Configurazione del protocollo HTTPS per l'ambiente Elastic Beanstalk

Se hai acquistato e configurato un nome di dominio personalizzato per l'ambiente Elastic Beanstalk, puoi utilizzare il protocollo HTTPS per permettere agli utenti di collegarsi al tuo sito Web in modo sicuro. Se non possiedi un nome di dominio, puoi comunque utilizzare il protocollo HTTPS con un certificato autofirmato a scopo di sviluppo e test. Il protocollo HTTPS è obbligatorio per tutte le applicazioni che trasmettono i dati utente o le informazioni di accesso.

Il modo più semplice per utilizzare il protocollo HTTPS con un ambiente Elastic Beanstalk consiste nell'assegnare un certificato server al sistema di bilanciamento del carico dell'ambiente. Quando configuri il sistema di bilanciamento del carico per terminare il protocollo HTTPS, la connessione tra il client e il sistema di bilanciamento del carico è protetta. Le connessioni back-end tra il sistema di bilanciamento del carico e le istanze EC2 utilizzano il protocollo HTTP, quindi non sono necessarie ulteriori configurazioni delle istanze.

Nota

Con AWS Certificate Manager (ACM), puoi creare gratuitamente un certificato attendibile per i tuoi nomi di dominio. I certificati ACM possono essere utilizzati solo con i bilanciatori del carico AWS e con le distribuzioni di Amazon CloudFront. Inoltre, ACM è disponibile solo in alcune Regioni AWS.

Per utilizzare un certificato ACM con Elastic Beanstalk, consulta Configurazione del sistema di bilanciamento del carico dell'ambiente Elastic Beanstalk per terminare HTTPS.

Se esegui l'applicazione in un ambiente a istanza singola o se intendi proteggere l'intera connessione alle istanze EC2 che usano il sistema di bilanciamento del carico, puoi configurare il server proxy in esecuzione nell'istanza per terminare il protocollo HTTPS. La configurazione delle istanze per terminare le connessioni HTTPS richiede l'uso di file di configurazione per modificare il software in esecuzione nelle istanze e i gruppi di sicurezza al fine di permettere le connessioni sicure.

Per le connessioni HTTPS end-to-end in un ambiente con bilanciamento del carico, puoi terminare contemporaneamente l'istanza e il sistema di bilanciamento del carico per crittografare entrambe le connessioni. Per impostazione predefinita, se configuri il sistema di bilanciamento del carico per inoltrare il traffico tramite HTTPS, quest'ultimo considererà attendibile qualsiasi certificato presentato dalle istanze back-end. Per la massima sicurezza, puoi collegare policy al sistema di bilanciamento del carico per impedire la connessione alle istanze che non dispongono di un certificato pubblico considerato attendibile.

Nota

È inoltre possibile configurare il sistema di bilanciamento del carico per l'inoltro del traffico HTTPS senza decrittografarlo. Lo svantaggio di questo metodo consiste nel fatto che il sistema di bilanciamento del carico non è in grado di vedere le richieste e, di conseguenza, di ottimizzare i parametri di instradamento o di risposta ai report.

Se ACM non è disponibile nella tua regione, puoi acquistare un certificato attendibile da una terza parte. Puoi utilizzare un certificato di terze parti per decrittografare il traffico HTTPS a livello di sistema di bilanciamento del carico e/o delle istanze back-end.

Per i processi di sviluppo e test, puoi creare e firmare un certificato utilizzando strumenti open source. I certificati autofirmati sono gratuiti e semplici da creare, ma non possono essere utilizzati per la decrittografia front-end nei siti pubblici. Se tenti di utilizzare un certificato autofirmato per una connessione HTTPS a un client, il browser dell'utente mostra un messaggio di errore che indica che il sito Web non è sicuro. Puoi, tuttavia, utilizzare un certificato autofirmato per proteggere le connessioni back-end senza alcun problema.

ACM è lo strumento preferito per il provisioning, la gestione e la distribuzione dei certificati del server a livello di programmazione o per l'utilizzo dell' AWS CLI. Se ACM non è disponibile nella tua Regione AWS, puoi caricare una chiave privata e un certificato autofirmato o di terza parte in AWS Identity and Access Management (IAM) utilizzando l'AWS CLI. I certificati archiviati in IAM possono essere utilizzati con i sistemi di bilanciamento del carico e con le distribuzioni di CloudFront.

Nota

L'applicazione di esempio Does it have Snakes? su GitHub include i file di configurazione e le istruzioni per ciascun metodo di configurazione di HTTPS con un'applicazione Web Tomcat. Consulta il file readme e le istruzioni relative ad HTTPS per i dettagli.

Argomenti

• Creazione e firma di un certificato X509
• Caricamento di un certificato in IAM
• Configurazione del sistema di bilanciamento del carico dell'ambiente Elastic Beanstalk per terminare HTTPS
• Configurazione dell'applicazione per terminare le connessioni HTTPS nell'istanza
• Configurazione della crittografia end-to-end in un ambiente Elastic Beanstalk con bilanciamento del carico
• Configurazione del sistema di bilanciamento del carico dell'ambiente per il passthrough TCP
• Archiviazione di chiavi private in modo sicuro in Amazon S3
• Configurazione del reindirizzamento da HTTP a HTTPS