Cài đặt chứng chỉ SSL trên AWS Elastic Beanstalk/Load Balancer

 

* Nhập chứng chỉ vào ACM:  Việc nhập chứng chỉ vào ACM có thể được thực hiện thông qua bảng điều khiển hoặc thông qua Giao diện dòng lệnh AWS (AWS CLI). Dưới đây chúng tôi sẽ hướng dẫn bạn cả hai tùy chọn.

1. Nhập thông qua bảng điều khiển

  1. Mở bảng điều khiển ACM tại https://console.aws.amazon.com/acm/home .
  2. Nhấp vào Nhập chứng chỉ
  3. Bạn sẽ thấy ba trường bạn cần điền
    1. Nội dung chứng chỉ : chèn chứng chỉ được mã hóa PEM mà bạn đã nhận được từ SSL.com. Điều này phải bắt đầu bằng – – – – – BEGIN CERTIFICATE – – – – – và kết thúc bằng – – – – – END CERTIFICATE – – – – – .
    2. Khóa cá nhân chứng chỉ : chèn Khóa cá nhân được mã hóa PEM, không được mã hóa mà bạn đã nhận được từ SSL.com. Điều này phải bắt đầu bằng – – – – – BẮT ĐẦU TỪ KHÓA RIÊNG TƯ- – – – – và kết thúc bằng – – – – – KẾT THÚC KHÓA RIÊNG TƯ – – – – -.
    3. Chuỗi chứng chỉ : chèn chuỗi chứng chỉ được mã hóa PEM.
  4. Nhấp vào Xem lại và nhập.
  5. Bạn sẽ thấy trang Đánh giá và nhập . Bạn cần kiểm tra thông tin hiển thị về chứng chỉ của mình để xác thực rằng mọi thứ đều theo thứ tự. Các trường là:
  • Tên miền – Danh sách các tên miền đủ điều kiện (FQDN) được chứng thực bởi chứng chỉ
  • Hết hạn sau – Số ngày cho đến khi chứng chỉ hết hạn
  • Thông tin khóa công khai – Thuật toán mật mã được sử dụng để tạo cặp khóa
  • Thuật toán chữ ký – Thuật toán mật mã được sử dụng để tạo chữ ký của chứng chỉ
  • Có thể được sử dụng với – Danh sách các dịch vụ tích hợp ACM hỗ trợ loại chứng chỉ bạn đang nhập 6. Nếu mọi thứ đều đúng, hãy chọn Nhập .

Bây giờ bạn đã sẵn sàng để tiếp tục bước tiếp theo là thêm người nghe vào Bộ cân bằng tải của mình.

2. Nhập thông qua AWS CLI

Bạn cũng có thể chọn nhập chứng chỉ bằng AWS CLI. Để làm được điều này, bạn cần đảm bảo những điều sau:

  • Chứng chỉ được mã hóa PEM được lưu trữ trong một tệp có tên là Certificate.pem.
  • Chuỗi chứng chỉ được mã hóa PEM được lưu trữ trong một tệp có tên là CertificateChain.pem.
  • Khóa riêng tư không được mã hóa, được mã hóa PEM được lưu trữ trong một tệp có tên PrivateKey.pem.

Sau đó, bạn có thể nhập lệnh sau trong một dòng liên tục thay thế tên tệp bằng tên tệp của riêng bạn. Ví dụ sau bao gồm các dấu ngắt dòng và khoảng trắng thừa để giúp bạn đọc dễ dàng hơn. Lưu ý rằng đây là một ví dụ sử dụng các tên chung ở trên. Khi thực sự sử dụng lệnh, bạn nên thay thế fileb: //Certificate.pem và các biểu thức tương tự khác bằng tên và đường dẫn tệp thực trong máy tính của bạn.

$ aws acm import-certificate –certificate fileb: //Certificate.pem \ –certificate       -chain fileb: //CertificateChain.pem \       –private-key fileb: //PrivateKey.pem

Nếu lệnh nhập chứng chỉ thành công, lệnh này sẽ trả về Tên tài nguyên Amazon (ARN) của chứng chỉ đã nhập. Bây giờ bạn đã sẵn sàng để tiếp tục bước tiếp theo là thêm người nghe vào Bộ cân bằng tải của mình.

3. Tải chứng chỉ lên IAM

Bạn chỉ nên sử dụng IAM để tải chứng chỉ lên nếu ACM không khả dụng ở khu vực của bạn. Điều này được thực hiện bằng cách gõ lệnh sau trên AWS CLI. Lưu ý rằng bạn nên đảm bảo những điều sau:

  • Chứng chỉ được mã hóa PEM được lưu trữ trong một tệp có tên là Certificate.pem.
  • Chuỗi chứng chỉ được mã hóa PEM được lưu trữ trong một tệp có tên là CertificateChain.pem.

Khóa riêng tư không được mã hóa, được mã hóa PEM được lưu trữ trong một tệp có tên PrivateKey.pem.

$ aws iam upload-server-certificate –server-certificate-nameastic-beantalk-x509 –certificate-chain file: // CertificateChain.pem –certificate-body file: // Certificate.pem –private-key file: // PrivateKey .pem {     “ServerCertificateMetadata”: {         “ServerCertificateId”: “AS5YBEIONO2Q7CAIHKNGC”,         “ServerCertificateName”: “astic-beantalk-x509 ”,         “ Expiration ”:“ 2017-01-31T23: 06: 22Z ”,         “ Path ”:“ / ”,         “ Arn ”:“ arn: aws: iam :: 123456789012: server-certificate /astic-beantalk-x509 ”,         “ UploadDate ”:“ 2016-02-01T23: 10: 34.167Z ”     } }

Tiền tố tệp: // yêu cầu AWS CLI tải nội dung của tệp trong thư mục hiện tại. Đương nhiên, bạn nên thay thế siêu dữ liệu của chứng chỉ bằng của riêng bạn. Cụ thể, thun-beantalk-x509 phải chỉ định tên để gọi chứng chỉ trong IAM.  Bây giờ bạn đã sẵn sàng để tiếp tục bước tiếp theo là thêm người nghe vào Bộ cân bằng tải của mình.

4. Thêm người nghe vào bộ cân bằng tải của bạn

Sau khi bạn đã cài đặt chứng chỉ của mình, bạn cần thêm trình nghe vào bộ cân bằng tải của mình để bật HTTPS. Bạn nên làm như sau:

  1.   Mở bảng điều khiển Elastic Beanstalk , sau đó chọn môi trường của bạn.
  2.   Trong ngăn dẫn hướng, chọn Cấu hình .
  3.   Trong danh mục Cân bằng tải , chọn Sửa đổi .
  4.   Bước tiếp theo là thêm trình lắng nghe cho cổng 443. Quy trình phụ thuộc vào loại bộ cân bằng tải trong môi trường Elastic Beanstalk của bạn. Bạn nên làm theo tập hợp các hướng dẫn sau khi chọn loại cân bằng tải, Cổ điển, Mạng hoặc Ứng dụng thích hợp. Các bước tương tự nhau, nhưng có một vài điểm khác biệt quan trọng.

5. Thêm người nghe cho Bộ cân bằng tải cổ điển .

  1.   Chọn Thêm người nghe .
  2.   Đối với Cổng , hãy nhập cổng lưu lượng đến (thường là 443).
  3.   Đối với Giao thức , hãy chọn HTTPS .
  4.   Đối với Cổng phiên bản , nhập 80 .
  5.   Đối với Giao thức phiên bản , hãy chọn HTTP .
  6.   Đối với chứng chỉ SSL , hãy chọn chứng chỉ của bạn, sau đó chọn chính sách SSL mà bạn muốn sử dụng từ menu thả xuống.
  7. Chọn Thêm , sau đó chọn Áp dụng .

6. Thêm trình nghe cho Bộ cân bằng tải mạng .

  1.   Chọn Thêm người nghe .
  2.   Đối với Cổng , hãy nhập cổng lưu lượng đến (thường là 443).
  3. Chọn Thêm , sau đó chọn Áp dụng .

7. Thêm người nghe cho Bộ cân bằng tải ứng dụng .

  1.   Chọn Thêm người nghe .
  2.   Đối với Cổng , hãy nhập cổng lưu lượng đến (thường là 443).
  3.   Đối với Giao thức , hãy chọn HTTPS .
  4.   Đối với chứng chỉ SSL , hãy chọn chứng chỉ của bạn, sau đó chọn chính sách SSL mà bạn muốn sử dụng từ danh sách thả xuống.
  5.   Chọn Thêm , sau đó chọn Áp dụng .

Leave a Comment