Как установить SSL-сертификат в AWS

В этом уроке Вы узнаете, как установить SSL-сертификат в AWS (Amazon Web Services). Перед установкой Вам необходимо сгенерировать запрос на подписание сертификата (CSR) и отправить его в ЦС для утверждения. Если Вы не выполнили этот шаг, обратитесь к первой части руководства. Если у Вас уже есть файлы SSL-сертификата, Вы можете сразу перейти к руководству по установке SSL. В последнем разделе Вы узнаете, где можно купить лучший SSL-сертификат для Вашего сервера AWS.

AWS предлагает более 90 облачных услуг. Это руководство посвящено следующим продуктам:

  • Amazon Certificate Manager (ACM)
  • Эластичная балансировка нагрузки (ELB)
  • Менеджер идентификации и доступа (IAM)

Оглавление

  1. Как сгенерировать код CSR в AWS?
  2. Подготовьте все файлы сертификатов
  3. Установите SSL сертификат в AWS ACM (Amazon Certificate Manager).
  4. Установите SSL-сертификат в AWS IAM (Identity Access Manager)
  5. Установите SSL-сертификат в ELB (Elastic Load Balancing)
  6. Протестируйте Вашу установку SSL
  7. Где купить SSL-сертификат для AWS?

Как сгенерировать код CSR в AWS?

При подаче заявки на получение SSL-сертификата одним из важных шагов является отправка CSR-кода Вашему SSL-провайдеру, который также называется Центром сертификации. CSR содержит закодированную информацию о Вашем доменном имени и компании. Вы не сможете получить подписанный SSL-сертификат, не предоставив этот блок кода.

У Вас есть два варианта:

  1. Используйте наш Генератор CSR, чтобы создать CSR автоматически.
  2. Сгенерируйте CSR вручную. В зависимости от того, какой сервис Amazon Вы используете, существует несколько способов сгенерировать код CSR. Лучший вариант – создать CSR на том же сервере, где будет работать Ваш SSL-сертификат.Выберите учебник для Вашей платформы:

Если у Вас есть балансировщик нагрузки, Вы можете создать свой код CSR с помощью инструмента OpenSSL. Чтобы сгенерировать CSR и закрытый ключ, выполните следующую команду:

openssl req -new -newkey rsa:2048 -nodes -keyout yoursite.key -out example.csr

Примечание: Замените атрибут yoursite на имя домена, который Вы хотите защитить.

После того, как Вы сгенерируете код CSR, Вы получите блок кода. Пожалуйста, скопируйте и сохраните его в текстовом редакторе, включая теги –BEGIN CERTIFICATE REQUEST– и –END CERTIFICATE REQUEST–. Этот код понадобится Вам во время активации SSL-сертификата.

Установите SSL-сертификат в AWS

Выполните следующие шаги, чтобы установить SSL-сертификат в AWS.

Подготовьте все файлы сертификатов

Перед началом установки убедитесь, что у Вас есть все необходимые файлы сертификатов. После того, как ЦС подпишет Ваш SSL-сертификат, он отправит установочные файлы в Ваш почтовый ящик.

Вот что Вам понадобится:

  • Ваш основной файл сертификата, выпущенный для доменного имени, которое Вы хотите защитить
  • Файлы пакета CA Вашего центра сертификации
  • Ваш личный ключ

Ваш SSL-сертификат и пакет CA должны находиться в архивной папке (zip-папка), которую Вам прислал CA.

Что касается закрытого ключа, то Вы сгенерировали его вместе с кодом CSR. Он находится в том же месте, где Вы создали CSR.

И последнее, о чем следует позаботиться, – это формат Ваших SSL-файлов. Поскольку Amazon принимает только формат PEM, Вы должны убедиться, что Ваш SSL-сертификат и закрытый ключ имеют формат PEM. Этот конкретный формат имеет множество расширений (.pem, .key, .cer, .cert и т.д.).

Если Вы получили файлы в другом формате, Вам придется преобразовать их в PEM. Вы можете сделать это с помощью команд Open SSL.

Ваши файлы уже в формате PEM? Великолепно! Теперь Вы можете установить свой SSL-сертификат.

Установите SSL сертификат в AWS ACM (Amazon Certificate Manager).

Выполните приведенную ниже команду в командной строке, чтобы загрузить Ваш сертификат в AMC.

aws acm import-certificate --certificate file://example.crt --private-key file://example.key --certificate-chain file://example-bundle.crt

Примечание: Замените атрибуты примера на реальные имена Ваших файлов.

Если загрузка прошла успешно, Вы получите сертификат ARN (Amazon Resource Name). Этот идентификатор понадобится Вам для управления Вашим SSL-сертификатом. Вот полный список команд ACM для дальнейшего управления Вашим сертификатом.

Установите SSL-сертификат в AWS IAM (Identity Access Manager)

Используйте следующую команду, чтобы загрузить SSL-сертификат в IAM:

aws iam upload-server-certificate --server-certificate-name certificate-name --certificate-body file://example.crt --certificate-chain file://example-bundle.crt --private-key file://example.key

Замените значения, выделенные жирным шрифтом, как показано ниже:

  • Certificate-name: введите пользовательское имя, которое легко запомнить. Это может быть Ваше доменное имя или любое другое значение, связанное с Вашим SSL-сертификатом. Имя сертификата должно содержать буквенно-цифровые символы верхнего и нижнего регистра. Пробелы не допускаются
  • Параметр файла тела сертификата: включите фактическое имя файла Вашего основного SSL-сертификата
  • Параметр файла цепочки сертификатов: укажите имя файла связки Вашего ЦС
  • Параметр файла закрытого ключа: введите имя файла Вашего закрытого ключа.

Если загрузка прошла успешно, в командной строке будет создана таблица с метаданными сертификата сервера, включая путь к серверу, имя, ID, идентификатор ARN (Amazon Resource Name), дату загрузки и дату истечения срока действия.

Для получения дополнительной помощи по управлению SSL и устранению неполадок обратитесь к официальному руководству Amazon.

Установите SSL-сертификат в ELB (Elastic Load Balancing)

В этом разделе предполагается, что Вы уже загрузили SSL-сертификат в IAM или ACM и хотите создать или обновить HTTPS-слушатели на существующих классических балансировщиках нагрузки и балансировщиках приложений.

Вам понадобится ARN (Amazon Resource Name) Вашего сертификата и ARN существующего балансировщика нагрузки, чтобы установить сертификат в ELB.

Классический балансировщик нагрузки

Используйте приведенную ниже команду, чтобы создать HTTP-приемник и назначить ему SSL-сертификат:

aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN"

Значение ARN – это ARN Вашего SSL-сертификата.

Если у Вас уже есть HTTPS-приемник и Вы хотите просто обновить свой сертификат, используйте следующую команду:

aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id NewARN

Значение New ARN – это ARN нового SSL-сертификата, который Вы хотите импортировать.

Здесь Вы найдете полный набор команд ELB.

Также здесь представлено официальное руководство Amazon по HTTPS Listeners для Classic Load Balancer.

Балансировщик нагрузки приложений

Выполните следующую команду, чтобы создать HTTP-приемник на балансировщике нагрузки приложений:

aws elbv2 create-listener --load-balancer-arn my-load-balancer-arn --protocol HTTPS --port 443 --certificates CertificateArn=my-certificate-arn --ssl-policy ELBSecurityPolicy-2015-05 --default-actions Type=forward,TargetGroupArn=my-target-group-arn

Вы можете получить my-load-balancer-arn и my-target-group-arn запустив еще одну программу, на этот раз:

aws elbv2 describe-target-groups

Это позволит получить необходимую информацию о существующих балансировщиках нагрузки и целевых группах в Вашей AWS-системе.

Если Вы хотите добавить новый SSL-сертификат к существующему HTTPS-приемнику, выполните следующую команду:

aws elbv2 modify-listener --listener-arn my-https-listener-arn --certificates CertificateArn=my-new-certificate-arn

Вы можете найти my-https-listener-arn с помощью следующей команды:

aws elbv2 describe-listeners --load-balancer-arn my-load-balancer-arn

Нажмите здесь, чтобы продолжить работу с менеджером загрузки приложений.

Протестируйте Вашу установку SSL

Просмотрите HTTPS-версию Вашего домена и проверьте, присутствует ли там SSL-замок. Вы можете щелкнуть на нем и проверить данные своего сертификата. Чтобы провести всестороннее тестирование, воспользуйтесь этими настоятельно рекомендуемыми инструментами SSL. Они просканируют Вашу установку и создадут мгновенные отчеты.

Где купить SSL-сертификат для AWS?

При покупке SSL-сертификата Вам следует обратить внимание на три основных аспекта: тип проверки, цена и обслуживание клиентов. В SSL Dragon мы поставляем их все! Наши SSL-сертификаты выдаются лучшими центрами сертификации в отрасли и совместимы со всеми основными веб-платформами, включая AWS. Нужен ли Вам базовый продукт Domain Validation или премиальный сертификат Extended Validation, Вы пришли в нужное место.

Цены SSL Dragon – самые низкие на рынке, а нашу высококвалифицированную службу поддержки ценят уже существующие клиенты. Если Вы не знаете, какой тип SSL-сертификата выбрать для Вашего сайта, воспользуйтесь нашими инструментами SSL Wizard и Certificate Filter. Они помогут Вам найти идеальный продукт SSL.

Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.