web-dev-qa-db-fra.com

Installer le certificat SSL AWS sur une instance EC2 sans équilibreur de charge

Je suis nouveau avec AWS et je fais face à une certaine confusion avec l'installation du certificat SSL ACM sur une instance EC2.

Est-il possible d'installer le certificat sans utiliser ELB ou Cloudfront. Je n'ai pas besoin d'équilibreur de charge car l'application s'exécute sur une seule instance.

Ai-je une autre option pour installer le certificat SSL AWS? Si le répartiteur de charge est la seule option, est-il possible pour une seule instance uniquement?

Merci d'avance pour vos réponses

9
kevenlolo

Les certificats obtenus via Amazon Certificate Manager (ACM) ne peuvent être installés que sur Elastic Load Balancers, CloudFront, API Gateway et d'autres services AWS. Ils ne peuvent pas être exportés ou installés directement sur des instances EC2.

Si vous souhaitez installer un certificat SSL directement sur votre instance EC2, vous ne pouvez pas utiliser ACM. Au lieu de cela, vous devrez obtenir un certificat SSL auprès d'un tiers (comme Lets Encrypt, GoDaddy, etc.) et l'installer en suivant les instructions de votre serveur Web.

Il est 100% valide de mettre un ELB devant une seule instance EC2, notamment dans le but de laisser l'ELB gérer le certificat SSL.

Autres avantages de l'utilisation d'ELB devant votre instance EC2:

  • Vous obtiendrez la protection d'AWS Shield (qui fournit certains niveaux de protection DDoS),
  • Vous pouvez remplacer l'instance EC2 ou évoluer plus facilement si nécessaire à l'avenir,
  • L'ELB gérera le cryptage/décryptage des connexions HTTPS (libérant le CPU de votre instance EC2 pour effectuer d'autres travaux)
8
Matt Houser

Vous devrez installer le certificat pour tout logiciel serveur que vous exécutez sur votre instance. par exemple Apache, nginx, Tomcat, nodejs. Chacun d'eux a son propre mécanisme d'utilisation des certificats. Lisez leur documentation.

De plus, si vous avez configuré la résolution DNS pour votre IP publique d'instance (assurez-vous que vous utilisez une adresse IP élastique), vous pouvez utiliser certbot de Let's Encrypt pour automatiser ce processus. vérifier https://certbot.eff.org/ . Il prend en charge plusieurs environnements prêts à l'emploi. et ses certificats SSL gratuits.

2
Prabhat