it-swarm.com.de

Hinzufügen eines SSL-Zertifikats zu AWS EC2 mit Hilfe des neuen AWS Certificate Manager-Dienstes

AWS hat einen neuen Dienst AWS Certificate Manager entwickelt. Ich habe aus der Beschreibung herausgefunden, dass, wenn wir diesen Service nutzen, wir das Zertifikat nicht mehr bezahlen müssen.

Sie stellen Zertifikate für Elastic Load Balancer (ELB) und CloudFront bereit, aber ich habe EC2 nirgendwo gefunden.

Gibt es eine Möglichkeit, das Zertifikat mit EC2 zu verwenden?

59
Bhavik Joshi

F: Kann ich Zertifikate auf Amazon EC2-Instanzen oder auf meinen eigenen Servern verwenden?

Nein. Derzeit können von ACM bereitgestellte Zertifikate nur mit bestimmten AWS-Services verwendet werden.


F: Mit welchen AWS-Services kann ich von ACM bereitgestellte Zertifikate verwenden?

Sie können ACM mit den folgenden AWS-Diensten verwenden:

• Elastischer Lastausgleich

• Amazon CloudFront

• AWS Elastic Beanstalk

• Amazon API-Gateway

https://aws.Amazon.com/certificate-manager/faqs/

Sie können die von Amazon Certificate Manager (ACM) erstellten Zertifikate nicht auf Ressourcen installieren, auf die Sie direkten Zugriff auf niedriger Ebene haben, wie EC2 oder Server außerhalb von AWS, da Sie keinen Zugriff auf die privaten Schlüssel haben . Diese Zertifikate können nur auf Ressourcen bereitgestellt werden, die von der AWS-Infrastruktur (ELB und CloudFront) verwaltet werden, da die AWS-Infrastruktur die einzigen Kopien der privaten Schlüssel für die von ihnen generierten Zertifikate enthält und diese mit kontrollierbaren internen Zugriffskontrollen streng überwacht .

Sie müssen Ihre EC2-Computer hinter CloudFront oder ELB hören (oder beide, kaskadiert, funktionieren auch), um diese Zertifikate für Inhalte zu verwenden, die von EC2 stammen ... da Sie diese Zertifikate nicht installieren können direkt auf EC2-Maschinen.

71

Nein, Sie können den aws-Zertifikatsmanager nicht für die Bereitstellung von Zertifikaten auf EC2 verwenden. Die Zertifikatsmanagerzertifikate können nur gegen Cloudfront und elastisches Lastenausgleichsystem bereitgestellt werden. Um es auf ec2 zu verwenden, müssen Sie elb auf ec2 setzen, damit die Anforderung vom Client an Load Balancer https-geschützt ist und von elb an den ec2-Webserver auf http.

1
prasoon

Wenn Sie AWS ACM Cert nur für interne Zwecke verwenden, können Sie möglicherweise die private Zertifizierungsstelle von AWS ACM für die Ausstellung der Zertifikate verwenden (ich denke, Sie können es auch für den öffentlichen/externen Verkehr verwenden, wenn Ihre Stammzertifizierungsstelle öffentlich vertrauenswürdige Zertifizierungsstelle ist).

https://docs.aws.Amazon.com/acm-pca/latest/userguide/PcaGetStarted.html

Legen Sie während des Starts von Application/EC2/Container einen Schritt fest, um den von Ihrer privaten ACM-Zertifizierungsstelle ausgestellten Cert/Private-Schlüssel an Ihr Ziel zu exportieren, und beginnen Sie den Verweis für die Bereitstellung des Datenverkehrs.

https://docs.aws.Amazon.com/cli/latest/reference/acm/export-certificate.html

Eine gute Sache ist, Sie können steuern, wer die Funktion cert cert mit IAM Role aufrufen kann, sodass nicht jeder den privaten Schlüssel des cert herunterladen kann.

Ein Nachteil ist, dass private Zertifizierungsstellen einen teuren AWS-Service (400 USD/Monat) haben.

https://aws.Amazon.com/certificate-manager/pricing/

0
Imran