如何上传SSL证书到AWS ELB

如何上传SSL证书到AWS ELB

我是基础设施团队的斋藤。
感谢所有基础设施工程师和内部系统工程师每次续订SSL证书时所付出的辛勤努力。

现在，AWS Certificate Manager 已于今年 5 月 16 日在东京地区推出。

从现在起，您可以免费使用以亚马逊为证书颁发机构的 SSL 证书。

AWS 变得越来越方便，这次我们将向您展示如何将通过其他证书颁发机构获得的 SSL 证书应用到 ELB。

此任务使用 AWS CLI。请在继续操作之前安装以下模块。

使用 pip 安装 awscli

如果您尚未完成初始设置，请输入以下命令：

aws 配置

请输入以下项目以完成默认设置：
AWS 访问密钥 ID [无]：

AWS 秘密访问密钥 [无]：
默认区域名称 [无]：
默认输出格式 [无]：您所做的设置保存在文件~/.aws/credentials、~/.aws/config 中

如何上传

首先，准备 SSL 证书。在可以运行 awscli 命令的环境中
，在当前目录中准备 SSL 证书，然后
使用以下命令将 SSL 证书上传到远程管理控制台。

aws iam upload-server-certificate --server-certificate-name "example-domain.com" \ --certificate-body file://./example-domain.com.crt \ --private-key file://./example-domain.com.key \ --certificate-chain file://./example-domain.com.ca

每个部分都如下所示：
证书主体：服务器证书；
私钥：指定私钥；

指定中间证书。

如果您在~/.aws/credentials 文件`--profile`指定它们
此外，如果出现错误消息要求您指定区域，`--region`指定 ELB 区域
例如，东京区域的 ELB 区域是 ap-northeast-1。

现在，让我们列出每种情况下的命令。

当向 ELB 添加新的监听器时，例如 https(443) → http(80)

aws elb create-load-balancer-listeners \ --load-balancer-name \ --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=arn:iam:::server-certificate/example-domain.com --region ap-northeast-1

要更新现有监听器的证书：

aws elb set-load-balancer-listener-ssl-certificate \ --load-balancer-name \ --load-balancer-port 443 \ --ssl-certificate-id arn:aws:iam:::server-certificate/example-domain.com \ --region ap-northeast-1

删除已上传的证书：

aws iam delete-server-certificate --server-certificate-name example-domain.com

要移除监听器：

aws elb delete-load-balancer-listeners --load-balancer-name --load-balancer-ports 443

了解以上命令将使证书上传到 ELB 的过程更加顺畅。
您还可以将它们嵌入到 shell 脚本中，作为标准流程。