本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Elastic Beanstalk 环境配置 HTTPS
如果您已为 Elastic Beanstalk 环境购买并配置了自定义域名,您可以使用 HTTPS 来允许用户安全连接到网站。如果您没有域名,仍可将包含自签名证书的 HTTPS 用于开发和测试目的。HTTPS 是传输用户数据或登录信息的任何应用程序而言都必不可少。
配合 Elastic Beanstalk 环境使用 HTTPS 的最简单方式是向环境的负载均衡器分配服务器证书。当您配置负载均衡器以终止 HTTPS 时,客户端和负载均衡器之间的连接是安全的。负载均衡器和 EC2 实例的后端连接使用 HTTP,因此不需要实例的其他配置。
注意
使用 Amazon Certificate Manager (ACM)
要将 ACM 证书与 Elastic Beanstalk 结合使用,请参阅配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS。
如果您在单实例环境中运行应用程序,或需要确保可一直连接到负载均衡器背后的 EC2 实例,您可配置在实例上运行的代理服务器以终止 HTTPS。配置实例以终止 HTTPS 连接要求使用配置文件来更改在实例上运行的软件,并修改安全组,以允许安全连接。
对于负载均衡环境中的端对端 HTTPS,您可以组合实例和负载均衡器终止,以同时加密两个连接。默认情况下,如果您使用 HTTPS 配置负载均衡器以转发流量,它将信任由后端实例向其提交的所有证书。为了实现最高安全性,您将策略与负载均衡器连接,避免其连接未提交其信任的公有证书的实例。
注意
您也可将负载均衡器配置为传递 HTTPS 流量,无需解密。这种方法的缺点在于负载均衡器无法查看请求,因此无法优化路由或报告响应指标。
如果 ACM 在您所在的区域不可用,您可从第三方购买的可信证书。第三方证书可用于在负载均衡器、后端实例或负载均衡器及后端实例上解密 HTTPS 流量。
对于开发和测试,您可使用开源工具自行创建和签署证书。自签名证书可免费轻松创建,但无法用于公共站点的前端解密。如果您试图通过客户端为 HTTPS 连接使用自签名证书,用户的浏览器将会显示错误消息,表示网站不安全。但您可使用自签名证书来确保后端连接,不会出现问题。
ACM 是以编程方式预置、管理和部署您的服务器证书的首选工具,也可以使用 Amazon CLI。如果 ACM 在您所在的 Amazon 区域不可用,您可以使用 Amazon CLI 上载第三方或自签名证书和私有密钥到 Amazon Identity and Access Management (IAM)。在 IAM 中存储的证书可配合负载均衡器和 CloudFront 分配使用。
注意
GitHub 上的是否有 Snake?