我需要设计一个解决方案,其中 AWS EC2 安装了 LAMP。 EC2 是自动调用的。 EC2 应该有用于 LAMP 的 HTTPS。证书可以是自签名的,但私钥应该受到保护。也就是说,私钥不应该在 EC2 实例上硬编码(这不是最佳实践)。此外,HTTPS 应该来自 EC2,而不是来自 ELB、CloudFront、ACM 等。
有人可以帮我推荐最佳做法吗?
【问题讨论】:
标签: amazon-web-services amazon-ec2 ssl-certificate provisioning
我会质疑为什么您认为需要在 EC2 实例上而不是在负载均衡器上终止 SSL。
如果您需要对传输中的数据进行端到端加密,您可以使用 EC2 上的自签名证书在 ELB 和 EC2 之间进行通信。
这意味着您不必将私钥部署到 EC2。
【讨论】:
对于您的场景:Amazon 最佳实践是将您的 SSL 服务器证书存储在 IAM 中。
IAM 安全地加密您的私钥并将加密版本存储在 IAM SSL 中 证书存储。 IAM 支持在所有服务器上部署服务器证书 地区,但您必须从外部获得证书 与 AWS 一起使用的提供商。您无法将 ACM 证书上传到 我是。此外,您无法从 IAM 管理您的证书 控制台。
Working with Server Certificates
正在接受亚马逊认证吗?如果我没记错的话,这是一门考试(可能是 SAA)的问题。
【讨论】:
您可以将私有密钥存储在加密的 S3 存储桶中,只有 EC2 实例的 IAM 角色也可以访问该存储桶。在 EC2 实例的用户数据中,让它下拉证书并将其放在正确的目录中。您可以构建一个已安装 LAMP 堆栈的 AMI。
【讨论】: