Wie konfiguriere ich Elastic Beanstalk, um https mit einem ACM-Zertifikat zu verwenden?

Question

Ich habe den AWS-Zertifikat-Manager verwendet, um ein ACM-Zertifikat zu erstellen.

Ich folgte dieser Anleitung: https://medium.com/@arcdigital/enabling-ssl-via-aws-certificate-manager-on-elastic-beanstalk-b953571ef4f8#.kjh1mqdzq, um den Load Balancer mit dem AWS CLI zu konfigurieren.

Wenn ich meinen Loadbalancer sehen, ich sehe jetzt 443 (HTTPS, ACM Zertifizierung: [arn]) Weiterleitung auf 80 (HTTP) unter Portkonfiguration

Allerdings, wenn ich https in meinem Browser eingeben I Erhalten Sie die Nachricht "Ihre Verbindung ist nicht privat" von Chrome.

Gibt es einen weiteren Schritt, den ich vermisse?

Answer 1

Sie haben diese Information nicht angegeben, aber ich nehme an, dass Sie einen CNAME für www.yourdomain.com haben, der auf loadbalancer.amazonaws.com auflöst.

Sie erhalten den Fehler ERR_INSECURE_RESPONSE, weil Sie einen CNAME verwenden, der loadbalancer.amazonaws.com löst. Da Ihr Zertifikat für www.ihredomain.com lautet, gibt es einen gültigen Fehler. CNAME und Alias ​​verhalten sich etwas anders. Bei einem CNAME ist der Datenverkehr kein gültiger Alias ​​Ihrer Domain. Wenn Sie also versuchen, diesen zu sichern, erhalten Sie Fehler. Wenn Sie jedoch einen A-Eintrag für www und einen Alias ​​erstellen, der für loadbalancer.amazonaws.com gilt, ist der Datenverkehr von loadbalancer.amazonaws.com auf www.yourdomain.com jetzt ein gültiger Datenverkehr für Ihre Domain und Sie haben diese Fehler nicht mehr.

Um sicheren Verkehr für www.yourdomain.com bei loadbalancer.amazonaws.com zu beenden, müssen Sie einen A-Eintrag haben, der dort alias wird. Unglücklicherweise liefern ELBs nur einen DNS-Eintrag, keine IP-Adresse, aber viele DNS-Anbieter (z. B. GoDaddy) erlauben Ihnen nicht, einen DNS-A-Eintrag zu haben, der mit einer Alias-Adresse versehen ist. Sie erfordern, dass Sie eine IP-Adresse als Alias ​​verwenden. Was das Leben ein bisschen komplexer macht.

Es gibt mehrere Möglichkeiten, dies zu erreichen (URL-Weiterleitung und Maskierung wird von SSL nicht unterstützt), aber die einfachste Lösung ist Route 53. Für die Verwendung von Route 53 müssen Sie Ihren Namen nicht registrieren oder übertragen AWS und eine gehostete Zone kostet pro Domain nur $ 0,50 pro Monat. Um

verwenden Route 53 die folgenden Schritte aus:

• erstellen Hosted Zone für yourdomain.com. Wenn Sie in Route 53 eine Hosted Zone erstellen, werden einige Standarddatensätze (wie A-, NS- und SOA-Datensätze) ausgefüllt. Notieren Sie die NS-Datensätze, da Sie sie später benötigen.
• Kopieren Sie als Nächstes die vorhandenen Zonendateieinträge (wie MX-Datensätze) von Ihrem aktuellen DNS-Anbieter in Ihre neue gehostete Zone.
• Wenn es um einen Datensatz geht, dem Sie den Datenverkehr zu Ihrem ELB leiten möchten, geben Sie den Namen ein, sagen Sie www, und direkt unter dem Feld für die Typenoptionen wird eine Radiooption mit dem Hinweis "Alias: yes" angezeigt Nein". - - Wenn Sie Ja auswählen, wird das Wertfeld ausgeblendet und Sie sehen eine Option mit dem Text "Alias-Ziel: Zielname eingeben". Wenn Sie auf dieses Feld klicken, erhalten Sie eine Dropdown-Liste mit Ressourcen in Ihrem Konto, denen Sie einen Alias ​​zuweisen können. Wählen Sie einfach Ihren Lastenausgleich aus.
• Klicken Sie auf create, und Sie sind fertig mit Route 53. Nun, dass alle Ihre DNS-Datensätze kopiert werden, und Sie gehen zu Ihrem Registrar und ändern Sie die Nameserver zu denen, die Route 53 zur Verfügung gestellt.

Jetzt behandelt Route 53 Ihre DNS für Sie. Und loadbalancer.amazonaws.com ist ein gültiger Alias ​​von www.mydomain.com. Seit loadbalancer.amazonaws.com ist jetzt ein gültiger Alias ​​von www.yourdomain.com, wenn Sie www.yourdomain.com besuchen.com Ihr ELB bei loadbalancer.amazonaws.com wird den Verkehr als www.yourdomain.com beenden und Ihr Fehler wird behoben.