Comment ajouter un certificat SSL à AWS EC2 à l'aide du nouveau service AWS Certificate Manager
AWS a mis au point un nouveau service AWS Certificate Manager . Une des choses que je tire de la description, c'est que si nous utilisons ce service, nous n’avons plus à payer le certificat.
Ils fournissent des certificats pour Elastic Load Balancer (ELB) et CloudFront, mais je n'ai trouvé EC2 nulle part.
Est-il possible d'utiliser le certificat avec EC2?
Q: Puis-je utiliser des certificats sur des instances Amazon EC2 ou sur mes propres serveurs?
Non. À l'heure actuelle, les certificats fournis par ACM ne peuvent être utilisés qu'avec des services AWS spécifiques.
Q: Avec quels services AWS puis-je utiliser les certificats fournis par ACM?
Vous pouvez utiliser ACM avec les services AWS suivants:
• Équilibrage de charge élastique
• Amazon CloudFront
• AWS Elastic Beanstalk
• Amazon API Gateway
Vous ne pouvez pas installer les certificats créés par Amazon Certificate Manager (ACM) sur des ressources pour lesquelles vous disposez d'un accès direct de bas niveau, comme EC2 ou des serveurs extérieurs à AWS, car l'accès aux clés privées ne vous est pas fourni. . Ces certificats ne peuvent être déployés que sur des ressources gérées par l'infrastructure AWS - ELB et CloudFront -, car l'infrastructure AWS contient les seules copies des clés privées pour les certificats qu'elle génère et les maintient sous une sécurité renforcée avec des contrôles d'accès internes vérifiables. .
Il vous faudrait que vos machines EC2 écoutent derrière CloudFront ou ELB (ou les deux, en cascade, fonctionneraient aussi) pour pouvoir utiliser ces certificats pour le contenu provenant de EC2 ... car vous ne pouvez pas installer. ces certs directement sur les machines EC2.
Non, vous ne pouvez pas utiliser le gestionnaire de certificats aws pour déployer des certificats sur EC2. Les certificats du gestionnaire de certificats ne peuvent être déployés que sur Cloudfront et l'équilibreur de charge élastique. Inoredr pour l'utiliser sur ec2, vous devez placer elb sur ec2 afin que la demande du client d'équilibrage de charge soit protégée par https et que de elb vers ec2 le serveur Web soit sous http.
Si vous utilisez le certificat AWS ACM uniquement à des fins internes, vous pouvez probablement utiliser l'Autorité de certification privée AWS ACM pour émettre les certs (je pense que vous pouvez également l'utiliser à des fins de trafic public/externe si votre autorité de certification racine est une autorité de certification publiquement fiable).
https://docs.aws.Amazon.com/acm-pca/latest/userguide/PcaGetStarted.html
Lors du démarrage de l'application/EC2/conteneur, définissez une étape pour exporter votre clé cert/privée émise par une autorité de certification privée ACM vers votre destination et commencez à la consulter pour la desserte du trafic.
https://docs.aws.Amazon.com/cli/latest/reference/acm/export-certificate.html
Une bonne chose est que vous pouvez contrôler qui peut appeler la fonction de certificat d'exportation à l'aide du rôle IAM afin que tout le monde ne puisse pas télécharger la clé privée du certificat.
L’inconvénient, c’est que le CA privé est un service AWS coûteux (400 $/mois).