在執行 Tomcat 的 EC2 執行個體上終止 HTTPS - AWS Elastic Beanstalk

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在執行 Tomcat 的 EC2 執行個體上終止 HTTPS

以 Tomcat 容器類型而言,您須使用組態檔案,讓 Apache HTTP Server 做為 Tomcat 的反向代理程式時能夠使用 HTTPS。

在您的組態檔案中加入下列的程式碼片段、依照指示來更換憑證與私有金鑰資料,並儲存於原始碼套件的 .ebextensions 目錄中。此組態檔案會執行下列任務:

  • files 金鑰會於執行個體上建立下列檔案:

    /etc/pki/tls/certs/server.crt

    在執行個體上建立憑證檔案。將憑證檔案內容取代為您的憑證內容。

    注意

    YAML 憑藉一致的縮排。請在取代範例組態檔中的內容時,讓縮排層級一致,並確認您的文字編輯器使用空格而非定位字元進行縮排。

    /etc/pki/tls/certs/server.key

    在執行個體上建立私有金鑰。將私密金鑰內容取代為用於建立憑證請求或自我簽署憑證的私密金鑰內容。

    /opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh

    建立後部署勾點指令碼來重新啟動 httpd 服務。

範例 .ebextensions/https-instance.config
files:
  /etc/pki/tls/certs/server.crt:
    mode: "000400"
    owner: root
    group: root
    content: |
      -----BEGIN CERTIFICATE-----
      certificate file contents
      -----END CERTIFICATE-----
      
  /etc/pki/tls/certs/server.key:
    mode: "000400"
    owner: root
    group: root
    content: |
      -----BEGIN RSA PRIVATE KEY-----
      private key contents # See note below.
      -----END RSA PRIVATE KEY-----

  /opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh:
    mode: "000755"
    owner: root
    group: root
    content: |
      #!/usr/bin/env bash
      sudo service httpd restart

您還必須設定您環境的代理伺服器以監聽連接埠 443。下列 Apache 2.4 組態會在 443 埠上新增接聽程式。如需進一步了解,請參閱設定代理伺服器

範例 .ebextensions/httpd/conf.d/ssl.conf
Listen 443
<VirtualHost *:443> 
  ServerName server-name
  SSLEngine on 
  SSLCertificateFile "/etc/pki/tls/certs/server.crt" 
  SSLCertificateKeyFile "/etc/pki/tls/certs/server.key" 

  <Proxy *> 
    Require all granted 
  </Proxy> 
  ProxyPass / http://localhost:8080/ retry=0 
  ProxyPassReverse / http://localhost:8080/ 
  ProxyPreserveHost on 

  ErrorLog /var/log/httpd/elasticbeanstalk-ssl-error_log 

</VirtualHost>

您的憑證廠商可能包括您可安裝的中繼憑證,提升行動用戶端的相容性。請將下列新增至您的 SSL 組態檔案 (參閱 延伸和覆寫預設 Apache 組態 — Amazon Linux AMI(AL1) 了解位置),藉此透過中繼憑證授權機構 (CA) 套件組合設定 Apache:

  • ssl.conf 檔案內容指定鏈檔案:

    SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
SSLCertificateChainFile "/etc/pki/tls/certs/gd_bundle.crt"
SSLCipherSuite        EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

  • 使用中繼憑證的內容在 files 金鑰新增項目:

    files:
  /etc/pki/tls/certs/gd_bundle.crt:
    mode: "000400"
    owner: root
    group: root
    content: |
      -----BEGIN CERTIFICATE-----
      First intermediate certificate
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      Second intermediate certificate
      -----END CERTIFICATE-----
注意

請避免將包含您私有金鑰的組態檔遞交到原始檔控制。當您測試好組態並確認其正常運作後,請將您的私有金鑰儲存在 Amazon S3,然後修改組態,以在部署期間予以下載。如需指示,請參閱 將私有金鑰安全地儲存於 Amazon S3 中

在單一執行個體環境中,您也必須修改執行個體的安全群組,以允許連接埠 443 上的流量。下列組態檔案會使用 AWS CloudFormation 函數擷取安全群組 ID,並對其新增規則。

範例 .ebextensions/https-instance-single.config
Resources:
  sslSecurityGroupIngress: 
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      CidrIp: 0.0.0.0/0

針對使用負載平衡的環境,您應設定負載平衡器,使其以未處理之方式通過安全流量,或針對端點對端點加密進行解密與重新加密