адресу support@ssl.com или онлайн-чат. Для получения предложений, индивидуальных решений или крупных заказов, пожалуйста, свяжитесь с sales@ssl.com.

Импорт сертификата в AWS

Сертификат необходимо импортировать в AWS, чтобы его можно было настроить позже. Рекомендуемый инструмент — использовать AWS Certificate Manager (ACM), если он доступен для вашего региона. Если это не так, вы можете загрузить свой сертификат в AWS Identity and Access Management (IAM). Мы рассмотрим каждый случай отдельно, но вам нужно выполнить только одну из следующих процедур.

Импорт сертификата в ACM

Импорт сертификата в ACM можно выполнить через консоль или через интерфейс командной строки AWS (AWS CLI). Ниже мы познакомим вас с обоими вариантами.

Импорт через консоль

  1. Откройте консоль ACM по адресу https://console.aws.amazon.com/acm/home.
  2. Нажмите на Импорт сертификата
  3. Вы увидите три поля, которые необходимо заполнить
    1. Орган сертификации: вставьте сертификат в формате PEM, который вы получили от SSL.com. Это должно начинаться с – – – – – НАЧАТЬ СЕРТИФИКАТ – – – – – и заканчивается – – – – – КОНЕЦ СВИДЕТЕЛЬСТВА – – – – –.
    2. Закрытый ключ сертификата: вставьте незашифрованный закрытый ключ с кодировкой PEM, который вы получили от SSL.com. Это должно начинаться с – – – – – НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ- – – – – и заканчивается – – – – – КОНЕЦ ЗАКРЫТОГО КЛЮЧА – – – – -.
    3. Цепочка сертификатов: вставьте цепочку сертификатов в кодировке PEM.
  4. Нажмите на Обзор и импорт.
  5. Вы увидите Страница обзора и импорта. Вам необходимо проверить отображаемую информацию о вашем сертификате, чтобы убедиться, что все в порядке. Поля:
  • Домены — Список полных доменных имен (FQDN), аутентифицированных сертификатом

  • Истекает — Количество дней до истечения срока действия сертификата

  • Информация об открытом ключе — Криптографический алгоритм, используемый для генерации пары ключей

  • Алгоритм подписи — Криптографический алгоритм, используемый для создания подписи сертификата.

  • Может использоваться с — Список АКМ интегрированные услуги которые поддерживают тип сертификата, который вы импортируете

    6. Если все верно, выбираем Импортировать.
Теперь вы готовы перейти к следующему шагу по добавлению прослушивателей в ваши балансировщики нагрузки.

Импорт через интерфейс командной строки AWS

Вы также можете импортировать сертификат с помощью интерфейса командной строки AWS. Для этого необходимо убедиться в следующем:
  • Сертификат в формате PEM хранится в файле с именем Сертификат.pem.

  • Цепочка сертификатов в формате PEM хранится в файле с именем Цепочка сертификатов.pem.

  • Закодированный PEM незашифрованный закрытый ключ хранится в файле с именем PrivateKey.pem.

Затем вы можете ввести следующую команду в одну непрерывную строку, заменив имена файлов на свои. Следующий пример содержит разрывы строк и дополнительные пробелы, чтобы его было легче читать. Обратите внимание, что это пример использования приведенных выше общих имен. При фактическом использовании команды вы должны заменить fileb://Certificate.pem и другие подобные выражения на фактическое имя файла и путь на вашем компьютере.
$ aws acm import-certificate – файл сертификатаb://Certificate.pem \       – файл цепочки сертификатовb://CertificateChain.pem \       – файл закрытого ключаb://PrivateKey.pem
Если же линия индикатора импортный сертификат команда выполнена успешно, она возвращает Название ресурса Amazon (ARN) импортированного сертификата.  Теперь вы готовы перейти к следующему шагу по добавлению прослушивателей в ваши балансировщики нагрузки.

Загрузить сертификат в IAM

Вы должны использовать IAM для загрузки сертификата, только если ACM недоступен в вашем регионе. Это делается путем ввода следующей команды в интерфейсе командной строки AWS. Обратите внимание, что вы должны убедиться в следующем:
  • Сертификат в формате PEM хранится в файле с именем Сертификат.pem.

  • Цепочка сертификатов в формате PEM хранится в файле с именем Цепочка сертификатов.pem.

Закодированный PEM незашифрованный закрытый ключ хранится в файле с именем PrivateKey.pem.
$ aws iam upload-server-certificate –server-certificate-name elastic-beanstalk-x509 –certificate-chain file://Цепочка сертификатов.pem – файл-тела сертификата://Сертификат.pem –файл закрытого ключа://Приватный ключ.pem {     «ServerCertificateMetadata»: {         «ServerCertificateId»: «AS5YBEIONO2Q7CAIHKNGC»,         «ServerCertificateName»: «elastic-beanstalk-x509»,         “Expiration”: “2017-01-31T23:06:22Z”,         "Дорожка": "/",         «Арн»: «арн: aws: iam:: 123456789012: сертификат сервера / эластичный-beanstalk-x509»,         “UploadDate”: “2016-02-01T23:10:34.167Z”     } }
Ассоциация файл: // Префикс указывает интерфейсу командной строки AWS загружать содержимое файла в текущем каталоге. Естественно, следует заменить метаданные сертификата на свои. В частности, эластичный бобовый стебель-x509 следует указать имя для вызова сертификата в IAM.  Теперь вы готовы перейти к следующему шагу по добавлению прослушивателей в ваши балансировщики нагрузки.

Добавьте слушателей к вашим балансировщикам нагрузки

После того, как вы установили свой сертификат, вам нужно добавить слушателей к вашим балансировщикам нагрузки, чтобы включить HTTPS. Вы должны сделать следующее:
  1.   Откройте приложение Эластичная консоль Beanstalk, а затем выберите свою среду.
  2.   На панели навигации выберите Конфигурация.
  3.   В Балансировщик нагрузки категория, выберите Изменить.
  4.   Следующим шагом будет добавление прослушивателя для порта 443. Процедура зависит от типа балансировщика нагрузки в вашей среде Elastic Beanstalk. Вы должны следовать набору инструкций после выбора соответствующего типа балансировщика нагрузки, классического, сетевого или приложения. Шаги похожи, но с несколькими важными отличиями.

Добавьте слушателей для Классический балансировщик нагрузки.

  1.   Выберите Добавить слушателя.
  2.   Что касается порт, введите порт входящего трафика (обычно 443).
  3.   Что касается протокол, выберите HTTPS.
  4.   Что касается Порт экземпляра, войти 80.
  5.   Что касается Протокол экземпляра, выберите HTTP.
  6.   Что касается SSL сертификат, выберите свой сертификат, а затем выберите SSL-политика который вы хотите использовать из раскрывающегося меню.
  7. Выберите Добавить, а затем выберите Применить.

Добавьте слушателей для Балансировщик сетевой нагрузки.

  1.   Выберите Добавить слушателя.
  2.   Что касается порт, введите порт входящего трафика (обычно 443).
  3. Выберите Добавить, а затем выберите Применить.

Добавьте слушателей для Балансировщик нагрузки приложений.

  1.   Выберите Добавить слушателя.
  2.   Что касается порт, введите порт входящего трафика (обычно 443).
  3.   Что касается протокол, выберите HTTPS.
  4.   Что касается SSL сертификат, выберите свой сертификат, а затем выберите SSL-политика который вы хотите использовать из выпадающего списка.
  5.   Выберите Добавить, а затем выберите Применить.
Для всех вышеперечисленных процедур вы должны иметь в виду, что изменения вступят в силу только после того, как вы нажмете кнопку Применить .

Просмотрите изменения

После установки вашего TLS/SSL к балансировщику нагрузки Elastic Beanstalk, вы можете просмотреть изменения, чтобы убедиться, что все в порядке. Процесс должен занять несколько минут. Поздравляем! Вы установили свой TLS/SSL в вашей среде AWS Elastic Beanstalk, чтобы ваши пользователи могли безопасно подключаться к вашему веб-сайту.

Яннис Назиридис

Все сообщения

Связанные как Tos

Просмотреть все как Tos
что его цель LinkedIn Twitter Youtube Github

Подпишитесь на рассылку новостей SSL.com

Что такое SSL /TLS?

Воспроизвести видео

Подпишитесь на рассылку новостей SSL.com

Не пропустите новые статьи и обновления с SSL.com

Будьте в курсе и будьте в безопасности

SSL.com является мировым лидером в области кибербезопасности, PKI и цифровые сертификаты. Подпишитесь, чтобы получать последние новости отрасли, советы и анонсы продуктов от SSL.com.

Мы будем рады вашим отзывам

Пройдите наш опрос и поделитесь с нами своими мыслями о своей недавней покупке.

Пройти опрос