Schritt 4: Aktivieren von HTTPS-Datenverkehr und Verifizieren des Zertifikats - AWS CloudHSM
Aktivieren von eingehenden HTTPS-VerbindungenVerifizieren, dass HTTPS das konfigurierte Zertifikat verwendet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 4: Aktivieren von HTTPS-Datenverkehr und Verifizieren des Zertifikats

Nachdem Sie Ihren Webserver für den SSL/TLS-Offload mit konfiguriert haben AWS CloudHSM, fügen Sie Ihre Webserver-Instanz einer Sicherheitsgruppe hinzu, die eingehenden HTTPS-Verkehr zulässt. Dadurch können Clients, wie z. B. Webbrowser, eine HTTPS-Verbindung mit Ihrem Webserver herstellen. Stellen Sie dann eine HTTPS-Verbindung zu Ihrem Webserver her und stellen Sie sicher, dass er das Zertifikat verwendet, mit dem Sie für den SSL/TLS-Offload konfiguriert haben. AWS CloudHSM

Aktivieren von eingehenden HTTPS-Verbindungen

Zum Herstellen einer Verbindung zu Ihrem Webserver von einem Client (z. B. ein Webbrowser) aus, erstellen Sie eine Sicherheitsgruppe, die eingehende HTTPS-Verbindungen zulässt. Insbesondere sollten eingehende TCP-Verbindungen auf Port 443 erlaubt werden. Weisen Sie diese Sicherheitsgruppe Ihrem Webserver zu.

So erstellen Sie eine Sicherheitsgruppe für HTTPS und weisen sie Ihrem Webserver zu

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Sicherheitsgruppe erstellen.

  4. Führen Sie für Sicherheitsgruppe erstellen die folgenden Schritte aus:

    1. Geben Sie in das Feld Sicherheitsgruppenname einen Namen für die Sicherheitsgruppe ein, die Sie erstellen.

    2. (Optional) Geben Sie eine Beschreibung der Sicherheitsgruppe ein, die Sie erstellen.

    3. Wählen Sie für VPC die VPC aus, die Ihre Amazon-EC2-Instance enthält.

    4. Wählen Sie Regel hinzufügen aus.

    5. Wählen Sie im Drop-down-Fenster für Typ die Option HTTPS aus.

    6. Geben Sie für Quelle einen Quellspeicherort ein.

    7. Wählen Sie Sicherheitsgruppe erstellen aus.

  5. Wählen Sie im Navigationsbereich Instances aus.

  6. Aktivieren Sie das Kontrollkästchen neben Ihrer Webserver-Instance.

  7. Wählen Sie das Drop-down-Menü Aktionen oben auf der Seite. Wählen Sie Sicherheit und dann Sicherheitsgruppen ändern aus.

  8. Wählen Sie unter Zugeordnete Sicherheitsgruppen das Suchfeld aus und wählen Sie die Sicherheitsgruppe, die Sie für HTTPS erstellt haben, aus. Wählen Sie dann Sicherheitsgruppen hinzufügen aus.

  9. Wählen Sie Speichern.

Verifizieren, dass HTTPS das konfigurierte Zertifikat verwendet

Nachdem Sie den Webserver zu einer Sicherheitsgruppe hinzugefügt haben, können Sie überprüfen, ob beim SSL/TLS-Offload Ihr selbstsigniertes Zertifikat verwendet wird. Sie können dazu einen Webbrowser oder ein Tool wie OpenSSL s_client nutzen.

So überprüfen Sie die SSL/TLS-Auslagerung mit einem Webbrowser

  1. Verwenden Sie einen Web-Browser, um eine Verbindung zum Webserver unter Verwendung des öffentlichen DNS-Namen oder der IP-Adresse des Servers herzustellen. Stellen Sie sicher, dass die URL in die Adresszeile mit https:// beginnt. z. B. https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    Tipp

    Sie können einen DNS-Service wie Amazon Route 53 nutzen, um den Domainnamen Ihrer Website (beispielsweise https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing des Datenverkehrs zu einer Amazon-EC2-Instance im Entwicklerleitfaden zu Amazon Route 53 oder in der Dokumentation für Ihren DNS-Service.

  2. Zeigen Sie das Webserverzertifikat mit Ihrem Webbrowser an. Weitere Informationen finden Sie hier:

    • Wenn Sie Mozilla Firefox nutzen, sehen Sie sich die Informationen auf der Mozilla Support-Website unter Zertifikat anzeigen an.

    • Wenn Sie Google Chrome verwenden, sehen Sie sich die Informationen auf der „Google Tools für Web Developers“-Website unter Sicherheitsprobleme verstehen an.

    Andere Webbrowser unterstützen möglicherweise ähnliche Funktionen, über die Sie das Webserverzertifikat anzeigen können.

  3. Stellen Sie sicher, dass das SSL/TLS-Zertifikat dasjenige ist, das Sie für die Nutzung in Ihrem Webserver konfiguriert haben.

So überprüfen Sie die SSL/TLS-Auslagerung mit OpenSSL s_client

  1. Führen Sie den folgenden OpenSSL-Befehl aus, um mittels HTTPS eine Verbindung zu Ihrem Webserver herzustellen. Ersetzen Sie server name> durch den öffentlichen DNS-Namen oder die IP-Adresse Ihres Webservers. 

    openssl s_client -connect <server name>:443
    Tipp

    Sie können einen DNS-Service wie Amazon Route 53 nutzen, um den Domainnamen Ihrer Website (beispielsweise https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing des Datenverkehrs zu einer Amazon-EC2-Instance im Entwicklerleitfaden zu Amazon Route 53 oder in der Dokumentation für Ihren DNS-Service.

  2. Stellen Sie sicher, dass das SSL/TLS-Zertifikat dasjenige ist, das Sie für die Nutzung in Ihrem Webserver konfiguriert haben.

Sie verfügen jetzt über eine mit HTTPS gesicherte Website. Der private Schlüssel für den Webserver wird in einem HSM in Ihrem Cluster gespeichert. AWS CloudHSM

Informationen zum Hinzufügen eines Load Balancers finden Sie unter Load Balancer mit Elastic Load Balancing hinzufügen (optional).