Installera SSL-certifikat på AWS Elastic Beanstalk / Load Balancer

Denna instruktionsguide guidar dig genom processen för att installera en TLS/SSL-certifikat till din AWS Elastic Beanstalk-miljö så att du kan kryptera data från din lastbalanserare till din Amazon Elastic Compute Cloud (Amazon EC2)-instans.

Förbered din Elastic Beanstalk-miljö

Processen att förbereda Elastic Beanstalk-miljön ligger utanför ramen för denna guide, därför kommer vi att anta att din miljö redan är konfigurerad och fokusera på installationsprocessen av certifikatet istället. Om du behöver mer information om ämnet, vänligen börja med AWS-dokumentation.

Skaffa en TLS/ SSL-certifikat

För att kunna använda ett certifikat är det första steget att köpa ett certifikat från en offentligt betrodd certifikatutfärdare, som SSL.com. Att välja rätt certifikat för dina specifika behov är viktigt, så vi råder dig vänligen att hänvisa till detta guide.  Om du behöver ytterligare information om att generera CSR generation, eller hur du beställer ditt certifikat från SSL.com, besök vår kunskapsbas. Du kan också kontakta vårt 24-timmarssupportteam på support@ssl.com eller onlinechatten. För offerter, skräddarsydda lösningar eller stora volymer, vänligen kontakta sales@ssl.com.

Importera certifikatet till AWS

Certifikatet måste importeras till AWS så att det kan konfigureras senare. Det rekommenderade verktyget är att använda AWS Certificate Manager (ACM) så länge det är tillgängligt för din region. Om det inte är det kan du ladda upp ditt certifikat till AWS Identity and Access Management (IAM). Vi kommer att se varje fall separat, men du behöver bara följa en av följande procedurer.

Importera ett certifikat till ACM

Import av ett certifikat till ACM kan göras via konsolen eller via AWS Command Line Interface (AWS CLI). Nedan guidar vi dig genom båda alternativen.

Importera via konsolen

  1. Öppna ACM-konsolen på https://console.aws.amazon.com/acm/home.
  2. Klicka på Importera ett certifikat
  3. Du kommer att se tre fält som du behöver fylla i
    1. Certifikatorgan: infoga det PEM-kodade certifikatet som du har fått från SSL.com. Detta bör börja med – – – – – BÖRJA CERTIFIKAT – – – – – och sluta med – – – – – SLUTBEVIS – – – – –.
    2. Certifikat privat nyckel: infoga den PEM-kodade, okrypterade privata nyckeln som du har fått från SSL.com. Detta bör börja med – – – – – BÖRJA PRIVAT NYCKEL- – – – – och sluta med – – – – – AVSLUTA PRIVAT NYCKEL – – – – -.
    3. Certifikatkedja: infoga den PEM-kodade certifikatkedjan.
  4. Klicka på Granska och importera.
  5. Du kommer att se en Granska och importera sida. Du måste kontrollera den visade informationen om ditt certifikat för att verifiera att allt är i sin ordning. Fälten är:
  • domäner — En lista över fullständigt kvalificerade domännamn (FQDN) som är autentiserade av certifikatet

  • Utgår om — Antalet dagar tills certifikatet löper ut

  • Offentlig nyckelinformation — Den kryptografiska algoritm som används för att generera nyckelparet

  • Signaturalgoritm — Den kryptografiska algoritm som används för att skapa certifikatets signatur

  • Kan användas med — En lista över ACM integrerade tjänster som stöder den typ av certifikat du importerar

    6. Om allt är korrekt, välj Importera.
Nu är du redo att fortsätta till nästa steg att lägga till lyssnare till dina lastbalanserare.

Importera via AWS CLI

Du kan också välja att importera certifikatet genom att använda AWS CLI. För att göra detta måste du se till att följande:
  • Det PEM-kodade certifikatet lagras i en fil med namnet Certificate.pem.

  • Den PEM-kodade certifikatkedjan lagras i en fil med namnet CertificateChain.pem.

  • Den PEM-kodade, okrypterade privata nyckeln lagras i en fil med namnet PrivateKey.pem.

Sedan kan du skriva följande kommando på en kontinuerlig rad och ersätta filnamnen med dina egna. Följande exempel innehåller radbrytningar och extra mellanslag för att göra det lättare att läsa. Observera att detta är ett exempel med de ovan angivna generiska namnen. När du faktiskt använder kommandot bör du ersätta fileb://Certificate.pem och andra liknande uttryck med det faktiska filnamnet och sökvägen på din dator.
$ aws acm import-certifikat –certifikat fileb://Certificate.pem \       –certifikatkedja filb://CertificateChain.pem \       –private-key fileb://PrivateKey.pem
Om importcertifikat kommandot är framgångsrikt, returnerar det Amazon Resource Name (ARN) av det importerade certifikatet.  Nu är du redo att fortsätta till nästa steg att lägga till lyssnare till dina lastbalanserare.

Ladda upp ett certifikat till IAM

Du bör använda IAM för att ladda upp ett certifikat endast om ACM inte är tillgängligt i din region. Detta görs genom att skriva följande kommando på AWS CLI. Observera att du bör se till att följande:
  • Det PEM-kodade certifikatet lagras i en fil med namnet Certificate.pem.

  • Den PEM-kodade certifikatkedjan lagras i en fil med namnet CertificateChain.pem.

Den PEM-kodade, okrypterade privata nyckeln lagras i en fil med namnet PrivateKey.pem.
$ aws iam upload-server-certifikat –server-certifikat-namn elastic-beanstalk-x509 –certifikat-kedja fil://CertificateChain.pem –certifikat-kropp fil://Certificate.pem –privat nyckelfil://PrivateKey.pem {     "ServerCertificateMetadata": {         "ServerCertificateId": "AS5YBEIONO2Q7CAIHKNGC",         "ServerCertificateName": "elastic-beanstalk-x509",         “Expiration”: “2017-01-31T23:06:22Z”,         "Path": "/",         “Arn”: “arn:aws:iam::123456789012:server-certifikat/elastic-beanstalk-x509”,         “UploadDate”: “2016-02-01T23:10:34.167Z”     } }
Smakämnen fil: // prefix talar om för AWS CLI att ladda innehållet i en fil i den aktuella katalogen. Naturligtvis bör du ersätta certifikatets metadata med din egen. Närmare bestämt elastisk-bönstjälk-x509 bör ange namnet för att anropa certifikatet i IAM.  Nu är du redo att fortsätta till nästa steg att lägga till lyssnare till dina lastbalanserare.

Lägg till lyssnare till dina lastbalanserare

När du har installerat ditt certifikat måste du lägga till lyssnare till dina belastningsutjämnare för att aktivera HTTPS. Du bör göra följande:
  1.   Öppna Elastisk Beanstalk-konsol, och välj sedan din miljö.
  2.   Välj i navigeringsfönstret konfiguration.
  3.   I Lastbalanserare kategori, välj Ändra.
  4.   Nästa steg är att lägga till avlyssnaren för port 443. Proceduren beror på typen av lastbalanserare i din Elastic Beanstalk-miljö. Du bör följa instruktionerna efter att ha valt lämplig typ av lastbalanserare, Classic, Network eller Application. Stegen är liknande, men med några avgörande skillnader.

Lägg till lyssnare för en Klassisk lastbalanserare.

  1.   Välja Lägg till lyssnare.
  2.   För Hamn, ange porten för inkommande trafik (vanligtvis 443).
  3.   För Protokollväljer HTTPS.
  4.   För Instansport, stiga på 80.
  5.   För Instansprotokollväljer HTTP.
  6.   För SSL-certifikat, välj ditt certifikat och välj sedan SSL-policy som du vill använda från rullgardinsmenyn.
  7. Välja Lägg till, och välj sedan Ansök.

Lägg till lyssnare för en Network Load Balancer.

  1.   Välja Lägg till lyssnare.
  2.   För Hamn, ange porten för inkommande trafik (vanligtvis 443).
  3. Välja Lägg till, och välj sedan Ansök.

Lägg till lyssnare för en Application Load Balancer.

  1.   Välja Lägg till lyssnare.
  2.   För Hamn, ange porten för inkommande trafik (vanligtvis 443).
  3.   För Protokollväljer HTTPS.
  4.   För SSL-certifikat, välj ditt certifikat och välj sedan SSL-policy som du vill använda från rullgardinsmenyn.
  5.   Välja Lägg till, och välj sedan Ansök.
För alla ovanstående procedurer bör du komma ihåg att ändringarna bara träder i kraft efter att du har klickat på Ansök knapp.

Granska ändringarna

Efter installation av din TLS/SSL-certifikat till din Elastic Beanstalk Load Balancer, du kan granska ändringarna för att se till att allt är i sin ordning. Processen bör ta några minuter att slutföra. Grattis! Du har installerat din TLS/SSL-certifikat i din AWS Elastic Beanstalk-miljö som ser till att dina användare är anslutna till din webbplats säkert.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.