使用 cloudHSM 在 Elastic Beanstalk 中设置 SSL

Set up SSL in Elastic Beanstalk using cloudHSM

我熟悉在网络服务器上创建 CSR(通过 openssl)并将其提交给 CA 以购买 SSL 证书。

我们正在构建的站点(使用 Elastic Beanstalk)要求通过 HSM 管理证书。我认为 AWS CloudHSM 是在这里使用的正确工具吗?我有:

此时,文档 (http://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr) 让我有点卡住了。

它说,"Your CA signs the CSR, which creates a signed certificate. Then you provide the signed certificate and your CA's issuing certificate to initialize the cluster."

很好。除非我尝试将此 CSR 上传到(即 Verisign、GlobalSign),否则我会得到 "Certificates with internal names are no longer permitted"。这是有道理的——我不是在为网站的外部域名请求证书,该证书是针对 HSM 的:我猜,一旦 CSR 被签署,我将使用它来创建一个 openssl 证书。

基本上,我对 HSM 如何适应简单的 SSL 请求过程感到非常困惑:生成 CSR、提交给 CA、在网络服务器上安装证书。特别是考虑到我使用 Elastic Beanstalk 和 AWS ACM 完成这一切的额外复杂性,而不是仅仅在服务器上转储证书文件并更新 Nginx conf。

这一切是如何运作的 ??

自一年前发布此问题以来,AWS 已更新其 documentation on how to set up SSL offload with a CloudHSM。通过遵循该文档,我能够在 ElasticBeanstalk 之外设置一个单独的 EC2 实例用于 SSL 终止。据我所知,仍然不可能直接从 ElasticBeanstalk 中使用 CloudHSM。