Альтернативы для включения SSL на EC2
У меня есть существующий экземпляр AWS EC2, содержащий как сервер приложений, так и веб-сервер (apache). Мой внешний DNS направляет трафик с www.x.com, api.x.com, oa.x.com на экземпляр через его эластичный IP-адрес. www.x.com обслуживается веб-сервером, а другие поддомены обслуживаются сервером приложений. Весь трафик является HTTPS, и letsencrypt установлен на EC2 для сертификатов SSL. Это работает нормально.
Сейчас я накручиваю новый экземпляр EC2, так как существующий слишком мал и начинает вести себя странно. Все в порядке, за исключением того, что я не могу установить letsencrypt на новый экземпляр. Прочитав его, я обнаружил, что на самом деле это не поддерживается, поэтому я решил использовать вместо него сертификаты AWS (ACM).
Однако два дня спустя я все еще не смог заставить SSL работать. Я попытался создать дистрибутив Cloudfront. SSL отлично работает между клиентом и Cloudfront, но я не могу получить трафик между Cloudfront и EC2 для использования SSL.
Q1: Можно ли получить SSL / HTTPS между Cloudfront и EC2 без каких-либо других узлов / компонентов (например, балансировщиков нагрузки)?
Q2: Будет ли лучше / проще использовать SSL / HTTPS в моей настройке, если я добавлю балансировщик нагрузки перед экземпляром EC2 (даже если у меня есть только экземпляр)?
Q3: Какие-либо другие варианты?
Надеюсь, кто-нибудь сможет указать мне правильное направление, это сводит меня с ума, особенно учитывая, что сегодня вечер пятницы :-) Ура!
Let's Encrypt
Let's Encrypt работает с любым хостом в общедоступном Интернете, включая AWS. Я использую Let's Encrypt на своем экземпляре AWS EC2, а вы раньше использовали LE на EC2. Я не понимаю, почему вы думаете, что LE не работает с AWS.
У меня есть руководство по EC2 / LE здесь . Номер версии программного обеспечения, которое я использую "ACME", сейчас потенциально является старой версией, если вы используете его, вам следует проверить наличие новой версии.
Размер экземпляра
Если вам нужен экземпляр большего размера, вы можете просто остановить свой Например, измените размер и запустите его снова. Если вам нужен больший том EBS, вы можете его расширить.
AWS Certificate Manager
Это утверждение в часто задаваемых вопросах по ECM немного сбивает с толку и предполагает, что вы не можете использовать общедоступные сертификаты ACM в инстансах EC2.
Вопрос: Могу ли я использовать сертификаты на инстансах Amazon EC2 или на моих собственных серверах?
Вы можете использовать частные сертификаты, выданные с помощью частного CA ACM, с инстансами, контейнерами EC2 и на своих серверах. В настоящее время общедоступные сертификаты ACM можно использовать только с определенными сервисами AWS. Посмотрите, с какими сервисами AWS я могу использовать сертификаты ACM?
Заключение
Я предлагаю вам вернуться к использованию Let's Encrypt. Если вам нужна помощь, начните с другого вопроса, указав, чего вы пытаетесь достичь, а что не работает, и покажите соответствующие журналы.
Это может показаться излишним, но работает довольно хорошо. Настройте общедоступный балансировщик нагрузки приложений перед экземпляром EC2 и выполните завершение HTTP-> HTTPS SSL с помощью балансировщика нагрузки. Это упростит вам замену сертификатов, если вам это нужно на уровне AWS, а не на уровне экземпляра. Обновите DNS, чтобы он указывал на балансировщик нагрузки, а не на экземпляр EC2. Это связано с определенными расходами, но, вероятно, это наверняка решит проблему.