我需要设计一个解决方案,其中AWS EC2安装了LAMP。 EC2是自动调整的。 EC2应该有LAMP的HTTPS。证书可以是自签名的,但私钥应该受到保护。也就是说私钥不应该在EC2实例上进行硬编码(这不是最佳实践)。此外,HTTPS应来自EC2,而不是来自ELB,CloudFront,ACM等。
有人可以帮我建议最佳做法吗?
答案 0 :(得分:1)
我会问你为什么觉得你需要在EC2实例上而不是在负载均衡器上终止SSL。
如果您需要在飞行中对数据进行端到端加密,则可以使用EC2上的自签名证书在ELB和EC2之间进行通信。
这意味着您不必将私钥部署到EC2。
答案 1 :(得分:0)
对于您的场景:亚马逊最佳做法是将您的SSL服务器证书存储在IAM中。
IAM安全地加密您的私钥并将加密版本存储在IAM SSL中 证书存储。 IAM支持在所有服务器中部署服务器证书 区域,但您必须从外部获取证书 与AWS一起使用的提供程序。您无法上传ACM证书 我是。此外,您无法从IAM管理您的证书 控制台。
Working with Server Certificates
正在接受亚马逊的cerfication?如果我没记错的话,这是一个关于其中一个考试的问题(也许是SAA)。
答案 2 :(得分:0)
您可以将私钥存储在加密的S3存储桶中,只有EC2实例的IAM角色也可以访问。在EC2实例的用户数据中,它下拉证书并将其放在正确的目录中。您可以构建已安装LAMP堆栈的AMI。