Fase 4: abilitazione del traffico HTTPS e verifica del certificato - AWS CloudHSM
Abilitazione delle connessioni HTTPS in entrataVerifica dell'utilizzo da parte di HTTPS del certificato configurato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 4: abilitazione del traffico HTTPS e verifica del certificato

Dopo aver configurato il server Web per l'offload SSL/TLS con AWS CloudHSM, aggiungi l'istanza del server Web a un gruppo di sicurezza che consenta il traffico HTTPS in entrata. Ciò consente ai client, come i browser Web, di stabilire una connessione HTTPS con il server Web. In seguito, crea una connessione HTTPS al tuo server Web e verifica che stia utilizzando il certificato configurato per l'offload SSL/TLS con AWS CloudHSM.

Abilitazione delle connessioni HTTPS in entrata

Per connetterti al server Web da un client (ad esempio un browser Web), crea un gruppo di sicurezza che consenta le connessioni HTTPS in entrata. Nello specifico, deve consentire le connessioni TCP in entrata sulla porta 443. Assegna questo gruppo di sicurezza al tuo server Web.

Per creare un gruppo di sicurezza per HTTPS e assegnarlo al server Web

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Gruppi di sicurezza nel riquadro di navigazione.

  3. Scegliere Crea gruppo di sicurezza.

  4. Per Crea un gruppo di sicurezza, procedere come segue:

    1. Per Security group name (Nome del gruppo di sicurezza), digitare un nome per il gruppo di sicurezza che si sta creando.

    2. (Facoltativo) Digitare una descrizione del gruppo di sicurezza in fase di creazione.

    3. Per VPC, scegli il VPC contenente l'istanza Amazon EC2 del server Web.

    4. Selezionare Add Rule (Aggiungi regola).

    5. Per Tipo, seleziona HTTPS dalla finestra a discesa.

    6. Per Origine, inserisci una posizione di origine.

    7. Scegliere Create Security Group (Crea gruppo di sicurezza).

  5. Nel riquadro di navigazione, seleziona Instances (Istanze).

  6. Seleziona la casella di controllo accanto all'istanza del server Web.

  7. Seleziona il menu a discesa Operazioni nella parte superiore della pagina. Seleziona Sicurezza, quindi Modifica gruppi di sicurezza.

  8. Per Gruppi di sicurezza associati, seleziona la casella di ricerca e scegli il gruppo di sicurezza creato per HTTPS. Quindi, scegli Aggiungi i gruppi di sicurezza.

  9. Seleziona Save (Salva).

Verifica dell'utilizzo da parte di HTTPS del certificato configurato

Dopo avere aggiunto il server Web a un gruppo di sicurezza, puoi verificare che l'offload SSL/TLS stia utilizzando il certificato auto-firmato. Per farlo, puoi utilizzare un browser Web o uno strumento come OpenSSL s_client.

Per verificare l'offload SSL/TLS con un browser Web

  1. Utilizza un browser Web per connetterti al server Web utilizzando il nome DNS pubblico o l'indirizzo IP del server. Accertarsi che l'URL nella barra degli indirizzi inizi con https://. Ad esempio, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    Suggerimento

    Puoi utilizzare un servizio DNS come Amazon Route 53 per instradare il nome del dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico a un'istanza Amazon EC2 nella Guida per gli sviluppatori di Amazon Route 53 oppure nella documentazione del servizio DNS in uso.

  2. Utilizza il browser Web per visualizzare il certificato del server Web. Per ulteriori informazioni, consulta gli argomenti seguenti:

    Altri browser Web potrebbero avere caratteristiche simili da utilizzare per visualizzare il certificato del server Web.

  3. Assicurati che il certificato SSL/TLS corrisponda a quello configurato per l'uso da parte del server Web.

Per verificare l'offload SSL/TLS con OpenSSL s_client

  1. Esegui il seguente comando OpenSSL per connetterti al server Web tramite HTTPS. Sostituisci <server name> con il nome DNS pubblico o l'indirizzo IP del tuo server Web. 

    openssl s_client -connect <server name>:443
    Suggerimento

    Puoi utilizzare un servizio DNS come Amazon Route 53 per instradare il nome del dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico a un'istanza Amazon EC2 nella Guida per gli sviluppatori di Amazon Route 53 oppure nella documentazione del servizio DNS in uso.

  2. Assicurati che il certificato SSL/TLS corrisponda a quello configurato per l'uso da parte del server Web.

A questo punto disponi di un sito Web protetto con HTTPS. La chiave privata del server Web è archiviata in un modulo HSM nel tuo cluster AWS CloudHSM.

Per aggiungere un sistema di bilanciamento del carico, consulta la pagina Aggiunta di un sistema di bilanciamento del carico con Elastic Load Balancing (facoltativo).