Configuration de HTTPS pour votre environnement Elastic Beanstalk

Si vous avez acheté et configuré un nom de domaine personnalisé pour votre environnement Elastic Beanstalk, vous pouvez utiliser HTTPS pour permettre aux utilisateurs de se connecter à votre site web en toute sécurité. Si vous ne possédez pas un nom de domaine, vous pouvez toujours utiliser HTTPS avec un certificat auto-signé à des fins de développement et de test. HTTPS est une nécessité pour n'importe quelle application qui transmet des informations de connexion ou des données utilisateur.

La façon la plus simple d'utiliser HTTPS avec un environnement Elastic Beanstalk consiste à attribuer un certificat serveur à l'équilibreur de charge de votre environnement. Lorsque vous configurez votre équilibreur de charge pour résilier HTTPS, la connexion entre le client et l'équilibreur de charge est sécurisée. Les connexions backend entre l'équilibreur de charge et les instances EC2 utilisent HTTP. Ainsi, aucune configuration supplémentaire des instances n'est requise.

Note

Avec AWS Certificate Manager (ACM), vous pouvez créer gratuitement un certificat de confiance pour vos noms de domaine. Les certificats ACM ne peuvent être utilisés qu'avec des équilibreurs de charge AWS et des distributions Amazon CloudFront, et ACM est disponible uniquement dans certaines régions AWS.

Pour utiliser un certificat ACM avec Elastic Beanstalk, veuillez consulter Configuration de l'équilibreur de charge de votre environnement Elastic Beanstalk pour résilier les connexions HTTPS.

Si vous exécutez votre application dans un environnement d'instance unique, ou que vous avez besoin de sécuriser la connexion intégralement vers les instances EC2 derrière l'équilibreur de charge, vous pouvez configurer le serveur proxy qui s'exécute sur l'instance pour résilier HTTPS. La configuration de vos instances pour résilier des connexions HTTPS nécessite l'utilisation de fichiers de configuration pour modifier le logiciel s'exécutant sur les instances et pour modifier les groupes de sécurité pour autoriser des connexions sécurisées.

Pour un HTTPS intégral dans un environnement à charge équilibrée, vous pouvez combiner la résiliation instance et équilibreur de charge pour chiffrer les deux connexions. Par défaut, si vous configurez l'équilibreur de charge pour acheminer le trafic à l'aide de HTTPS, il va faire confiance à n'importe quel certificat qui lui est présenté par les instances backend. Pour une sécurité optimale, vous pouvez attacher des stratégies à l'équilibreur de charge qui l'empêchent de se connecter aux instances qui ne présentent pas un certificat public auquel il fait confiance.

Note

Vous pouvez également configurer l'équilibreur de charge pour relayer le trafic HTTPS sans le déchiffrer. L'inconvénient de cette méthode est que l'équilibreur de charge ne peut pas voir les demandes et ne peut donc pas optimiser le routage ou signaler les métriques de réponse.

Si ACM n'est pas disponible dans votre région, vous pouvez acheter un certificat de confiance auprès d'un tiers. Un certificat tiers peut être utilisé pour déchiffrer le trafic HTTPS au niveau de votre équilibreur de charge, sur les instances backend, ou les deux.

Pour le développement et les tests, vous pouvez créer et signer un certificat vous-même avec des outils open source. Les certificats auto-signés sont gratuits et faciles à créer, mais ne peuvent pas être utilisés pour le déchiffrement frontal sur les sites publics. Si vous essayez d'utiliser un certificat auto-signé pour une connexion HTTPS à un client, le navigateur de l'utilisateur affiche une erreur indiquant que votre site web n'est pas sécurisé. Vous pouvez, toutefois, utiliser un certificat auto-signé pour sécuriser les connexions backend sans problème.

ACM est l'outil le plus adéquat pour allouer, gérer et déployer vos certificats de serveur par programmation ou à l'aide de l' AWS CLI. Si ACM n'est pas disponible dans votre région AWS, vous pouvez charger un certificat tiers ou auto-signé et une clé privée dans AWS Identity and Access Management (IAM) à l'aide de l'AWS CLI. Les certificats stockés dans IAM peuvent être utilisés avec les équilibreurs de charge et les distributions CloudFront.

Note

L'exemple d'application Does it have Snakes? sur GitHub inclut des instructions et des fichiers de configuration pour chaque méthode de configuration de HTTPS avec une application web Tomcat. Consultez le fichier readme et les instructions HTTPS pour plus de détails.

Rubriques

• Création et signature d'un certificat X509
• Chargement d'un certificat dans IAM
• Configuration de l'équilibreur de charge de votre environnement Elastic Beanstalk pour résilier les connexions HTTPS
• Configuration de votre application pour suspendre des connexions HTTPS sur l'instance
• Configuration du chiffrement de bout en bout dans un environnement Elastic Beanstalk à charge équilibrée
• Configuration de l'équilibreur de charge de votre environnement pour TCP Passthrough
• Stockage sécurisé des clés privées dans Amazon S3
• Configuration de la redirection HTTP vers HTTPS