如何将 SSL 证书上传到 AWS ELB

如何将 SSL 证书上传到 AWS ELB

我是基础设施团队的斋藤。
感谢所有基础设施团队成员或公司内部系统工程师每次都为SSL证书续期付出的辛勤努力。

现在，AWS Certificate Manager 已于今年 5 月 16 日在东京地区推出。

从现在起，您可以免费使用以亚马逊为证书颁发机构的 SSL 证书。

AWS 变得越来越方便，这次我们将向您展示如何将通过其他证书颁发机构获得的 SSL 证书应用到 ELB。

此任务使用 AWS CLI。请在继续操作之前安装以下模块。

使用 pip 安装 awscli

如果您尚未完成初始设置，请输入以下命令：

aws 配置

输入以下信息以完成默认设置： AWS 访问密钥 ID [无]：
AWS 秘密访问密钥 [无]：
默认区域名称 [无]：
默认输出格式 [无]： 您配置的设置将保存在文件~/.aws/credentials 和 ~/.aws/config 中。

如何上传

首先，准备 SSL 证书。在可以执行 awscli 命令的环境中
，将 SSL 证书放在当前目录中，然后
使用以下命令将 SSL 证书上传到远程管理控制台。

aws iam upload-server-certificate --server-certificate-name "example-domain.com" \ --certificate-body file://./example-domain.com.crt \ --private-key file://./example-domain.com.key \ --certificate-chain file://./example-domain.com.ca

其中每一部分都指定了以下内容： certificates-body：服务器证书， private-key：私钥， certificate-chain：中间证书。

~/.aws/credentials 文件中有多个用户配置文件`--profile`指定它们
此外，如果您收到错误消息提示您指定区域，`--region`指定 ELB 区域
例如，对于东京区域，则应为 ap-northeast-1。

现在，让我们列出每种情况下的命令。

当向 ELB 添加新的监听器时，例如 https(443) → http(80)

aws elb create-load-balancer-listeners \ --load-balancer-name \ --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=arn:iam:::server-certificate/example-domain.com --region ap-northeast-1

要更新现有监听器的证书：

aws elb set-load-balancer-listener-ssl-certificate \ --load-balancer-name \ --load-balancer-port 443 \ --ssl-certificate-id arn:aws:iam:::server-certificate/example-domain.com \ --region ap-northeast-1

删除已上传的证书：

aws iam delete-server-certificate --server-certificate-name example-domain.com

要移除监听器：

aws elb delete-load-balancer-listeners --load-balancer-name --load-balancer-ports 443

了解上述命令后，将证书上传到 ELB 的过程就顺畅多了。
最好将它们嵌入到 shell 脚本中，作为标准流程。