Thủ thuật Website

Cài đặt chứng chỉ SSL trên Amazon Web Services (AWS)

0 7 minutes read

Amazon Web Services cung cấp các phiên bản lưu trữ có thể được sử dụng để lưu trữ cả máy chủ và ứng dụng thông thường, cũng như một số dịch vụ bổ sung cụ thể. Do đó, có nhiều tùy chọn để cài đặt chứng chỉ SSL trên AWS.

Bài viết này mô tả cách cài đặt chứng chỉ SSL của bạn trên một số ứng dụng hoặc dịch vụ cụ thể liên quan đến Amazon. Dưới đây là nội dung chính của bài viết:

Một số thông tin tiên quyết

Để cài đặt SSL, bạn thường cần ba thành phần: chứng chỉ, chuỗi chứng chỉ trung gian (gói CA) và Khóa riêng tư.

  • Chứng chỉ SSL được gửi dưới dạng tệp định dạng PEM có phần mở rộng là .crt . Nếu các tiện ích mở rộng không được hiển thị trong hệ thống của bạn theo mặc định cho tất cả các tệp, thì SSL sẽ có “Chứng chỉ bảo mật ” trong mô tả tệp. Cũng có thể tải xuống cùng một tệp theo cách này .

    Bên trong tệp có một đoạn mã như sau:

  • Chuỗi chứng chỉ trung gian (gói CA) cũng được gửi trong tệp định dạng PEM, nhưng tệp này có phần mở rộng .ca-pack . Bên trong tệp, thường có một hoặc hai mã tương tự như chứng chỉ. Gói CA, cũng như chứng chỉ, thường nằm trong kho lưu trữ SSL mà bạn nhận được sau khi kích hoạt SSL. Nó cũng có thể được tải xuống tại đây .
  • Khóa cá nhân được tạo cùng với yêu cầu ký chứng chỉ (CSR) được sử dụng để kích hoạt SSL của bạn. Nếu bạn đã tạo CSR trên máy chủ của mình, khóa sẽ được lưu ở cùng một nơi. Nó có . phần mở rộng chính .

    Nó chứa một đoạn mã như sau:

Trên máy chủ của bạn, có thể kiểm tra nội dung của các tệp bằng lệnh cat (chỉ định tên tệp thực trong lệnh của bạn):

cat example.crt
Trên máy cục bộ, bạn có thể nhấp chuột phải vào tệp, chọn Mở bằng và chọn bất kỳ trình soạn thảo văn bản thuần túy nào.

Các thành phần SSL nói trên đôi khi sẽ cần được tải lên dưới dạng tệp hoặc tải lên dưới dạng mã, tùy thuộc vào dịch vụ Amazon cụ thể mà bạn sử dụng.

Đám mây điện toán đàn hồi (EC2)

Nếu bạn có EC2, điều đó thường có nghĩa là một máy chủ web, thư hoặc ứng dụng riêng được cài đặt và SSL phải được cài đặt trên máy chủ đó. Để biết thêm thông tin chi tiết về cài đặt chứng chỉ SSL, bạn có thể tham khảo hướng dẫn tại đây .
Mọi thứ sẽ khác một chút nếu bạn sử dụng Amazon Linux AMI.
Amazon Linux là một bản phân phối Linux cụ thể do Amazon cung cấp. Nó thường dựa trên CentOS Linux với máy chủ Apache được cài đặt (mặc dù phiên bản dựa trên Debian cũng tồn tại).
Trên Amazon Linux 2, quá trình cài đặt hoàn toàn giống với cài đặt SSL thông thường trên máy chủ Apache trên CentOS .
Đối với các phiên bản khác của Amazon Linux, có một điểm đặc biệt. Để chạy kết nối HTTPS được mã hóa trên máy chủ web Apache, mod_ssl cần được cài đặt với sự trợ giúp của lệnh hơi khác với lệnh thường được sử dụng trên Apache:

sudo yum install -y mod24_ssl
Vị trí tệp cấu hình SSL mặc định trên Linux AMI là /etc/httpd/conf.d/ssl.conf . Tất cả các thay đổi cần thiết để cài đặt SSL có thể được thực hiện trong tệp này.

Bộ cân bằng tải đàn hồi (ELB)

Bộ cân bằng tải là một dịch vụ cụ thể cho phép quản lý lưu lượng truy cập trên một số phiên bản lưu trữ. Amazon cung cấp dịch vụ cân bằng tải có thể được bảo mật bằng chứng chỉ SSL.
Bạn có thể tải SSL trực tiếp qua giao diện đồ họa lên trình quản lý chứng chỉ AWS (ACM) (1) hoặc thực hiện việc đó thông qua dòng lệnh trong Quản lý danh tính và truy cập AWS (IAM) (2) .

  • Tùy chọn đầu tiên là khá đơn giản. Trong quá trình tạo bộ cân bằng tải, bạn có thể nhập chứng chỉ mới trong bước thứ hai của quá trình thiết lập:

Chỉ cần chọn tải chứng chỉ lên ACM (tùy chọn này đặt SSL mặc định cho tất cả các trường hợp chưa được chỉ định) hoặc IAM (tùy chọn này cho phép bạn thêm nhiều SSL) và dán tất cả 3 thành phần SSL làm mã:

  1. Chứng chỉ trong mẫu “Cơ quan chứng chỉ”;
  2. Gói CA trong biểu mẫu “Chuỗi chứng chỉ”;
  3. Và Private key ở dạng “Private key”.
Chọn chính sách bảo mật từ danh sách thả xuống (chính sách mặc định sẽ hoạt động tốt) và tiến hành thiết lập bộ cân bằng tải.
SSL cũng có thể được thêm vào sau này bằng cách đi tới trình đơn Bộ cân bằng tải >> Người nghe >> Xem / chỉnh sửa chứng chỉ .
Nhấp vào nút + (dấu cộng) để thêm chứng chỉ mới và mở bảng Nhập chứng chỉ .
Biểu mẫu tải lên SSL sẽ hiển thị:
  • Đối với tùy chọn thứ hai , tải chứng chỉ, Khóa riêng tư và Gói CA lên máy chủ của bạn và mở dòng lệnh. Tất cả ba tệp có thể được cài đặt bằng một lệnh duy nhất:
aws iam upload-server-certificate --server-certificate-name certificate_object_name --certificate-body file://*path to your certificate file* --private-key file://*path to your private key file* --certificate-chain file://*path to your CA-bundle file*
Lưu ý: Khi bạn chỉ định tệp làm tham số (ví dụ: cho tham số certificate-bodyvà private-key), tệp: // phải được bao gồm dưới dạng một phần của tên tệp.
 
Lưu ý: Tham certificate_object_namesố được sử dụng để gán tên riêng của bạn cho chứng chỉ để bạn có thể xác định nó thêm.
 
Khi bạn tải lên các tệp chứng chỉ của mình, IAM sẽ xác thực các tệp nếu các tiêu chí sau được đáp ứng:
  1. Chứng chỉ phải ở định dạng X.509 PEM.
  2. Ngày hiện tại phải nằm giữa ngày phát hành và ngày hết hạn của chứng chỉ.
  3. Các tệp chứng chỉ và khóa riêng chỉ nên chứa một mục duy nhất, nghĩa là một tệp chứng chỉ và một khóa tương ứng.
  4. Khóa riêng tư phải khớp với chứng chỉ.
  5. Khóa cá nhân phải ở định dạng PEM, giống như chứng chỉ. Định dạng chính xác của văn bản trong tệp khóa phải bắt đầu bằng —– BEGIN RSA PRIVATE KEY —– và kết thúc bằng —– END RSA PRIVATE KEY —–.
  6. Khóa riêng tư không được mã hóa bằng mật khẩu.
Sau khi các tệp được tải lên, bạn có thể xác minh thông tin chứng chỉ trong IAM store bằng cách sử dụng lệnh sau:
aws iam get-server-certificate --server-certificate-name certificate_object_name
 
Đầu ra sẽ giống như sau:
arn:aws:iam::Your_AWS_Account_ID:server-certificate/Your_Certificate_Object_Name Certificate_Object_GUID

Your_AWS_Account_IDlà Tên tài nguyên Amazon (ARN) duy nhất và Certificate_Object_GUIDlà ID của chứng chỉ.
Đây là một ví dụ:
arn:aws:iam::123456789012:server-certificate/certificate_object_name ADGTHexampleLKBASAH
Các chữ số ở dòng đầu tiên là ARN và dòng thứ hai là ID chứng chỉ.

  • Nếu bạn cần cập nhật chứng chỉ cho trình cân bằng tải HTTPS , bạn sẽ cần sử dụng ARN của chứng chỉ. Lệnh sau được sử dụng trong trường hợp này để đặt chứng chỉ cho bộ cân bằng tải:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-loadbalancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/certificate_object_name
Tham số my-loadbalancerlà tên của bộ cân bằng tải của bạn.
Để biết thêm chi tiết về cách tạo bộ cân bằng tải HTTPS và đặt tên của nó, vui lòng xem hướng dẫn sau .

Cổng API AWS

Theo mặc định, Amazon API sử dụng liên kết truy cập mặc định giống như sau:
https://api-id.execute-api.region.amazonaws.com/stage
Trong một số trường hợp, việc thiết lập tên máy chủ tùy chỉnh cho nó sẽ thuận tiện hơn. Liên kết tùy chỉnh cũng có thể được bảo mật bằng chứng chỉ SSL.
Quá trình này tương tự như bảo mật bộ cân bằng tải.
  1. Đăng nhập vào bảng điều khiển Trình quản lý chứng chỉ AWS.
  2. Chọn tùy chọn Nhập chứng chỉ.
  3. Một biểu mẫu tương tự cho tải lên SSL sẽ mở ra.

  4. Dán mã tệp chứng chỉ làm “Nội dung chứng chỉ”, mã gói CA làm “Chuỗi chứng chỉ” và Mã khóa cá nhân làm “Khóa riêng tư chứng chỉ” và nhấp vào Tiếp theo .
  5. Lưu các thay đổi bằng cách chọn tùy chọn Xem lại và nhập .
  6. Chọn tùy chọn Tên miền tùy chỉnh từ menu Cổng API .
  7. Chọn tên miền tùy chỉnh của bạn.
  8. Nhấp vào Chỉnh sửa .
  9. Chọn SSL chính xác từ danh sách thả xuống và lưu các thay đổi.

Ghi nhớ! Có thể mất đến 40 phút để áp dụng chứng chỉ.
Ngoài ra, bạn cũng có thể cài đặt SSL thông qua domainname:updatelệnh gọi API thông qua dòng lệnh.
Bản thân yêu cầu sẽ trông như thế này:

PATCH /domainnames/*Your API domain name*

{
  "patchOperations" : [ {
  "op" : replace,
  "path" : *parameter used to identify the SSL*,
  "value" : *parameter value*,
  "from" : // optional parameter where you can specify what specific part of the application should use the SSL.
  } ]
}
Có thể tìm thấy thêm chi tiết về lệnh tại đây .

Amazon CloudFront

Amazon CloudFront là một dịch vụ web cho phép bạn tăng tốc độ phân phối nội dung ở các vị trí khác nhau bằng cách lưu một số nội dung vào bộ nhớ đệm đặc biệt.
Bạn có thể tải lên chứng chỉ SSL thông qua trình quản lý SSL hoặc thông qua dòng lệnh, như được mô tả ở trên .
Sau khi thêm SSL, cài đặt CloudFront cần được cập nhật như sau:

  1. Mở bảng điều khiển AWS của bạn và chuyển đến bảng điều khiển CloudFront .
  2. Chọn ID của thực thể CloudFront cần được cập nhật.
  3. Chuyển đến tab Chung và chọn Chỉnh sửa .

  4. Cập nhật Tên miền thay thế (CNAME) bằng (các) tên miền SSL của bạn và chọn SSL chính xác từ danh sách.

  5. Nhấp vào Có, Chỉnh sửa .
  6. Sau đó, bạn có thể chuyển đến tab Hành vi và đặt chuyển hướng từ HTTP sang HTTPS hoặc chỉ đặt Mặt tiền đám mây thành HTTPS.

SSL cũng có thể được thiết lập trong quá trình tạo thực thể CloudFront.
Lưu ý : Nếu bạn muốn sử dụng chứng chỉ ACM với Amazon CloudFront, hãy đảm bảo rằng bạn nhập chứng chỉ được lưu trữ ở vùng Đông Hoa Kỳ (N. Virginia). Nếu không, hãy sử dụng chứng chỉ được nhập vào IAM.
 
Bạn có thể xác minh rằng chứng chỉ đã được cài đặt chính xác bằng cách kiểm tra trực tiếp hoặc sử dụng trình kiểm tra trực tuyến, chẳng hạn như trình kiểm tra này .
0 7 minutes read
Photo of admin

admin

Related Articles

Công cụ soạn thảo nâng cao Advanced Editor Tools (trước đây là TinyMCE Advanced)

21 Tháng Bảy, 2022
Kiểm tra sự sẵn sàng

Cách cài đặt Mã nguồn mở Magento trên Ubuntu 16.04

21 Tháng Bảy, 2022
Ví dụ về cấu hình máy chủ đám mây

Cách cài đặt máy chủ mã trên Ubuntu 18.04

21 Tháng Bảy, 2022
Điều khiển ghi lại OpenLiteSpeed

Hướng dẫn cách cài đặt WordPress trên OpenLiteSpeed

21 Tháng Bảy, 2022

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Back to top button