1. Dom
  2. Pytanie i odpowiedź
  3. Certyfikaty SSL/TLS dla Lightsail?

Certyfikaty SSL/TLS dla Lightsail?

2016-12-21 40 views
13

Menedżer certyfikatów AWS (ACM) zapewnia certyfikaty SSL/TLS dla użytkowników AWS. Czy dotyczy to również użytkowników Lightsail?Certyfikaty SSL/TLS dla Lightsail?

Jeśli nie, czy są jakieś instrukcje lub porady dotyczące ustawiania certyfikatów SSL na serwerze Lightsail?

Źródło

2016-12-21 cdeng

Odpowiedz

1

Jak włączyć obsługę HTTPS za pomocą certyfikatów SSL?

UWAGA: Poniższe kroki zakładają, że używasz niestandardowej nazwy domeny i które zostały już skonfigurowane niestandardowej nazwy domeny do punktu do serwera w chmurze.

Obrazy bitnami są dostarczane z wstępnie skonfigurowaną obsługą SSL i z zainstalowanym atrapą certyfikatu. Mimo że ten fałszywy certyfikat jest odpowiedni do testowania i programowania, zwykle będziesz potrzebował użyć ważnego certyfikatu SSL do użytku produkcyjnego. Można to wygenerować samodzielnie (wyjaśniono tutaj) lub można go kupić w komercyjnym urzędzie certyfikacji.

Po uzyskaniu certyfikatu i pliku kluczy certyfikatu należy zaktualizować serwer, aby z nich korzystać. Wykonaj następujące kroki, aby aktywować obsługę SSL:

Skorzystaj z poniższej tabeli, aby określić prawidłowe lokalizacje certyfikatu i plików konfiguracyjnych.

enter image description here Skopiuj swój certyfikat SSL i plik klucza certyfikatu do określonych lokalizacji.

UWAGA: Jeśli używasz różne nazwy dla certyfikatu i kluczowych plików, należy przekonfigurować SSLCertificateFile i SSLCertificateKeyFile dyrektyw w odpowiedniej konfiguracji Apache pliku odzwierciedlać poprawnych nazw plików.

Jeśli Twój urząd certyfikacji dostarczył również pakiet PEM-CA, musisz go skopiować do właściwej lokalizacji w poprzedniej tabeli. Następnie zmodyfikuj plik konfiguracyjny Apache tak, aby zawierał poniższy wiersz poniżej dyrektywy SSLCertificateKeyFile. Wybierz właściwą dyrektywę na podstawie scenariusza i wersji Apache:

enter image description here

UWAGA: W przypadku korzystania z innej nazwy dla certyfikatu wiązki CA, ty należy ponownie skonfigurować SSLCertificateChainFile lub SSLCACertificateFile dyrektywy w odpowiedni Plik konfiguracyjny Apache ma odzwierciedlać poprawną nazwę pliku .

Po skopiowaniu wszystkich plików certyfikat serwera, można dokonać ich odczytanie przez użytkownika root tylko z następującymi poleceniami:

sudo chown root:root /opt/bitnami/apache2/conf/server* 
sudo chmod 600 /opt/bitnami/apache2/conf/server*

Otwórz port 443 w zaporze serwera. Więcej informacji można znaleźć w FAQ.

Zrestartuj serwer Apache.

Powinieneś mieć teraz dostęp do aplikacji za pomocą adresu URL HTTPS.

Jak utworzyć certyfikat SSL?

Możesz stworzyć swój własny certyfikat SSL za pomocą binarnego OpenSSL. Żądanie certyfikatu można następnie wysłać do urzędu certyfikacji (CA), aby uzyskać jego podpisanie w certyfikacie, lub jeśli posiadasz własny urząd certyfikacji, możesz go podpisać samodzielnie lub możesz użyć certyfikatu z podpisem własnym (ponieważ po prostu chcesz uzyskać certyfikat testowy lub konfigurujesz własny CA).

Tworzenie klucza prywatnego (jeśli nie stworzyli go już):

sudo openssl genrsa -out /opt/bitnami/apache2/conf/server.key 2048

Tworzenie certyfikatu:

sudo openssl req -new -key /opt/bitnami/apache2/conf/server.key -out /opt/bitnami/apache2/conf/cert.csr

WAŻNE: Wprowadź nazwę domeny serwera po powyższego polecenia pyta o "Common Name".

Wyślij cert.csr do urzędu certyfikacji. Kiedy urząd certyfikacji zakończy kontrole (i prawdopodobnie otrzyma od Ciebie płatność), przekaże ci nowy certyfikat.

Do otrzymania certyfikatu, utworzyć tymczasowy samodzielnie podpisanego certyfikatu:

sudo openssl x509 -in /opt/bitnami/apache2/conf/cert.csr -out /opt/bitnami/apache2/conf/server.crt -req -signkey /opt/bitnami/apache2/conf/server.key -days 365

kopię zapasową klucza prywatnego w bezpiecznym miejscu po wygenerowaniu wersji chroniony hasłem, co następuje:

sudo openssl rsa -des3 -in /opt/bitnami/apache2/conf/server.key -out privkey.pem

Pamiętaj, że jeśli użyjesz tego zaszyfrowanego klucza w pliku konfiguracyjnym Apache, konieczne będzie ręczne wprowadzenie hasła czas rozpoczęcia Apache. Zregenerować klucz bez zabezpieczenia hasłem z tego pliku w następujący sposób:

sudo openssl rsa -in privkey.pem -out /opt/bitnami/apache2/conf/server.key

Znajdź więcej informacji o certyfikatach w http://www.openssl.org.

Odpowiedź jest kopiowana z https://docs.bitnami.com/aws/apps/wordpress/#how-to-enable-https-support-with-ssl-certificates, aby była dostępna, jeśli strona wygasła lub została zmieniona.

Źródło

2016-12-21 22:51:47 bpavlov

+2

Pytali o ACM z Lightsailem: jestem zainteresowany wiedzą, czy ta integracja jest możliwa. –

0

Obecnie nie ma mechanizmu do korzystania z certyfikatów ACM z instancjami Lightsail.

Ale jest też no mechanism for using ACM certificates directly on EC2 instances. Muszą one znajdować się za modułem równoważenia obciążenia, ponieważ ACM nie zapewnia dostępu do klucza prywatnego certyfikatu.

Możesz używać certyfikatów ACM tylko z ELB/ALB i CloudFront.

Informacje widoczne w metadanych instancji w programie Lightsail sugerują, że ELB/ALB może być przyszłym elementem, co sugeruje, że może być możliwe w przyszłości ... ale na razie nie jest.

Oczywiście CloudFront współpracuje z dowolnym serwerem początkowym - EC2, Lightsail, a nawet serwerami źródłowymi, które w ogóle nie są w AWS.(Mam serwer w moim salonie, który działa za CloudFront). Jeśli nie potrzebujesz szyfrowania między CloudFront i twoją maszyną Lightail - tylko pomiędzy przeglądarką a CloudFront - możesz to skonfigurować dzisiaj i użyć certyfikatu ACM na CloudFront, a Lightail jako serwer początkowy. Jedynym problemem jest to, że nie korzystasz z darmowej przepustowości łącza wychodzącego z Lightsail do Internetu - używałbyś przepustowości wychodzącej Internetu CloudFront, która nie ma dużego darmowego limitu, takiego jak Lightsail.

Źródło

2017-01-16 02:41:51

11

Zgodnie z innymi odpowiedziami nie można używać Menedżera certyfikatów AWS do tworzenia i instalowania certyfikatów dla instancji Amazon Lightsail ani żadnych innych instancji EC2. Można jednak tworzyć własne certyfikaty SSL/TLS i instalować je ręcznie. Instancja Lightsail dla WordPress jest zasilana przez Bitnami, a Bitnami podaje dokładne instrukcje jak stworzyć i zainstalować darmowy certyfikat SSL/TLS z LetsEncrypt.

https://docs.bitnami.com/aws/how-to/generate-install-lets-encrypt-ssl/

Właśnie zakończono ten proces pomyślnie.

Sprawdź sam.

https://lukejanicke.com

nie mam go pracujących na https: // www .lukejanicke.com jeszcze.

Źródło

2017-01-30 17:13:28 lukejanicke

+1

Uwaga: Postępuj zgodnie z instrukcjami Bitnami. Nie wykonuj instrukcji na stronie https://certbot.eff.org. To ma coś wspólnego ze sposobem, w jaki Bitnami instaluje Apache. – lukejanicke

 Powiązane problemy

  • Brak powiązanych problemów^_^