在 AWS Elastic Beanstalk / 负载均衡器上安装 SSL 证书

本操作指南将指导您完成安装 TLS/SSL 证书到您的 AWS Elastic Beanstalk 环境,以便您可以加密从负载均衡器到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的数据。

准备您的 Elastic Beanstalk 环境

准备 Elastic Beanstalk 环境的过程超出了本指南的范围,因此我们将假设您的环境已经配置好,而是专注于证书的安装过程。 如果您需要有关该主题的更多信息,请从 AWS 文档.

获取一个 TLS/ SSL证书

为了使用证书,第一步是 购买证书 来自公开信任的证书颁发机构,例如 SSL.com。 为您的特定需求选择正确的证书很重要,因此我们建议您参考此 指南。  如果您需要有关生成 CSR 代,或如何从 SSL.com 订购您的证书,请访问我们的 知识库. 您也可以通过以下方式联系我们的 24 小时支持团队 support@ssl.com 或在线聊天。 如需报价、定制解决方案或大批量订单,请联系 sales@ssl.com.

将证书导入 AWS

需要将证书导入 AWS,以便稍后对其进行配置。 推荐的工具是使用 AWS Certificate Manager (ACM),只要它适用于您所在的区域。 如果不是,您可以将您的证书上传到 AWS Identity and Access Management (IAM)。 我们将分别查看每个案例,但您只需遵循以下程序之一。

将证书导入 ACM

可以通过控制台或 AWS 命令​​行界面 (AWS CLI) 将证书导入 ACM。 下面我们将引导您完成这两个选项。

通过控制台导入

  1. 在以下位置打开 ACM 控制台 https://console.aws.amazon.com/acm/home.
  2. 点击 导入证书
  3. 您将看到需要填写的三个字段
    1. 证书机构:插入您从 SSL.com 收到的 PEM 编码证书。 这应该从 – – – – – 开始证书 – – – – – 结束 – – – – – 结束证书 – – – – –.
    2. 证书私钥:插入您从 SSL.com 收到的 PEM 编码的未加密私钥。 这应该从 – – – – – 开始私钥- – – – – 结束 – – – – – 结束私钥 – – – – -。
    3. 证书链:插入 PEM 编码的证书链。
  4. 点击 查看和导入。
  5. 您会看到一个 查看和导入页面. 您需要检查显示的有关您的证书的信息,以验证一切正常。 这些字段是:
  • 域名 — 由证书认证的完全限定域名 (FQDN) 列表

  • 过期日期在 — 证书到期前的天数

  • 公钥信息 — 用于生成密钥对的加密算法

  • 签名算法 — 用于创建证书签名的加密算法

  • 可以与 — ACM 列表 综合服务 支持您正在导入的证书类型

    6.如果一切都正确,选择 进口.
现在您已准备好继续将侦听器添加到负载均衡器的下一步。

通过 AWS CLI 导入

您还可以选择使用 AWS CLI 导入证书。 为此,您需要确保以下几点:
  • PEM 编码的证书存储在一个名为 证书.pem。

  • PEM 编码的证书链存储在一个名为 证书链.pem。

  • PEM 编码的未加密私钥存储在一个名为 私钥.pem。

然后,您可以在一个连续的行中键入以下命令,用您自己的文件名替换文件名。 以下示例包含换行符和额外的空格,以使其更易于阅读。 请注意,这是一个使用上述通用名称的示例。 实际使用该命令时,应将 fileb://Certificate.pem 和其他类似表达式替换为计算机中的实际文件名和路径。
$ aws acm import-certificate –证书文件b://Certificate.pem \       --certificate-chain fileb://CertificateChain.pem \       --private-key fileb://PrivateKey.pem
如果 进口证明 命令成功,返回 亚马逊资源名称 (ARN) 的进口证书。  现在您已准备好继续将侦听器添加到负载均衡器的下一步。

将证书上传到 IAM

仅当 ACM 在您所在的区域不可用时,您才应使用 IAM 上传证书。 这是通过在 AWS CLI 上键入以下命令来完成的。 请注意,您应该确保以下几点:
  • PEM 编码的证书存储在一个名为 证书.pem。

  • PEM 编码的证书链存储在一个名为 证书链.pem。

PEM 编码的未加密私钥存储在一个名为 私钥.pem。
$ aws iam 上传服务器证书 –服务器证书名称 elastic-beanstalk-x509 –证书链文件://证书链.pem --证书正文文件://证书.pem --私钥文件://私钥.pem {     “服务器证书元数据”:{         “ServerCertificateId”:“AS5YBEIONO2Q7CAIHKNGC”,         “ServerCertificateName”:“elastic-beanstalk-x509”,         “Expiration”: “2017-01-31T23:06:22Z”,         “小路”: ”/”,         “arn”:“arn:aws:iam::123456789012:server-certificate/elastic-beanstalk-x509”,         “UploadDate”: “2016-02-01T23:10:34.167Z”     } }
文件:// 前缀告诉 AWS CLI 加载当前目录中文件的内容。 当然,您应该用自己的替换证书的元数据。 具体来说, 弹性豆茎-x509 应指定名称以在 IAM 中调用证书。  现在您已准备好继续将侦听器添加到负载均衡器的下一步。

将侦听器添加到负载均衡器

安装证书后,您需要向负载均衡器添加侦听器以启用 HTTPS。 您应该执行以下操作:
  1.   打开 Elastic Beanstalk 控制台,然后选择您的环境。
  2.   在导航窗格中,选择 配置.
  3.   在 负载均衡器 类别,选择 修改.
  4.   下一步是添加端口 443 的侦听器。该过程取决于 Elastic Beanstalk 环境中负载均衡器的类型。 在选择适当类型的负载均衡器、经典、网络或应用程序后,您应该遵循一组说明。 这些步骤是相似的,但有一些关键的区别。

为 a 添加侦听器 经典负载均衡器.

  1.   添加监听器.
  2.   针对 港口,输入传入流量端口(通常为 443)。
  3.   针对 协议,选择 HTTPS.
  4.   针对 实例端口,输入 80.
  5.   针对 实例协议,选择 HTTP.
  6.   针对 SSL证书,选择您的证书,然后选择 SSL 政策 您想从下拉菜单中使用。
  7. 地址,然后选择 使用.

为 a 添加侦听器 网络负载均衡器.

  1.   添加监听器.
  2.   针对 港口,输入传入流量端口(通常为 443)。
  3. 地址,然后选择 使用.

添加监听器 应用程序负载均衡器.

  1.   添加监听器.
  2.   针对 港口,输入传入流量端口(通常为 443)。
  3.   针对 协议,选择 HTTPS.
  4.   针对 SSL证书,选择您的证书,然后选择 SSL 政策 您想从下拉列表中使用。
  5.   地址,然后选择 使用.
对于上述所有程序,您应该记住,更改只有在您单击 使用 按钮。

查看更改

安装完后 TLS/SSL 证书到您的 Elastic Beanstalk 负载均衡器,您可以查看更改以确保一切正常。 该过程应该需要几分钟才能完成。 恭喜你! 您已经安装了 TLS/SSL 证书在您的 AWS Elastic Beanstalk 环境中确保您的用户安全地连接到您的网站。

詹尼斯·纳齐里迪斯

所有文章

相关操作方法

查看所有方法
Facebook LinkedIn Twitter Youtube Github上

订阅SSL.com的新闻通讯

什么是SSL /TLS?

播放视频

订阅 SSL.com 的时事通讯

不要错过SSL.com上的新文章和更新

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。

参加调查