使用 ACM 將 Windows SSL 憑證移轉至 Application Load Balancer - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 ACM 將 Windows SSL 憑證移轉至 Application Load Balancer

由茜卓 ‧ 席卡哈爾 ‧ 亞拉莎 (AWS) 創作

R 類型 平台重建

來源:視窗 Web 應用程式

目標:Application Load Balancer

建立者:AWS

:环境 生產

Technologies 管理與治理;網站與 Web 應用程式;移轉

工作負載:微軟

AWS 服務 Elastic Load Balancing;AWS Certificate Manager

Summary

此模式提供了使用 AWS Certificate Manager (ACM) 從 Windows 伺服器上 Microsoft 網際網路資訊服務 (IIS) 上託管的現場部署網站遷移現有安全通訊端層 (SSL) 憑證的指導方針。然後,SSL 憑證可以與 AWS 上的 Elastic Load Balancing 搭配使用。SSL 保護您的資料,確認您的身份,提供更好的搜尋引擎排名,有助於滿足支付卡產業資料安全標準 (PCI DSS) 要求,並提高客戶信任度。管理這些工作負載的開發人員和 IT 團隊希望他們的 Web 應用程式和基礎結構 (包括 IIS 伺服器和 Windows Server) 保持符合其基準原則。

此模式涵蓋從 Windows IIS 手動匯出現有 SSL 憑證,然後將它們匯入 AWS 帳戶中的 ACM、為您的應用程式建立 Application Load Balancer,以及將 Application Load Balancer 設定為使用匯入的憑證。然後在 Application Load Balancer 器上終止 HTTPS 連接,並且您不需要在 Web 服務器上進一步的配置開銷。如需詳細資訊,請參閱「」。為 Application Load Balancer 建立 HTT接聽程式

Windows 伺服器使用 .pfx/.p12 檔案來包含公開金鑰檔案 (SSL 憑證) 及其唯一的私密金鑰檔案。憑證授權單位 (CA) 為您提供公開金鑰檔案。您可以使用伺服器來產生建立憑證簽署要求 (CSR) 的相關聯的私密金鑰檔案。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶 目標使用的每個可用區域中必須有至少包含一個私有子網路的虛擬私有雲端 (VPC)。公用子網路必須包含網路位址轉譯 (NAT) 閘道和遠端桌面閘道執行個體。

  • 在 IIS 上運行的 Web 應用程序。

  • 內部部署 IIS Windows 伺服器上的系統管理員角色。 

  • 對於 Windows 伺服器,可以完整的網際網路存取 AWS。

限制

  • 可以有一個 HTTP 協議和一個綁定到網站的 HTTPS 協議。這些通訊協定會分別繫結至連接埠 tcp/80 和 tcp/443。

產品版本

  • 在 Windows 伺服器 2012 年或更高版本上運行的 IIS 版本 8.0 或更高版本

Architecture

來源堆疊

  • 任何使用 SSL 的 HTTP 服務器(IIS 或 Apache HTTP 服務器或 NGINX)實現,以確保數據在加密連接(HTTPS)中安全地傳輸

來源架構

目標堆疊

  • 您 AWS 帳戶中的 ACM 憑證

  • 設定為使用匯入憑證的 Application Load Balancer

  • 私人子網路中的 Windows Server 執行個體

目標架構

Tools

  • AWS Certificate Manager— AWS Certificate Manager (ACM) 是一項服務,可用來佈建、管理和部署公有和私有 Secure Sockets Layer Security (SSL/TLS) 憑證,以搭配使用 AWS 服務。SSL/TLS 憑證可用來保護網路通訊的安全,並建立網際網路上的網站識別,以及私人網路上的資源。ACM 不需要耗時的手動購買、上傳和更新 SSL/TLS 憑證的程序。

  • Elastic Load Balancing— Elastic Load Balancing 會自動將傳入的應用程式流量分配到多個目標,例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器、IP 位址和 AWS Lambda 函數。

Epics

任務描述所需技能
從 Windows 伺服器匯出 .pfx 檔案。

若要從 Windows 伺服器中的內部部署 IIS 管理員將 SSL 憑證匯出為 .pfx 檔案,請執行下列動作。(1) 選擇「啟動」、「系統管理」、「Internet Information Services (IIS) 管理員」。(2) 選取伺服器名稱,然後在「安全性」下按兩下「伺服器憑證」。(3) 選擇要匯出的憑證,然後選擇「匯出」。(4) 在「匯出憑證」彈出方塊中,選擇 .pfx 檔案的位置、路徑和名稱。(5) 指定並確認 .pfx 檔案的密碼。請注意:您必須在安裝 .pfx 檔案時使用此密碼。(6) 選擇「確定」。您的 .pfx 檔案現在應該儲存到您指定的位置和路徑。

系統明/客戶
輸入 .pfx 檔案的密碼。

匯出 .pfx 檔案時,當系統提示您輸入您為 .pfx 檔案指定的密碼。

系統明/客戶
任務描述所需技能
準備匯入憑證。

在 ACM 主控台上,選擇「匯入憑證」。

Cloud 管理員
提供憑證主體。

對於「憑證內文」,貼上您要匯入的 PEM 編碼憑證。如需有關這個和其他故事中所述的命令和步驟的詳細資訊,請參閱本模式結尾的 < 相關資源 > 一節中的連結。

Cloud 管理員
提供憑證私密金鑰。

對於「憑證私有金鑰」,貼上與憑證公有金鑰相符的 PEM 編碼、未加密私有金鑰。

Cloud 管理員
提供憑證鏈。

對於 Certificate chain (憑證鏈),貼上 PEM 編碼憑證鏈。PEM 編碼的憑證鏈存放在名為的檔案中。

Cloud 管理員
匯入憑證。

選擇「檢閱和匯入」。檢閱憑證的資訊,然後選擇「匯入」。

Cloud 管理員
任務描述所需技能
設定負載平衡器和接聽程式。

建立負載平衡器和接聽程式。為連接埠 443 新增第二個接聽程式 (HTTPS)。

Cloud 管理員
設定 HTTPS 接聽程式的安全性設定。

設定憑證和安全政策。

Cloud 管理員
設定安全性群組和目標群組。

對於「目標類型」,請選擇「執行個體」。

Cloud 管理員
設定目標群組的目標。

選擇 Next: Technologies 註冊目標。」 根據執行個體 ID 來登錄目標。

Cloud 管理員
建立負載平衡器。

選擇 Next: Technologies 請參閱。在「檢閱」頁面上,選擇「建立」。建立負載平衡器之後,選擇「關閉」。

Cloud 管理員

相關資源

將憑證匯入 ACM

建立 Application Load Balancer

References