it-swarm.com.ru

Как добавить SSL-сертификат в AWS EC2 с помощью новой службы AWS Certificate Manager

AWS предлагает новую услугу Менеджер сертификатов AWS . Одна вещь, которую я получил из описания, заключается в том, что если мы используем этот сервис, нам больше не нужно платить за сертификат.

Они предоставляют сертификаты для Elastic Load Balancer (ELB) и CloudFront, но я не нашел EC2 нигде.

Есть ли способ использовать сертификат с EC2?

59
Bhavik Joshi

В: Могу ли я использовать сертификаты на экземплярах Amazon EC2 или на моих собственных серверах?

Нет. В настоящее время сертификаты, предоставляемые ACM, могут использоваться только с определенными сервисами AWS.


В: С какими сервисами AWS я могу использовать сертификаты, предоставленные ACM?

Вы можете использовать ACM со следующими сервисами AWS:

• Упругая балансировка нагрузки

• Amazon CloudFront

• AWS Elastic Beanstalk

• Amazon API Gateway

https://aws.Amazon.com/certificate-manager/faqs/

Вы не можете установить сертификаты, созданные Amazon Certificate Manager (ACM) на ресурсах, к которым у вас есть прямой низкоуровневый доступ, например, к EC2 или серверам вне AWS, поскольку у вас нет доступа к закрытым ключам , Эти сертификаты могут быть развернуты только на ресурсах, управляемых инфраструктурой AWS - ELB и CloudFront, - потому что инфраструктура AWS хранит единственные копии закрытых ключей для генерируемых сертификатов и поддерживает их в условиях строгой безопасности с проверяемыми внутренними средствами контроля доступа. ,.

Вам нужно, чтобы ваши компьютеры EC2 слушали позади CloudFront или ELB (или оба, каскадные, также будут работать), чтобы использовать эти сертификаты для контента, поступающего из EC2 ... потому что вы не можете установить эти сертификаты непосредственно на машинах EC2.

71
Michael - sqlbot

Нет, вы не можете использовать менеджер сертификатов aws для развертывания сертификатов на EC2. Сертификаты диспетчера сертификатов могут быть развернуты только для облачного фронта и эластичного балансировщика нагрузки. Чтобы использовать его в ec2, необходимо поместить elb поверх ec2, чтобы запрос от клиента к балансировщику нагрузки был защищен https, а для веб-сервера elb - ec2 - по http.

1
prasoon

Если вы используете AWS ACM Cert только для внутренних целей, вы, вероятно, могли бы использовать AWS ACM Private CA для выдачи сертификатов (я думаю, что вы можете использовать его и для общего/внешнего трафика, если ваш корневой CA является публично доверенным CA).

https://docs.aws.Amazon.com/acm-pca/latest/userguide/PcaGetStarted.html

Во время запуска приложения/EC2/контейнера установите шаг для экспорта выданного сертификата/личного ключа ACM Private CA в пункт назначения и начните перенаправлять его для обслуживания трафика.

https://docs.aws.Amazon.com/cli/latest/reference/acm/export-certificate.html

Хорошо, что вы можете контролировать, кто может вызывать функцию экспорта сертификата, используя роль IAM, поэтому не каждый может загрузить закрытый ключ сертификата.

Одним из недостатков этого является то, что частный CA является дорогостоящим сервисом AWS (400 долларов в месяц).

https://aws.Amazon.com/certificate-manager/pricing/

0
Imran