步驟 4：啟用 HTTPS 流量並驗證憑證

在您設定 SSL/TLS 卸載的 Web 伺服器之後 AWS CloudHSM，請將 Web 伺服器執行個體新增至允許輸入 HTTPS 流量的安全性群組。這可讓用戶端 (例如 Web 瀏覽器) 與 Web 伺服器建立 HTTPS 連線。然後建立 HTTPS 連接到您的 Web 服務器，並驗證它使用的是您為 SSL/TLS 卸載配置的證書。 AWS CloudHSM

啟用傳入 HTTPS 連線

若要從用戶端 (例如 Web 瀏覽器) 連接到 Web 伺服器，請建立允許傳入 HTTPS 連接的安全群組。特別是應該允許連接埠 443 上的傳入 TCP 連線。將此安全群組指派到您的 Web 伺服器。

建立 HTTPS 的安全群組並將其指派至您的 Web 伺服器

1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在導覽窗格中選擇安全群組。

3. 選擇建立安全群組。

4. 對於 Create Security Group (建立安全群組)，執行下列動作：

   1. 對於 Security group name (安全群組名稱)，輸入您要建立之安全群組的名稱。

   2. (選用) 輸入您要建立之安全群組的描述。

   3. 對於 VPC，選擇包含 Web 伺服器 Amazon EC2 執行個體的 VPC。

   4. 選取 Add Rule (新增規則)。

   5. 對於類型，從下拉式視窗中選取 HTTPS。

   6. 對於來源，輸入來源位置。

   7. 選擇建立安全群組。

5. 在導覽窗格中，選擇執行個體。

6. 選取 Web 伺服器執行個體旁的核取方塊。

7. 選取頁面頂端的動作下拉式選單。選取安全性，然後選取變更安全群組。

8. 對於關聯的安全群組，請選取搜尋方塊，然後選取您為 HTTPS 建立之安全群組。然後選擇新增安全群組。

9. 選取 Save (儲存)。

驗證 HTTPS 是否使用您已設定的憑證

將 Web 伺服器新增至安全群組之後，您可以驗證 SSL/TLS 卸載是否正在使用自簽憑證。若要這樣做，您可以使用 Web 瀏覽器或使用 OpenSSL s_client 之類的工具。

使用 Web 瀏覽器驗證 SSL/TLS 卸載

1. 使用 Web 瀏覽器來透過伺服器的公有 DNS 名稱或 IP 地址連接到您的 Web 伺服器。請確定網址列中的 URL 開頭為 https://。例如 https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/。

   提示

   您可以使用 DNS 服務 (例如 Amazon Route 53)，將網站的網域名稱 (例如，https://www.example.com/) 路由到 Web 伺服器。如需詳細資訊，請參閱《Amazon Route 53 開發人員指南》或 DNS 服務文件中的將流量路由到 Amazon EC2 執行個體。

2. 使用您的 Web 瀏覽器來檢視 Web 伺服器憑證。如需詳細資訊，請參閱下列內容：

   • 若為 Mozilla Firefox，請參閱 Mozilla 技術支援網站上的檢視憑證。

   • 若為 Google Chrome，請參閱 Google Web 開發人員工具網站上的了解安全問題。

   其他 Web 瀏覽器可能有類似的功能，可供您用來檢視 Web 伺服器憑證。

3. 確保 SSL/TLS 憑證是您設定 Web 伺服器所要使用的憑證。

使用 OpenSSL s_client 來驗證 SSL/TLS 卸載

1. 執行以下 OpenSSL 命令來使用 HTTPS 連接至 Web 伺服器。以 Web 伺服器的公有 DNS 名稱或 IP 地址來取代<伺服器名稱>。

   openssl s_client -connect <server name>:443

   提示

   您可以使用 DNS 服務 (例如 Amazon Route 53)，將網站的網域名稱 (例如，https://www.example.com/) 路由到 Web 伺服器。如需詳細資訊，請參閱《Amazon Route 53 開發人員指南》或 DNS 服務文件中的將流量路由到 Amazon EC2 執行個體。

2. 確保 SSL/TLS 憑證是您設定 Web 伺服器所要使用的憑證。

您現在有透過 HTTPS 而受到保護的網站。Web 伺服器的私密金鑰會儲存在 AWS CloudHSM 叢集中的 HSM 中。

若要新增負載平衡器，請參閱 新增具有 Elastic Load Balancing (選用) 的負載平衡器。