Установка SSL-сертификата для веб-сервисов Amazon AWS

В инструкции описан процесс загрузки и проверки сертификата в сервис Amazon AWS.

Примечание: Amazon Web Services (AWS) предлагает надежные услуги облачных вычислений и облачных хранилищ, а также масштабируемую и недорогую инфраструктуру. С помощью веб-сервисов Amazon AWS возможно в короткие сроки организовать виртуальную инфраструктуру по любым бизнес-требованиям.

1. После заказа сертификата в панели управления появятся все необходимые файлы.

   

2. Для дальнейшей работы все файлы необходимо преобразовать в формат PEM.

   Чтобы преобразовать файл закрытого ключа, используйте следующую команду OpenSSL:

   openssl rsa -in <имя_файла>.key -outform PEM

   Например: openssl rsa -in example.ru_key.key -outform PEM

   Примечание: библиотека openssl обладает широким набором возможностей для работы с сертификатами, начиная от генерации самоподписанных ssl-сертификат с различной длиной ключа до использования датаграмм безопасности транспортного уровня.

   Чтобы преобразовать файл сертификата, используйте команду OpenSSL:

   openssl x509 -inform PEM -in <имя_файла>.crt

   Например: openssl x509 -inform PEM -in example.ru_crt.crt

3. Файл ssl-сертификата, закрытый ключ и цепочку сертификатов загрузите в сервис AWS IAM (Identity Access Management).

   Для загрузки сертификата используется интерфейс командной строки AWS (CLI), это можно сделать с помощью следующей команды, где имя удобное для вас название сертификата (без пробелов):

   aws iam upload-server-certificate --server-certificate-name <имя> --certificate-body file://<имя_файла_сертификата>.pem --private-key file://<имя_ключа>.pem --certificate-chain file://<имя_файла_цепочки_сертификатов>.pem

   Например:

   aws iam upload-server-certificate --server-certificate-name myServerCertificate --certificate-body file://public_key_cert_file.pem --private-key file://my_private_key.pem --certificate-chain file://my_certificate_chain_file.pem

   После успешного выполнения файл загружен в AWS.

4. После загрузки вы можете выполнить проверку с помощью команды:

   aws iam get-server-certificate --server-certificate-name <имя>

   Например:

   aws iam get-server-certificate --server-certificate-name myServerCertificate

   Вывод будет выглядеть следующим образом:

   arn:aws:iam::<AWS_account_ID>:server-certificate/<имя_сертификата> <сertificate_Object_GUID>
   

   Примечание:
   - AWS_Account_ID - уникальное имя ресурса Amazon (ARN);
   - Certificate_Object_GUID - идентификатор.

5. Для обновления ssl-сертификата для балансировщика нагрузки HTTPS с помощью ARN используйте следующую команду: aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name <имя_балансировщика> --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::<AWS_account_ID>::server-certificate/<имя_сертификата>>

   Например:

   aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/new-server-cert