1. дома
  2. Вопрос и ответ
  3. Завершение SSL на экземпляре AWS ELB

Завершение SSL на экземпляре AWS ELB

2016-11-10 18 views
1

Мне нужно завершить SSL на экземпляре AWS ELB. IT/Ops предоставил мне с ZIP-файл со следующим содержимым:Завершение SSL на экземпляре AWS ELB

  • DigiCertCA2.pem
  • TrustedRoot.pem
  • wildcard_example_com.crt
  • wildcard_example_com.csr
  • wildcard_example_com.key
  • wildcard_example_com.pem

(В действительности домен, очевидно, не example.com; но это подстановочные сертификат для нашего собственного домена)

Согласно ELB/SSL docs:.

Если у вас есть сертификат готов для загрузки, выберите Загрузить новый сертификат SSL для AWS управления идентификацией и доступом (IAM). Введите имя сертификата. В приватном ключе скопируйте и вставьте содержимое файла закрытого ключа (PEM-encoded). В сертификате открытого ключа скопируйте и вставьте содержимое файла сертификата открытого ключа (PEM-encoded). В цепочке сертификатов скопируйте и вставьте содержимое файла цепочки сертификатов (PEM-encoded), если вы не используете самозаверяющий сертификат, и не важно, что браузеры неявно принимают сертификат.

Однако я не уверен, какой сертификат является «файлом цепочки сертификатов», или если это даже необходимо. Я считаю, что эти сертификаты подписаны корневым/доверенным ЦС (не самоподписанным).

У меня нет предпочтения, могу ли я сделать это на веб-консоли или в инструменте AWS CLI, , но какие шаги/действия необходимо выполнить с моими конкретными файлами, чтобы правильно настроить ELB с помощью SSL?

источник

2016-11-10 smeeb

ответ

2

Во-первых, не делайте этого с помощью старого метода обслуживания IAM, используйте новый сервис AWS ACM для управления сертификатом. У службы ACM также есть хороший веб-интерфейс для этого.

Компания, у которой вы получили сертификат, должна быть в состоянии сообщить вам, какой файл является файлом цепи, и да, сетевой файл необходим, если вы хотите, чтобы браузеры правильно отображали ваш сертификат SSL как действительный. Я немного искал и нашел this blog post, где обсуждается использование сертификатов Digicert с AWS. Похоже, ваши файлы следующим образом:

  • wildcard_example_com.key = закрытый ключ файл
  • wildcard_example_com.crt = файл открытого ключа
  • DigiCertCA2.pem и TrustedRoot.pem комбинированный = сертификат цепи

источник

2016-11-10 14:50:11

+0

Спасибо @Mark B (+1) - так что блог-пост защищает использование AWS CLI, чтобы выполнить это, в частности команду 'aws iam upload-server-certificate'. Эта команда принимает аргумент '--certificate-chain file: // path/to/aws_chain.pem'. Однако, похоже, вы говорите, что у меня есть два (2) файла в моей цепочке (DigiCertCA2 + TrustedRoot). Так что мне нужно как-то сначала объединить эти два файла в один PEM? Или есть способ указать оба из них в этом аргументе? Еще раз спасибо! – smeeb

+0

1.Это старое сообщение в блоге и даже имеет предупреждение сверху, что говорит, что это может быть устаревшим, поэтому не принимайте его советы по использованию службы IAM через CLI AWS. Это просто старый метод, который вам пришлось использовать до того, как услуга ACM стала доступной. 2. Он говорит вам «вставлять выходные данные из следующих команд» в некоторые файлы, и это также точно, что вам нужно вставить в веб-консоль AWS ACM. 3. Если вы посмотрите на команду цепочки сертификатов, он фактически объединяет две команды для создания цепочки сертификатов из этих двух файлов. –

+0

Единственная часть этого сообщения в блоге, которое вам нужно выполнить, это три раздела с «Закрытым ключом», «Поле сертификата открытого ключа» и «Поле цепочки сертификатов» в качестве названий. Из этого вы получите три файла с кодировкой PEM, которые вам нужно будет загрузить в AWS. –

 Смежные вопросы

  • Нет связанных вопросов^_^