Amazon biedt gratis SSL-certificaten voor gebruik met veel van hun diensten. Als u EC2 al gebruikt voor webhosting, kunt u een Load Balancer vóór uw server toevoegen om uw verkeer via HTTPS te beveiligen.
Wat is een SSL-certificaat?
SSL is de coderingsmethode die wordt gebruikt om HTTPS-verbindingen te beveiligen, en als uw site hiermee is versleuteld, zullen de browsers van uw gebruiker het hangslotsymbool in de URL-balk tonen. Een SSL-certificaat is vereist om SSL te gebruiken, en u kunt er een krijgen van een certificeringsinstantie (CA). De CA treedt op als een derde partij om te verifiëren dat uw verbinding legitiem is en dat u bent wie u beweert te zijn (d.w.z. niemand probeert uw verbinding te beïnvloeden).
Veel CA's vragen honderden dollars voor certificaten, maar je kunt ze op een paar plaatsen gratis krijgen. Amazon Web Services biedt ze gratis aan als je hun Load Balancers gebruikt, maar de Load Balancers zelf kosten $ 16+ per maand. Als dit geen optie is, kunt u nog steeds gratis SSL-certificaten krijgen van LetsEncrypt, die u handmatig op uw webserver moet installeren.
Niets weerhoudt u ervan LetsEncrypt te gebruiken met AWS EC2-instanties, of zelfs Load Balancers, maar de certificaten van AWS zijn beter configureerbaar en werken met andere AWS-services. Als u bijvoorbeeld AWS Cloudfront gebruikt, kunt u hetzelfde SSL-certificaat gebruiken dat u voor de load balancer genereert, zonder dat u zich zorgen hoeft te maken over het afzonderlijk vernieuwen ervan.
GERELATEERD:< /strong> Hoe werken de gratis HTTPS/SSL-certificaten van LetsEncrypt?
Maak een nieuw SSL-certificaat aan vanuit AWS Certificate Manager
Voor de doeleinden van deze handleiding gaan we ervan uit dat u EC2 al tot op zekere hoogte gebruikt en dat er een webserver actief is. Het maakt niet uit welk type webserver je gebruikt, aangezien het certificaat alleen in de Load Balancer wordt geïnstalleerd, maar je hebt nog steeds iets nodig om de inhoud te serveren.
Advertentie
Je hebt ook toegang nodig tot je domeinnaaminstellingen, zowel om nieuwe records toe te voegen om je domein te verifiëren, als om je domein naar de nieuwe Load Balancer te verwijzen zodra het klaar is.
Klik in de EC2 Management Console op “Services” in de bovenste balk en zoek naar “certificaat.” Open Certificaatbeheer.
Klik op “ Aan de slag” onder “Provision Certificates.”
Dit certificaat wordt gebruikt voor het beveiligen van verbindingen via internet, dus het moet openbaar zijn. Selecteer “openbaar” en klik op “Verzoek.”
Nu kunt u uw domeinnaam aan het certificaat toevoegen. AWS-certificaten ondersteunen jokertekens, dus het kan handig zijn om ook “*.uwdomein.com” op te nemen om eventuele subdomeinen te beveiligen. Voeg een willekeurig domein toe en klik op “Volgende.”
Nu moet u uw domein verifiëren. AWS biedt twee soorten verificatie: DNS en e-mail.
DNS vereist dat u een CNAME-record aan uw domeinnaam toevoegt. Als je AWS Route 53 als je DNS-provider gebruikt, is dit eenvoudig, maar als je iets anders gebruikt, kan het proces uren duren om te verifiëren.
Advertentie
E-mail duurt slechts enkele minuten. AWS stuurt een e-mail naar de geregistreerde WHOIS-contactpersoon, evenals 'admin@uwdomein.com' en enkele andere veelvoorkomende e-mails van webbadmin. Als je geen privé e-mailadres voor je domein hebt, kun je meestal het doorsturen van e-mail naar een openbaar Gmail-account instellen via de instellingen van je registrar, wat net zo goed werkt.
Als je gaat met DNS-verificatie, kopieer de “Naam” en “Waarde” uit de vervolgkeuzelijst van het domein. Als u meerdere domeinen verifieert, controleer dan of de waarden verschillend zijn, aangezien u ze mogelijk afzonderlijk moet verifiëren.
Voeg vanuit de instellingen van uw DNS-provider een nieuw CNAME-record toe en plak de naam en waarde in het formulier (deze interface is afhankelijk van uw provider).
Hoewel DNS maar een paar minuten duurt om te verspreiden, kan AWS een paar uur duren om het domein te valideren, dus pak er misschien wat lunch. Als je e-mailverificatie gebruikt, duurt het maar een paar minuten nadat je op de link in je e-mail hebt geklikt.
Als het klaar is, ziet u de oranje “Pending validation” overschakelen naar een groene “Uitgegeven.” U hoeft niets te downloaden; het certificaat is automatisch bruikbaar in andere AWS-services.
Stel een load balancer in met uw nieuwe certificaat
Zodra het certificaat is gemaakt, is het klaar om te worden geïnstalleerd in een Loadbalancer. AWS Load Balancers werken als proxy's met meerdere eindpunten, die verkeer van één openbaar IP-adres naar vele privé IP-adressen kunnen doorsturen en de belasting daartussen kunnen verdelen.
Advertentie
We zullen er een instellen om te luisteren op de openbare HTTPS-poort 443 en het verkeer door te sturen naar poort 443 op uw webserver. De webserverpoort kan anders zijn, zoals poort 8080, aangezien de verbinding tussen load balancer en webserver intern is, maar we gaan ervan uit dat uw webserver al poort 443 open heeft staan. Als dat niet het geval is, moet u het openen vanuit de beveiligingsregels van uw EC2-instantie.
Scrol in de EC2-beheerconsole omlaag in de zijbalk om “Load Balancers” en klik op “Load Balancer maken.”
Er zijn een paar soorten Load Balancer die op verschillende niveaus werken, maar voor de eenvoud kiezen we “Application Load Balancer,” die basis HTTP en HTTPS in evenwicht houdt.
Van de opties, geef het een interne naam en voeg een HTTPS-listener toe. Het zou standaard op poort 443 moeten staan, de standaard voor HTTPS.
Klik op volgende om naar “Beveiligingsinstellingen configureren” en u krijgt een optie te zien om een certificaat te kiezen (of uw eigen certificaat te uploaden als u een andere SSL-service gebruikt). Selecteer “Kies een certificaat van ACM,” en selecteer uw certificaat in de vervolgkeuzelijst. Als je het niet ziet, probeer dan op het groene vernieuwingspictogram te klikken, en als het er nog steeds niet is, controleer dan je instellingen in Certificaatbeheer.
Klik op volgende om naar “Beveiligingsgroepen configureren” en maak een nieuwe beveiligingsgroep. Het zal standaard poort 80 en 443 open hebben, wat je waarschijnlijk wilt.
Advertentie
Klik op volgende om naar “Rotting configureren,” en voer een interne naam in voor de doelgroep. Zorg ervoor dat het protocol is ingesteld op HTTPS.
Klik op volgende om naar “Register Targets,” en voer het privé-IP-adres van uw EC2-instantie(s) in, die u kunt vinden in de EC2-beheerconsole. Als je ze correct hebt ingevoerd, zou de interface de instantie-ID en de zone waarin deze zich bevindt moeten tonen.
Klik op volgende om naar de recensie te gaan en als alles er goed uitziet, klikt u op “Maken” om uw Load Balancer in te stellen.
Ga terug naar de EC2 Management Console en klik op het tabblad Load Balancers. Het duurt een paar minuten, maar zodra uw balancer is ingesteld, kunt u het DNS-adres kopiëren. Het werkelijke IP-adres van uw Load Balancer zal veranderen, maar het DNS-adres zal er altijd naar verwijzen.
U wilt uw bestaande IP uw domeinnaam vervangen door dit adres, zodat bezoekers naar uw Load Balancer worden verwezen, die de verbinding beveiligt en naar uw EC2 verwijst webserver (of servers).
Ditzelfde certificaat werkt met veel andere AWS-services; Als u bijvoorbeeld *.uwdomein.com met het certificaat heeft geregistreerd, kunt u S3-content aanbieden via Cloudfront op media.uwdomein.com met hetzelfde certificaat. Je kunt ze niet handmatig downloaden, dus ze zijn altijd vergrendeld voor AWS-services en worden beheerd door Amazon.