我熟悉在网络服务器上创建CSR(通过openssl)并将其提交给CA以购买SSL证书。
我们正在构建的网站(使用Elastic Beanstalk)要求通过HSM管理证书。我认为 AWS CloudHSM是在这里使用的正确工具吗?我有:
此时,文档(http://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)让我有点陷入困境。
它说:“您的CA会签署CSR,它会创建签名证书。然后您提供签名证书和CA的颁发证书以初始化群集。”
精细。除非我尝试将此CSR上传到(即Verisign,GlobalSign),否则我将获得“不再允许使用内部名称的证书”。这是有道理的 - 我不是要求为网站的外部域名申请证书,证书是针对HSM的:我猜测,一旦CSR签署,我将用它创建一个openssl证书。< / p>
基本上,我对HSM如何适应其他简单的SSL请求过程非常困惑:生成CSR,提交给CA,在Web服务器上安装证书。特别是考虑到我使用Elastic Beanstalk和AWS ACM执行此操作所带来的复杂性,而不仅仅是在服务器上转储证书文件并更新Nginx conf。
如何工作 ??
答案 0 :(得分:0)
自一年前发布此问题以来,AWS已更新了其documentation on how to set up SSL offload with a CloudHSM。通过阅读该文档,我能够在SSL之外的ElasticBeanstalk外部设置单独的EC2实例。 AFAIK仍然无法直接在ElasticBeanstalk中使用CloudHSM。