Подтвердить что ты не робот

Сертификаты SSL/TLS для Lightsail?

AWS Certificate Manager (ACM) предоставляет сертификаты SSL/TLS для пользователей AWS. Это относится и к пользователям Lightsail?

Если нет, есть ли какие-либо инструкции или рекомендации по настройке SSL-сертификатов на сервере Lightsail?

4b9b3361

ОТВЕТЫ

Ответ 1

В соответствии с другими ответами, вы не можете использовать AWS Certificate Manager для создания и установки сертификатов для экземпляров Amazon Lightsail или любых других экземпляров EC2. Однако вы можете создать свои собственные сертификаты SSL/TLS и установить их вручную. Экземпляр Lightsail для WordPress работает от Bitnami, а Bitnami дает точные инструкции о том, как создать и установить бесплатный сертификат SSL/TLS с LetsEncrypt.

https://docs.bitnami.com/aws/how-to/generate-install-lets-encrypt-ssl/

Я успешно завершил этот процесс для lukejanicke.com, но не сразу получил его на www.lukejanicke.com

Ответ 2

В настоящее время нет механизма для использования сертификатов ACM с экземплярами Lightsail.

Но там также нет механизма для использования сертификатов ACM непосредственно в экземплярах EC2. Они должны быть за балансировщиком нагрузки, потому что ACM не предоставляет вам доступ к закрытому ключу сертификата.

Вы можете использовать сертификаты ACM только с ELB/ALB и CloudFront.

Информация, отображаемая в метаданных экземпляра Lightsail, предполагает, что ELB/ALB может быть будущей функцией там, что предполагает, что это возможно в будущем... но пока это не так.

Конечно, CloudFront работает с любым сервером происхождения - EC2, Lightsail, даже серверами происхождения, которые вообще не находятся в AWS. (У меня есть сервер в моей гостиной, который работает за CloudFront). Если вам не требуется шифрование между CloudFront и вашей машиной Lightsail - только между браузером и CloudFront - тогда вы можете настроить это сегодня и использовать сертификат ACM на CloudFront с Lightsail в качестве исходного сервера. Единственная проблема заключается в том, что вы не будете использовать бесплатную исходящую пропускную способность от Lightsail до Интернета - вы будете использовать пропускную способность исходящего Интернета CloudFront, которая не имеет большой свободной квоты, такой как Lightsail.

Ответ 3

Как включить поддержку HTTPS с SSL-сертификатами?

ПРИМЕЧАНИЕ. Приведенные ниже шаги предполагают, что вы используете собственное доменное имя и что вы уже настроили пользовательское доменное имя для указания на ваш сервер облаков.

Изображения Bitnami поставляются с уже настроенной поддержкой SSL и с фиктивным сертификатом. Хотя этот фиктивный сертификат подходит для тестирования и разработки, вы, как правило, захотите использовать действительный сертификат SSL для использования в целях производства. Вы можете создать это самостоятельно (поясняется здесь), или вы можете приобрести его у коммерческого центра сертификации.

После получения файлов сертификатов и ключей сертификатов вам необходимо будет обновить сервер, чтобы использовать их. Выполните следующие действия для активации поддержки SSL:

Используйте приведенную ниже таблицу, чтобы определить правильные местоположения для вашего сертификата и файлов конфигурации.

введите описание изображения здесь Скопируйте сертификат SSL и файл ключа сертификата в указанные местоположения.

ПРИМЕЧАНИЕ. Если вы используете разные имена для своего сертификата и файлов ключей, вы должны перенастроить SSLCertificateFile и SSLCertificateKeyFile директивы в соответствующем Apache файл конфигурации, чтобы отобразить правильные имена файлов.

Если ваш центр сертификации также предоставил вам пакет PEM-закодированных сертификатов (CA), вы должны скопировать его в нужное место в предыдущей таблице. Затем измените конфигурационный файл Apache, чтобы включить следующую строку под директивой SSLCertificateKeyFile. Выберите правильную директиву на основе вашего сценария и версии Apache:

введите описание изображения здесь

ПРИМЕЧАНИЕ. Если вы используете другое имя для своего пакета сертификатов CA, вы следует перенастроить SSLCertificateChainFile или SSLCACertificateFile директивы в соответствующем файле конфигурации Apache для отражения правильное имя файла.

После того как вы скопировали все файлы сертификатов сервера, вы можете сделать их доступными для пользователя root только с помощью следующих команд:

sudo chown root:root /opt/bitnami/apache2/conf/server*
sudo chmod 600 /opt/bitnami/apache2/conf/server*

Откройте порт 443 в брандмауэре сервера. Дополнительные сведения см. В разделе "Вопросы и ответы".

Перезапустите сервер Apache.

Теперь вы можете получить доступ к своему приложению с помощью URL-адреса HTTPS.

Как создать сертификат SSL?

Вы можете создать свой собственный сертификат SSL с помощью двоичного файла OpenSSL. Затем запрос сертификата может быть отправлен в центр сертификации (ЦС) для его подписания в сертификат или если у вас есть собственный центр сертификации, вы можете подписать его самостоятельно или вы можете использовать самозаверяющий сертификат (потому что вы просто хотите получить тестовый сертификат или настроить собственный CA).

Создайте свой закрытый ключ (если вы еще не создали его):

sudo openssl genrsa -out /opt/bitnami/apache2/conf/server.key 2048

Создать сертификат:

 sudo openssl req -new -key /opt/bitnami/apache2/conf/server.key -out /opt/bitnami/apache2/conf/cert.csr

ВАЖНО: введите имя домена сервера, когда указанная выше команда запрашивает для "общего имени".

Отправьте cert.csr в центр сертификации. Когда центр сертификации завершает свои проверки (и, возможно, получил платеж от вас), они передадут вам новый сертификат.

До получения сертификата создайте временный самозаверяющий сертификат:

 sudo openssl x509 -in /opt/bitnami/apache2/conf/cert.csr -out /opt/bitnami/apache2/conf/server.crt -req -signkey /opt/bitnami/apache2/conf/server.key -days 365

Сделайте резервную копию своего закрытого ключа в безопасном месте после создания защищенной паролем версии следующим образом:

sudo openssl rsa -des3 -in/opt/bitnami/apache2/conf/server.key -out privkey.pem

Обратите внимание, что если вы используете этот зашифрованный ключ в файле конфигурации Apache, вам необходимо будет вводить пароль вручную каждый раз, когда запускается Apache. Восстановите ключ без защиты паролем из этого файла следующим образом:

sudo openssl rsa -in privkey.pem -out /opt/bitnami/apache2/conf/server.key

Найти дополнительную информацию о сертификатах http://www.openssl.org.

Ответ скопирован из https://docs.bitnami.com/aws/apps/wordpress/#how-to-enable-https-support-with-ssl-certificates, чтобы быть доступным, если страница истекает или изменена.