Lightsail的SSL / TLS证书？

Question

AWS Certificate Manager（ACM）为AWS用户提供SSL / TLS证书。它也适用于Lightsail用户吗？

如果没有，是否有关于在Lightsail服务器上设置SSL证书的说明或建议？

Answer 1

根据其他答案，您无法使用AWS Certificate Manager为Amazon Lightsail实例或任何其他EC2实例创建和安装证书。但是，您可以创建自己的SSL / TLS证书并手动安装它们。 WordPress的Lightsail实例由Bitnami提供支持，Bitnami提供了有关如何使用LetsEncrypt创建和安装免费SSL / TLS证书的确切说明。

https://docs.bitnami.com/aws/how-to/generate-install-lets-encrypt-ssl/

我为lukejanicke.com成功完成了此过程，但没有立即将其用于 www .lukejanicke.com

Answer 2

目前没有使用带有Lightsail实例的ACM证书的机制。

但是，还有no mechanism for using ACM certificates directly on EC2 instances。它们必须位于负载均衡器之后，因为ACM无法访问证书的私钥。

您只能将ACM证书与ELB / ALB和CloudFront一起使用。

Lightsail上的实例元数据中可见的信息表明ELB / ALB可能是未来的功能，这表明将来可能会有这样的功能......但就目前而言，它并非如此。

当然，CloudFront可以与任何源服务器 - EC2，Lightsail，甚至是AWS中根本不存在的源服务器一起使用。 （我的客厅里有一台服务器在CloudFront后面工作）。如果您不需要在CloudFront和Lightsail机器之间进行加密 - 只需在浏览器和CloudFront之间进行加密 - 那么您今天就可以配置它，并在CloudFront上使用ACM证书，并将Lightsail作为原始服务器。唯一的问题是你不会使用从Lightsail到互联网的免费出站带宽限额 - 你将使用CloudFront出站互联网带宽，它没有像Lightsail这样的大型免费配额。

Answer 3

如何使用SSL证书启用HTTPS支持？

  

注意：以下步骤假定您使用的是自定义域名   并且您已将自定义域名配置为指向   到您的云服务器。

Bitnami图像已经预先配置了SSL支持并且具有伪证书。虽然此伪证书适用于测试和开发目的，但您通常希望使用有效的SSL证书进行生产。您可以自己生成（在此处说明），也可以从商业证书颁发机构购买。

获取证书和证书密钥文件后，您需要更新服务器才能使用它们。请按照以下步骤激活SSL支持：

使用下表确定证书和配置文件的正确位置。

将SSL证书和证书密钥文件复制到指定位置。

  

注意：如果您为证书和密钥文件使用不同的名称，   你应该重新配置SSLCertificateFile和   SSLCertificateKeyFile指令在相应的Apache中   配置文件以反映正确的文件名。

如果您的证书颁发机构还为您提供了PEM编码的证书颁发机构（CA）捆绑包，则必须将其复制到上一个表中的正确位置。然后，修改Apache配置文件以包含SSLCertificateKeyFile指令下面的以下行。根据您的方案和Apache版本选择正确的指令：

  

注意：如果您为CA证书捆绑使用其他名称，则表示您   应重新配置SSLCertificateChainFile或SSLCACertificateFile   指令在相应的Apache配置文件中反映出来   正确的文件名。

复制完所有服务器证书文件后，只有使用以下命令才能让root用户读取它们：

sudo chown root:root /opt/bitnami/apache2/conf/server*
sudo chmod 600 /opt/bitnami/apache2/conf/server*

在服务器防火墙中打开端口443。有关详细信息，请参阅常见问题解答。

重启Apache服务器。

您现在应该可以使用HTTPS网址访问您的应用程序了。

如何创建SSL证书？

您可以使用OpenSSL二进制文件创建自己的SSL证书。然后可以将证书请求发送到证书颁发机构（CA）以使其签名为证书，或者如果您拥有自己的证书颁发机构，则可以自行签名，或者您可以使用自签名证书（因为您只是想要一个测试证书，或者因为你正在建立自己的CA.）

创建您的私钥（如果您尚未创建）：

sudo openssl genrsa -out /opt/bitnami/apache2/conf/server.key 2048

创建证书：

 sudo openssl req -new -key /opt/bitnami/apache2/conf/server.key -out /opt/bitnami/apache2/conf/cert.csr

  

重要信息：上述命令请求时输入服务器域名   为“通用名称”。

将cert.csr发送给证书颁发机构。当证书颁发机构完成检查（并可能收到您的付款）时，他们会将您的新证书交给您。

在收到证书之前，请创建一个临时自签名证书：

 sudo openssl x509 -in /opt/bitnami/apache2/conf/cert.csr -out /opt/bitnami/apache2/conf/server.crt -req -signkey /opt/bitnami/apache2/conf/server.key -days 365

在生成受密码保护的版本后，将您的私钥备份到安全位置，如下所示：

sudo openssl rsa -des3 -in /opt/bitnami/apache2/conf/server.key -out privkey.pem

请注意，如果您在Apache配置文件中使用此加密密钥，则每次Apache启动时都需要手动输入密码。从该文件重新生成没有密码保护的密钥，如下所示：

sudo openssl rsa -in privkey.pem -out /opt/bitnami/apache2/conf/server.key

在http://www.openssl.org找到有关证书的更多信息。

答案将从https://docs.bitnami.com/aws/apps/wordpress/#how-to-enable-https-support-with-ssl-certificates复制，以便在网页过期或更改时可用。