วิธีการนี้จะแนะนำคุณตลอดขั้นตอนการติดตั้ง a TLS/SSL ใบรับรองสำหรับสภาพแวดล้อม AWS Elastic Beanstalk ของคุณ เพื่อให้คุณสามารถเข้ารหัสข้อมูลจากตัวโหลดบาลานซ์ของคุณไปยังอินสแตนซ์ Amazon Elastic Compute Cloud (Amazon EC2) ได้
ถ้า ใบรับรองการนำเข้า คำสั่งสำเร็จจะส่งคืน ชื่อทรัพยากร Amazon (ARN) ของใบรับรองที่นำเข้า
ตอนนี้ คุณพร้อมที่จะดำเนินการในขั้นตอนต่อไปในการเพิ่ม Listener ให้กับ Load Balancer ของคุณแล้ว
พื้นที่ ไฟล์: // คำนำหน้าบอกให้ AWS CLI โหลดเนื้อหาของไฟล์ในไดเรกทอรีปัจจุบัน โดยปกติ คุณควรแทนที่ข้อมูลเมตาของใบรับรองด้วยข้อมูลของคุณเอง โดยเฉพาะ ก้านถั่วยางยืด-x509 ควรระบุชื่อที่จะเรียกใบรับรองใน IAM
ตอนนี้ คุณพร้อมที่จะดำเนินการในขั้นตอนต่อไปในการเพิ่ม Listener ให้กับ Load Balancer ของคุณแล้ว
เตรียมสภาพแวดล้อมของต้นถั่วยืดหยุ่น
ขั้นตอนการเตรียม Elastic Beanstalk Environment อยู่นอกเหนือขอบเขตของคู่มือนี้ ดังนั้น เราจะถือว่าสภาพแวดล้อมของคุณได้รับการกำหนดค่าไว้แล้วและมุ่งเน้นไปที่กระบวนการติดตั้งของใบรับรองแทน หากคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดเริ่มต้นด้วย เอกสาร AWS.รับไฟล์ TLS/ ใบรับรอง SSL
ในการใช้ใบรับรอง ขั้นตอนแรกคือ ซื้อใบรับรอง จากผู้ออกใบรับรองที่เชื่อถือได้เช่น SSL.com การเลือกใบรับรองที่เหมาะสมกับความต้องการเฉพาะของคุณเป็นสิ่งสำคัญ ดังนั้นเราขอแนะนำให้คุณอ้างอิงถึงสิ่งนี้ แนะนำ หากคุณต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการสร้าง CSR รุ่นหรือวิธีการสั่งซื้อใบรับรองของคุณจาก SSL.com โปรดไปที่ ฐานความรู้. คุณสามารถติดต่อทีมสนับสนุนตลอด 24 ชั่วโมงได้ที่ support@ssl.com หรือแชทออนไลน์ สำหรับใบเสนอราคา โซลูชันแบบกำหนดเอง หรือคำสั่งซื้อที่มีปริมาณมาก โปรดติดต่อ sales@ssl.com.นำเข้าใบรับรองไปยัง AWS
ต้องนำเข้าใบรับรองไปยัง AWS เพื่อให้สามารถกำหนดค่าได้ในภายหลัง เครื่องมือที่แนะนำคือการใช้ AWS Certificate Manager (ACM) ตราบใดที่ยังมีให้บริการในภูมิภาคของคุณ ในกรณีที่ไม่ใช่ คุณสามารถอัปโหลดใบรับรองของคุณไปยัง AWS Identity and Access Management (IAM) เราจะเห็นแต่ละกรณีแยกกัน แต่คุณจะต้องปฏิบัติตามขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้เท่านั้นนำเข้าใบรับรองไปยัง ACM
การนำเข้าใบรับรองไปยัง ACM สามารถทำได้ผ่านคอนโซลหรือผ่านอินเทอร์เฟซบรรทัดคำสั่งของ AWS (AWS CLI) ด้านล่างนี้เราจะแนะนำคุณตลอดทั้งสองตัวเลือกนำเข้าผ่านคอนโซล
- เปิดคอนโซล ACM ที่ https://console.aws.amazon.com/acm/home.
- คลิกที่ นำเข้าใบรับรอง
- คุณจะเห็นสามช่องที่คุณต้องกรอก
- ตัวใบรับรอง: ใส่ใบรับรองที่เข้ารหัส PEM ที่คุณได้รับจาก SSL.com ควรเริ่มต้นด้วย – – – – – เริ่มต้นใบรับรอง – – – – – และจบลงด้วย – – – – – ใบเสร็จ – – – – –.
- รหัสส่วนตัวของใบรับรอง: ใส่รหัสส่วนตัวที่เข้ารหัส PEM และไม่ได้เข้ารหัสที่คุณได้รับจาก SSL.com ควรเริ่มต้นด้วย – – – – – เริ่มคีย์ส่วนตัว- – – – – และจบลงด้วย – – – – – จบคีย์ส่วนตัว – – – – -
- ห่วงโซ่ใบรับรอง: ใส่สายใบรับรองที่เข้ารหัส PEM
- คลิกที่ ตรวจสอบและนำเข้า
- คุณจะเห็น หน้าตรวจสอบและนำเข้า. คุณต้องตรวจสอบข้อมูลที่แสดงเกี่ยวกับใบรับรองของคุณเพื่อตรวจสอบว่าทุกอย่างเป็นไปตามลำดับ ฟิลด์คือ:
- โดเมน — รายการชื่อโดเมนแบบเต็ม (FQDN) รับรองความถูกต้องโดยใบรับรอง
- หมดอายุใน — จำนวนวันที่ใบรับรองหมดอายุ
- ข้อมูลกุญแจสาธารณะ — อัลกอริทึมการเข้ารหัสที่ใช้ในการสร้างคู่คีย์
- อัลกอริธึมลายเซ็น — อัลกอริทึมการเข้ารหัสที่ใช้ในการสร้างลายเซ็นของใบรับรอง
- สามารถใช้กับ — รายชื่อ ACM บริการแบบบูรณาการ ที่รองรับประเภทใบรับรองที่คุณกำลังนำเข้า
6. หากทุกอย่างถูกต้องให้เลือก นำเข้า.
นำเข้าผ่าน AWS CLI
คุณยังสามารถเลือกที่จะนำเข้าใบรับรองโดยใช้ AWS CLI ในการทำเช่นนี้ คุณต้องแน่ใจว่าสิ่งต่อไปนี้:- ใบรับรองที่เข้ารหัส PEM ถูกเก็บไว้ในไฟล์ชื่อ ใบรับรอง.pem.
- ห่วงโซ่ใบรับรองที่เข้ารหัส PEM ถูกเก็บไว้ในไฟล์ชื่อ CertificateChain.pem
- คีย์ส่วนตัวที่เข้ารหัส PEM และไม่ได้เข้ารหัสจะถูกเก็บไว้ในไฟล์ชื่อ PrivateKey.pem
| $ aws acm ใบรับรองการนำเข้า –certificate fileb://Certificate.pem \ –ไฟล์ใบรับรองห่วงโซ่b://CertificateChain.pem \ –ไฟล์คีย์ส่วนตัวb://PrivateKey.pem |
อัปโหลดใบรับรองไปยัง IAM
คุณควรใช้ IAM เพื่ออัปโหลดใบรับรองเฉพาะในกรณีที่ ACM ไม่พร้อมใช้งานในภูมิภาคของคุณ ทำได้โดยพิมพ์คำสั่งต่อไปนี้บน AWS CLI โปรดทราบว่าคุณควรตรวจสอบสิ่งต่อไปนี้:- ใบรับรองที่เข้ารหัส PEM ถูกเก็บไว้ในไฟล์ชื่อ ใบรับรอง.pem.
- ห่วงโซ่ใบรับรองที่เข้ารหัส PEM ถูกเก็บไว้ในไฟล์ชื่อ CertificateChain.pem
| $ aws iam อัปโหลดใบรับรองเซิร์ฟเวอร์ – เซิร์ฟเวอร์ใบรับรองชื่อไฟล์ elastic-beanstalk-x509 – ใบรับรองโซ่: //ใบรับรองChain.pem –ใบรับรอง-ไฟล์เนื้อหา: //หนังสือรับรอง.pem – ไฟล์คีย์ส่วนตัว: //PrivateKey.pem { “เซิร์ฟเวอร์ใบรับรองข้อมูลเมตา”: { “รหัสใบรับรองเซิร์ฟเวอร์”: “AS5YBEIONO2Q7CAIHKNGC”, “ชื่อใบรับรองเซิร์ฟเวอร์”: “elastic-beanstalk-x509”, “Expiration”: “2017-01-31T23:06:22Z”, "เส้นทาง": "/", “อาร์น”: “arn:aws:iam::123456789012:server-certificate/elastic-beanstalk-x509”, “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
เพิ่มผู้ฟังไปยังโหลดบาลานเซอร์ของคุณ
หลังจากที่คุณได้ติดตั้งใบรับรองของคุณแล้ว คุณต้องเพิ่มฟังให้กับโหลดบาลานเซอร์ของคุณเพื่อเปิดใช้งาน HTTPS คุณควรทำสิ่งต่อไปนี้:- เปิด คอนโซลถั่วยืดหยุ่นจากนั้นเลือกสภาพแวดล้อมของคุณ
- ในบานหน้าต่างนำทาง เลือก องค์ประกอบ.
- ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร ตัวจัดสรรภาระงาน หมวดหมู่ เลือก แก้ไข.
- ขั้นตอนต่อไปคือการเพิ่ม Listener สำหรับพอร์ต 443 ขั้นตอนจะขึ้นอยู่กับประเภทของตัวโหลดบาลานซ์ในสภาพแวดล้อม Elastic Beanstalk ของคุณ คุณควรปฏิบัติตามชุดคำแนะนำหลังจากเลือกประเภทของตัวโหลดบาลานซ์ คลาสสิก เครือข่าย หรือแอปพลิเคชันที่เหมาะสม ขั้นตอนมีความคล้ายคลึงกัน แต่มีความแตกต่างที่สำคัญบางประการ
เพิ่มผู้ฟังสำหรับ a ตัวโหลดบาลานซ์แบบคลาสสิก.
- Choose เพิ่มผู้ฟัง.
- สำหรับ ท่าเรือให้ป้อนพอร์ตการรับส่งข้อมูลขาเข้า (โดยทั่วไปคือ 443)
- สำหรับ โปรโตคอลเลือก HTTPS.
- สำหรับ อินสแตนซ์พอร์ตป้อน 80.
- สำหรับ โปรโตคอลอินสแตนซ์เลือก HTTP.
- สำหรับ ใบรับรอง SSLเลือกใบรับรองของคุณแล้วเลือก นโยบาย SSL ที่คุณต้องการใช้จากเมนูแบบเลื่อนลง
- Choose เพิ่มแล้วเลือก ใช้.
เพิ่มผู้ฟังสำหรับ a ตัวจัดสรรภาระงานเครือข่าย.
- Choose เพิ่มผู้ฟัง.
- สำหรับ ท่าเรือให้ป้อนพอร์ตการรับส่งข้อมูลขาเข้า (โดยทั่วไปคือ 443)
- Choose เพิ่มแล้วเลือก ใช้.
เพิ่มผู้ฟังสำหรับ an แอปพลิเคชัน Load Balancer.
- Choose เพิ่มผู้ฟัง.
- สำหรับ ท่าเรือให้ป้อนพอร์ตการรับส่งข้อมูลขาเข้า (โดยทั่วไปคือ 443)
- สำหรับ โปรโตคอลเลือก HTTPS.
- สำหรับ ใบรับรอง SSLเลือกใบรับรองของคุณแล้วเลือก นโยบาย SSL ที่คุณต้องการใช้จากรายการดรอปดาวน์
- Choose เพิ่มแล้วเลือก ใช้.
