使用 cloudHSM 在 Elastic Beanstalk 中设置 SSL
Set up SSL in Elastic Beanstalk using cloudHSM
我熟悉在网络服务器上创建 CSR(通过 openssl)并将其提交给 CA 以购买 SSL 证书。
我们正在构建的站点(使用 Elastic Beanstalk)要求通过 HSM 管理证书。我认为 AWS CloudHSM 是在这里使用的正确工具吗?我有:
- 在具有 public 和私有子网
的 VPC 中创建了 EB 环境
- 已通过 AWS 证书请求 SSL 证书并将其分配给环境
经理 (此时,我有一个基于 https 的工作站点,只是没有 HSM)
- 在同一 VPC 中创建了一个 HSM 集群,并下载了它的
企业社会责任
此时,文档 (http://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr) 让我有点卡住了。
它说,"Your CA signs the CSR, which creates a signed certificate. Then you provide the signed certificate and your CA's issuing certificate to initialize the cluster."
很好。除非我尝试将此 CSR 上传到(即 Verisign、GlobalSign),否则我会得到 "Certificates with internal names are no longer permitted"。这是有道理的——我不是在为网站的外部域名请求证书,该证书是针对 HSM 的:我猜,一旦 CSR 被签署,我将使用它来创建一个 openssl 证书。
基本上,我对 HSM 如何适应简单的 SSL 请求过程感到非常困惑:生成 CSR、提交给 CA、在网络服务器上安装证书。特别是考虑到我使用 Elastic Beanstalk 和 AWS ACM 完成这一切的额外复杂性,而不是仅仅在服务器上转储证书文件并更新 Nginx conf。
这一切是如何运作的 ??
自一年前发布此问题以来,AWS 已更新其 documentation on how to set up SSL offload with a CloudHSM。通过遵循该文档,我能够在 ElasticBeanstalk 之外设置一个单独的 EC2 实例用于 SSL 终止。据我所知,仍然不可能直接从 ElasticBeanstalk 中使用 CloudHSM。
我熟悉在网络服务器上创建 CSR(通过 openssl)并将其提交给 CA 以购买 SSL 证书。
我们正在构建的站点(使用 Elastic Beanstalk)要求通过 HSM 管理证书。我认为 AWS CloudHSM 是在这里使用的正确工具吗?我有:
- 在具有 public 和私有子网 的 VPC 中创建了 EB 环境
- 已通过 AWS 证书请求 SSL 证书并将其分配给环境 经理 (此时,我有一个基于 https 的工作站点,只是没有 HSM)
- 在同一 VPC 中创建了一个 HSM 集群,并下载了它的 企业社会责任
此时,文档 (http://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr) 让我有点卡住了。
它说,"Your CA signs the CSR, which creates a signed certificate. Then you provide the signed certificate and your CA's issuing certificate to initialize the cluster."
很好。除非我尝试将此 CSR 上传到(即 Verisign、GlobalSign),否则我会得到 "Certificates with internal names are no longer permitted"。这是有道理的——我不是在为网站的外部域名请求证书,该证书是针对 HSM 的:我猜,一旦 CSR 被签署,我将使用它来创建一个 openssl 证书。
基本上,我对 HSM 如何适应简单的 SSL 请求过程感到非常困惑:生成 CSR、提交给 CA、在网络服务器上安装证书。特别是考虑到我使用 Elastic Beanstalk 和 AWS ACM 完成这一切的额外复杂性,而不是仅仅在服务器上转储证书文件并更新 Nginx conf。
这一切是如何运作的 ??
自一年前发布此问题以来,AWS 已更新其 documentation on how to set up SSL offload with a CloudHSM。通过遵循该文档,我能够在 ElasticBeanstalk 之外设置一个单独的 EC2 实例用于 SSL 终止。据我所知,仍然不可能直接从 ElasticBeanstalk 中使用 CloudHSM。