向LAMP EC2提供认证,该认证在AWS上自动展开

时间:2017-11-16 19:23:02

标签: amazon-web-services amazon-ec2 ssl-certificate provisioning

我需要设计一个解决方案,其中AWS EC2安装了LAMP。 EC2是自动调整的。 EC2应该有LAMP的HTTPS。证书可以是自签名的,但私钥应该受到保护。也就是说私钥不应该在EC2实例上进行硬编码(这不是最佳实践)。此外,HTTPS应来自EC2,而不是来自ELB,CloudFront,ACM等。

有人可以帮我建议最佳做法吗?

3 个答案:

答案 0 :(得分:1)

我会问你为什么觉得你需要在EC2实例上而不是在负载均衡器上终止SSL。

如果您需要在飞行中对数据进行端到端加密,则可以使用EC2上的自签名证书在ELB和EC2之间进行通信。

这意味着您不必将私钥部署到EC2。

答案 1 :(得分:0)

对于您的场景:亚马逊最佳做法是将您的SSL服务器证书存储在IAM中。

  

IAM安全地加密您的私钥并将加密版本存储在IAM SSL中   证书存储。 IAM支持在所有服务器中部署服务器证书   区域,但您必须从外部获取证书   与AWS一起使用的提供程序。您无法上传ACM证书   我是。此外,您无法从IAM管理您的证书   控制台。

Working with Server Certificates

正在接受亚马逊的cerfication?如果我没记错的话,这是一个关于其中一个考试的问题(也许是SAA)。

答案 2 :(得分:0)

您可以将私钥存储在加密的S3存储桶中,只有EC2实例的IAM角色也可以访问。在EC2实例的用户数据中,它下拉证书并将其放在正确的目录中。您可以构建已安装LAMP堆栈的AMI。

EC2 user data

S3 server side encryption

EC2 instance profile