Alternativas para ativar o SSL no EC2

1

Eu tenho uma instância existente do AWS EC2 que contém um servidor de aplicativos e um servidor da Web (apache). Meu DNS externo direciona o tráfego de www.x.com, api.x.com, oa.x.com para a instância por meio de seu IP elástico. O site www.x.com é exibido no servidor da web e os outros subdomínios são exibidos no servidor de aplicativos. Todo o tráfego é HTTPS e o letsencrypt é instalado no EC2 para os certificados SSL. Isso funciona bem.

Agora estou rolando uma nova instância do EC2, pois a existente é muito pequena e começa a se comportar de maneira estranha. Tudo está bem, exceto eu não posso instalar o letsencrypt na nova instância. Depois de ler sobre isso, descobri que isso não é realmente suportado, e é por isso que decidi usar os certificados da AWS (ACM).

No entanto, dois dias depois, ainda não consegui fazer o SSL funcionar. Eu tentei criar uma distribuição do Cloudfront. O SSL funciona bem entre o Cliente e a Cloudfront, mas não consigo obter o tráfego entre o Cloudfront e o EC2 para usar o SSL.

Q1: É possível obter SSL / HTTPS entre o Cloudfront e o EC2 sem outros nós / componentes (como balanceadores de carga)?

Q2: É melhor / mais fácil obter SSL / HTTPS na minha configuração se eu adicionar um balanceador de carga na frente da instância do EC2 (mesmo que eu tenha apenas uma instância)?

Q3: alguma outra opção?

Espero que alguém possa me apontar na direção certa, isso me deixa louco, especialmente porque é sexta à noite :-) Felicidades!

    
por jola 12.10.2018 / 17:55

2 respostas

2

Vamos criptografar

Vamos Criptografar funciona com qualquer host na Internet pública, incluindo a AWS. Eu uso o Let's Encrypt na minha instância do AWS EC2 e você já usou o LE no EC2 anteriormente. Estou confuso porque você acha que o LE não funciona com a AWS.

Eu tenho um tutorial sobre EC2 / LE aqui . O número da versão do software que eu uso "ACME" é potencialmente uma versão antiga agora, se você usar, deve procurar uma nova versão.

Tamanho da instância

Se você precisar de uma instância maior, basta interromper sua instância, alterar o tamanho e iniciá-la novamente. Se você precisar de um volume EBS maior, poderá expandir o volume.

Gestor de Certificados da AWS

Esta declaração sobre as Perguntas frequentes sobre o ECM é um pouco confusa e sugere que você não pode usar certificados públicos do ACM no EC2 instâncias.

P: Posso usar certificados em instâncias do Amazon EC2 ou em meus próprios servidores?

Você pode usar certificados privados emitidos com a CA privada do ACM com instâncias do EC2, contêineres e em seus próprios servidores. No momento, os certificados públicos do ACM podem ser usados apenas com serviços específicos da AWS. Consulte Com quais serviços da AWS posso usar certificados do ACM?

Conclusão

Sugiro que você volte a usar o Let's Encrypt. Se você precisar de ajuda, por favor, comece outra pergunta dizendo o que você está tentando alcançar, o que não está funcionando e mostre todos os registros relevantes.

    
por 12.10.2018 / 20:11
2

Isso vai parecer um exagero, mas funciona muito bem. Configure um balanceador de carga de aplicativo voltado para o público na frente da instância do EC2 e faça o protocolo HTTP & HTTPS HTTP Termination com o Load Balancer. Isso facilitará a troca de certificados se você precisar no nível da AWS em vez do nível da instância. Atualize o DNS para apontar para o Load Balancer em vez da instância do EC2. Há um custo associado a isso, mas provavelmente resolveria o problema com certeza.

    
por 12.10.2018 / 21:37