Fatal编程技术网
  • amazon-web-services/
  • Amazon web services 如何借助新的AWS证书管理器服务向AWS EC2添加SSL证书

Amazon web services 如何借助新的AWS证书管理器服务向AWS EC2添加SSL证书

amazon-web-services ssl amazon-ec2

Amazon web services 如何借助新的AWS证书管理器服务向AWS EC2添加SSL证书,amazon-web-services,ssl,amazon-ec2,Amazon Web Services,Ssl,Amazon Ec2,AWS推出了一项新服务AWS证书管理器。我从描述中得到的一点是,如果我们使用这项服务,我们就不必再为证书付费 他们正在为弹性负载平衡器(ELB)和CloudFront提供证书,但我在任何地方都没有找到EC2 有没有办法将证书与EC2一起使用 Q:我可以在Amazon EC2实例或自己的服务器上使用证书吗? 不可以。目前,ACM提供的证书只能用于特定的AWS服务 Q:我可以通过哪些AWS服务使用ACM提供的证书? 您可以将ACM与以下AWS服务一起使用: •弹性负载平衡 •亚马逊云端 •AWS弹

AWS推出了一项新服务AWS证书管理器。我从描述中得到的一点是,如果我们使用这项服务,我们就不必再为证书付费

他们正在为弹性负载平衡器(ELB)和CloudFront提供证书,但我在任何地方都没有找到EC2

有没有办法将证书与EC2一起使用

Q:我可以在Amazon EC2实例或自己的服务器上使用证书吗?

不可以。目前,ACM提供的证书只能用于特定的AWS服务

Q:我可以通过哪些AWS服务使用ACM提供的证书?

您可以将ACM与以下AWS服务一起使用:

•弹性负载平衡

•亚马逊云端

•AWS弹性豆茎

•亚马逊API网关

您不能将由创建的证书安装在具有直接低级访问权限的资源(如EC2或AWS之外的服务器)上,因为您无权访问私钥。这些证书只能部署在AWS基础设施(ELB和CloudFront)管理的资源上,因为AWS基础设施只保存它生成的证书的私钥副本,并通过可审核的内部访问控制在严密的安全性下维护它们

为了对来自EC2的内容使用这些证书,您必须让您的EC2机器在CloudFront或ELB(或两者,级联,也可以工作)后面侦听。。。因为您不能直接在EC2机器上安装这些证书

Q:我可以在Amazon EC2实例或自己的服务器上使用证书吗?

不可以。目前,ACM提供的证书只能用于特定的AWS服务

Q:我可以通过哪些AWS服务使用ACM提供的证书?

您可以将ACM与以下AWS服务一起使用:

•弹性负载平衡

•亚马逊云端

•AWS弹性豆茎

•亚马逊API网关

您不能将由创建的证书安装在具有直接低级访问权限的资源(如EC2或AWS之外的服务器)上,因为您无权访问私钥。这些证书只能部署在AWS基础设施(ELB和CloudFront)管理的资源上,因为AWS基础设施只保存它生成的证书的私钥副本,并通过可审核的内部访问控制在严密的安全性下维护它们

为了对来自EC2的内容使用这些证书,您必须让您的EC2机器在CloudFront或ELB(或两者,级联,也可以工作)后面侦听。。。因为您不能直接在EC2计算机上安装这些证书。

否,您不能使用aws证书管理器在EC2上部署证书。只能针对cloudfront和弹性负载平衡器部署证书管理器证书。要在ec2上使用它,您需要将elb置于ec2之上,这样从客户端到负载平衡器的请求将受到https保护,从elb到ec2 Web服务器的请求将位于http上。

否,您不能使用aws证书管理器在ec2上部署证书。只能针对cloudfront和弹性负载平衡器部署证书管理器证书。要在ec2上使用它,您需要将elb放在ec2的顶部,这样从客户端到负载平衡器的请求将受到https保护,从elb到ec2 Web服务器的请求将在http上。

如果您仅将AWS ACM证书用于内部目的,那么您可能可以使用AWS ACM专用CA颁发证书。(我认为如果您的根CA是公共信任的CA,您也可以将其用于公共/外部通信目的)

在应用程序/EC2/容器启动期间,设置一个步骤,将ACM私人CA颁发的证书/私钥导出到目的地,并开始引用该证书/私钥来服务流量

一个好的方面是,您可以使用IAM角色控制谁可以调用导出证书功能,这样不是每个人都可以下载证书的私钥

这样做的一个缺点是,私人CA是昂贵的AWS服务(每月400美元)。

如果您仅将AWS ACM证书用于内部目的,那么您可能可以使用AWS ACM专用CA颁发证书。(我认为,如果您的根CA是公共信任CA,您也可以将其用于公共/外部通信目的)

在应用程序/EC2/容器启动期间,设置一个步骤,将ACM私人CA颁发的证书/私钥导出到目的地,并开始引用该证书/私钥来服务流量

一个好的方面是,您可以使用IAM角色控制谁可以调用导出证书功能,这样不是每个人都可以下载证书的私钥

这样做的一个缺点是,私人CA是昂贵的AWS服务(每月400美元)。

除了上面的注释,您不能使用AWS证书管理器进行此操作,但您可以在运行IIS的Windows服务器上向ec2添加Let's Encrypt证书,这非常简单:

  • 将弹性ip与ec2实例相关联

  • 确保您有一个已注册的域。您不能使用实例附带的ec2------.us-east-1.compute.amazonaws.com类型名称

  • 通过您的域提供商的DNS设置,使您的域指向您的弹性IP

  • 连接到ec2实例并将域名添加到站点绑定

  • 在“资产”下查找,并使用最新版本(例如,win-acme.v2.0.10.444.zip)。这是您唯一需要的资产文件夹

  • 解压文件夹,以管理员身份打开终端,然后将cd放入解压文件夹

  • 运行wacs.exe并遵循pr