Amazon offre certificati SSL gratuiti da utilizzare con molti dei suoi servizi. Se stai già utilizzando EC2 per l'hosting web, puoi aggiungere un Load Balancer davanti al tuo server per proteggere il tuo traffico su HTTPS.
Che cos'è un certificato SSL?
SSL è il metodo di crittografia utilizzato per proteggere le connessioni HTTPS e, se il tuo sito è crittografato con esso, i browser dell'utente mostreranno il simbolo del lucchetto nella barra degli URL. Per utilizzare SSL è necessario un certificato SSL e puoi ottenerne uno da un'autorità di certificazione (CA). La CA agisce come una terza parte per verificare che la tua connessione sia legittima e che tu sia chi dichiari di essere (cioè, nessuno sta cercando di intervenire sulla tua connessione).
Molte CA addebitano centinaia di dollari per i certificati, ma puoi ottenerli gratuitamente da alcuni posti. Amazon Web Services li offre gratuitamente se utilizzi i loro Load Balancer, ma gli stessi Load Balancer costano $ 16+ al mese. Se questa non è un'opzione, puoi comunque ottenere certificati SSL gratuiti da LetsEncrypt, che dovrai installare manualmente nel tuo server web.
Non c'è nulla che ti impedisca di utilizzare LetsEncrypt con le istanze AWS EC2 o anche con i Load Balancer, ma i certificati AWS sono più configurabili e funzionano con altri servizi AWS. Ad esempio, se utilizzi AWS Cloudfront, puoi utilizzare lo stesso certificato SSL che generi per il sistema di bilanciamento del carico, senza doversi preoccupare di rinnovarli singolarmente.
RELAZIONI:< /strong> Come funzionano i certificati HTTPS/SSL gratuiti di LetsEncrypt?
Crea un nuovo certificato SSL da AWS Certificate Manager
Ai fini di questa guida, supponiamo che tu stia già utilizzando EC2 in una certa misura e che tu abbia un server web in esecuzione. Non importa quale tipo di server web stai eseguendo, dal momento che il certificato verrà installato solo nel Load Balancer, ma avrai comunque bisogno di qualcosa dietro per servire il contenuto.
Pubblicità
Dovresti anche accedere alle impostazioni del tuo nome di dominio, sia per aggiungere nuovi record per verificare il tuo dominio, sia per indirizzare il tuo dominio al nuovo Load Balancer una volta terminato.
Dalla console di gestione EC2, fai clic su “Servizi” nella barra in alto e cerca “certificato.” Apri Gestione certificati.
Fai clic su “ Inizia” in “Certificati di fornitura.”
Questo certificato verrà utilizzato per proteggere le connessioni su Internet, quindi dovrebbe essere pubblico. Seleziona “pubblico” e fai clic su “Richiedi.”
Ora puoi aggiungere il tuo nome di dominio al certificato. I certificati AWS supportano i caratteri jolly, quindi potrebbe essere utile includere anche “*.tuodominio.com” per proteggere eventuali sottodomini che potresti avere. Aggiungi qualsiasi dominio di cui hai bisogno, quindi fai clic su “Avanti.”
Ora devi verificare il tuo dominio. AWS offre due tipi di verifica: DNS ed e-mail.
Il DNS ti richiederà di aggiungere un record CNAME al tuo nome di dominio. Se utilizzi AWS Route 53 come provider DNS, è facile, ma se stai utilizzando qualcos'altro, il processo può richiedere ore per la verifica.
Pubblicità
L'e-mail richiede solo pochi minuti. AWS invierà un'email al contatto WHOIS registrato, oltre a “admin@yourdomain.com” e alcune altre email comuni di webadmin. Se non disponi di un'email privata per il tuo dominio, di solito puoi impostare l'inoltro della posta a un account Gmail pubblico dalle impostazioni del tuo registrar, che funzionerà altrettanto bene.
Se stai andando con la verifica DNS, copia il “Nome” e “Valore” dal menu a discesa del dominio. Se stai verificando più domini, controlla se i valori sono diversi, poiché potresti doverli verificare singolarmente.
Dalle impostazioni del tuo provider DNS, aggiungi un nuovo record CNAME e incolla il nome e il valore nel modulo (questa interfaccia varierà a seconda del tuo provider).
Mentre il DNS impiega solo pochi minuti per propagarsi, AWS potrebbe impiegare alcune ore per convalidare il dominio, quindi magari prendine un po' il pranzo. Se stai utilizzando la verifica dell'e-mail, dovrebbero essere necessari solo pochi minuti dopo aver fatto clic sul collegamento nell'e-mail.
Al termine, dovresti vedere l'icona arancione “In attesa di convalida” passa a un verde “Rilasciato.” Non dovrai scaricare nulla; il certificato è automaticamente utilizzabile in altri servizi AWS.
Configura un sistema di bilanciamento del carico con il tuo nuovo certificato
Una volta creato, il certificato è pronto per essere installato in un Bilanciamento del carico. Gli AWS Load Balancer funzionano come proxy con più endpoint, in grado di inoltrare il traffico da un indirizzo IP pubblico a molti indirizzi IP privati e bilanciare il carico tra di essi.
Pubblicità
Ne imposteremo uno per ascoltare sulla porta HTTPS pubblica 443 e inoltrare il traffico alla porta 443 sul tuo server web. La porta del server Web può essere diversa, come la porta 8080, poiché la connessione tra il sistema di bilanciamento del carico e il server Web è interna, ma supponiamo che il tuo server Web abbia già la porta 443 aperta. In caso contrario, dovrai aprirlo dalle regole di sicurezza dell'istanza EC2.
Dalla console di gestione EC2, scorrere verso il basso la barra laterale per trovare “Load Balancers” e fai clic su “Crea Load Balancer.”
Esistono alcuni tipi di Load Balancer che funzionano a diversi livelli, ma per semplicità sceglieremo “Application Load Balancer,” che bilancia HTTP e HTTPS di base.
Dalle opzioni, assegnagli un nome interno e aggiungi un listener HTTPS. Dovrebbe essere la porta 443, lo standard per HTTPS.
Fare clic su Avanti per andare a “Configura impostazioni di sicurezza” e ti verrà presentata un'opzione per scegliere un certificato (o caricarne uno tuo, se stai utilizzando un servizio SSL diverso). Seleziona “Scegli un certificato da ACM,” e seleziona il tuo certificato dal menu a discesa. Se non lo vedi, prova a premere l'icona di aggiornamento verde e, se ancora non è presente, dovresti controllare le tue impostazioni in Gestione certificati.
Fare clic su Avanti per andare a “Configura gruppi di sicurezza,” e creare un nuovo gruppo di sicurezza. Per impostazione predefinita, le porte 80 e 443 sono aperte, che è probabilmente ciò che desideri.
Annuncio
Fai clic su Avanti per andare a “Configura routing,” e immettere un nome interno per il gruppo di destinazione. Assicurati che il protocollo sia impostato su HTTPS.
Fai clic su Avanti per andare a “Registra obiettivi,” e inserisci l'indirizzo IP privato delle tue istanze EC2, che puoi trovare dalla console di gestione EC2. Se li hai inseriti correttamente, l'interfaccia dovrebbe mostrare l'ID istanza e la zona in cui si trova.
Fai clic su Avanti per andare alla recensione e, se tutto sembra a posto, fai clic su “Crea” per configurare il tuo Load Balancer.
Torna alla console di gestione EC2 e fai clic sulla scheda Load Balancer. Ci vorranno alcuni minuti, ma una volta configurato il tuo bilanciatore sarai in grado di copiare l'indirizzo DNS. L'effettivo indirizzo IP del tuo Load Balancer cambierà, ma l'indirizzo DNS punterà sempre ad esso.
Desideri sostituire il tuo IP esistente il tuo nome di dominio con questo indirizzo, in modo che i visitatori vengano indirizzati verso il tuo Load Balancer, che proteggerà la connessione e li indirizzerà verso il tuo EC2 server web (o server).
Questo stesso certificato funzionerà con molti altri servizi AWS; ad esempio, se hai registrato *.tuodominio.com con il certificato, sarai in grado di offrire contenuti S3 tramite Cloudfront su media.tuodominio.com utilizzando lo stesso certificato. Non puoi scaricarli manualmente, quindi saranno sempre bloccati sui servizi AWS e gestiti da Amazon.