步骤 4：启用 HTTPS 流量并验证证书

使用 SSL/TLS 卸载配置 Web 服务器后 AWS CloudHSM，将您的 Web 服务器实例添加到允许入站 HTTPS 流量的安全组中。Web 浏览器等客户端可通过 Web 服务器创建 HTTPS 连接。然后与您的 Web 服务器建立 HTTPS 连接，并确认它使用的是您为 SSL/TLS 卸载配置的证书。 AWS CloudHSM

启用入站 HTTPS 连接

要从客户端 (如 Web 浏览器) 连接到您的 Web 服务器，请创建一个允许入站 HTTPS 连接的安全组。具体来说，它应允许端口 443 上的入站 TCP 连接。将此安全组分配给您的网络服务器。

为 HTTPS 创建安全组并将其分配给您的网络服务器

1. 通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择安全组。

3. 选择创建安全组。

4. 对于创建安全组，执行以下操作：

   1. 对于安全组名称，键入您要创建的安全组的名称。

   2. (可选) 键入对您要创建的安全组的描述。

   3. 对于 VPC，选择包含您的 Web 服务器 Amazon EC2 实例的 VPC。

   4. 选择添加规则。

   5. 对于类型，从下拉窗口中选择 HTTPS。

   6. 对于来源，输入来源位置。

   7. 选择创建安全组。

5. 在导航窗格中，选择实例。

6. 选中您的 Web 服务器实例旁边的复选框。

7. 在页面顶部选择操作下拉菜单。选择安全，然后选择更改安全组。

8. 对于关联安全组，请选择搜索框，然后选择您为 HTTPS 创建的安全组。然后选择添加安全组。

9. 选择保存。

验证 HTTPS 使用的是您已配置的证书

将 Web 服务器添加到安全组后，就可以验证 SSL/TLS 分载是否使用了自签名证书。您可以使用网络浏览器或使用工具 (如 OpenSSL s_client) 执行此操作。

使用网络浏览器验证 SSL/TLS 分载

1. 使用 Web 浏览器连接到采用服务器的公共 DNS 名称或 IP 地址的 Web 服务器。确保地址栏中的 URL 以 https:// 开头。例如，https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/。

   提示

   您可以使用 DNS 服务 (如 Amazon Route 53) 将网站域名 (例如，https://www.example.com/) 路由到您的 Web 服务器。有关更多信息，请参阅 《Amazon Route 53 开发人员指南》或 DNS 服务文档中的将流量路由到 Amazon EC2 实例。

2. 使用您的 Web 浏览器查看 Web 服务器证书。有关更多信息，请参阅下列内容：

   • 对于 Mozilla Firefox，请参阅 Mozilla Support 网站上的查看证书。

   • 关于 Google Chrome 浏览器，请参阅 Google Tools for Web Developers 网站上的了解安全问题。

   其他网络浏览器可能具有相似的功能，可使用这些功能来查看网络服务器证书。

3. 确保 SSL/TLS 证书是您配置 Web 服务器使用的证书。

使用 OpenSSL s_client 验证 SSL/TLS 分载

1. 运行以下 OpenSSL 命令以通过 HTTPS 连接到您的 Web 服务器。将 <server name> 替换为您的 Web 服务器的公有 DNS 名称或 IP 地址。

   openssl s_client -connect <server name>:443

   提示

   您可以使用 DNS 服务 (如 Amazon Route 53) 将网站域名 (例如，https://www.example.com/) 路由到您的 Web 服务器。有关更多信息，请参阅 《Amazon Route 53 开发人员指南》或 DNS 服务文档中的将流量路由到 Amazon EC2 实例。

2. 确保 SSL/TLS 证书是您配置 Web 服务器使用的证书。

您现在有一个通过 HTTPS 保护的网站。Web 服务器的私钥存储在 AWS CloudHSM 集群的 HSM 中。

若要添加负载均衡器，请参阅 使用 Elastic Load Balancing 添加负载均衡器（可选）。