Ringkasan Prasyarat dan batasan Arsitektur Alat Praktik terbaik Epik Pemecahan Masalah Sumber daya terkait

Migrasikan sertifikat SSL Windows ke Application Load Balancer menggunakan ACM

Chandra Sekhar Yaratha dan Igor Kovalchuk, Amazon Web Services

Ringkasan

Pola ini memberikan panduan untuk menggunakan AWS Certificate Manager (ACM) untuk memigrasikan sertifikat Secure Sockets Layer (SSL) yang ada dari situs web yang dihosting di server lokal atau instans Amazon Elastic Compute Cloud (Amazon EC2) di Microsoft Internet Information Services (IIS). Sertifikat SSL kemudian dapat digunakan dengan Elastic Load Balancing di AWS.

SSL melindungi data Anda, menegaskan identitas Anda, memberikan peringkat mesin pencari yang lebih baik, membantu memenuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dan meningkatkan kepercayaan pelanggan. Pengembang dan tim TI yang mengelola beban kerja ini ingin aplikasi web dan infrastruktur mereka, termasuk server IIS dan Windows Server, untuk tetap mematuhi kebijakan dasar mereka.

Pola ini mencakup ekspor sertifikat SSL yang ada secara manual dari Microsoft IIS, mengonversinya dari format Personal Information Exchange (PFX) ke format Private Enhanced Mail (PEM) yang didukung ACM, dan kemudian mengimpornya ke ACM di akun AWS Anda. Ini juga menjelaskan cara membuat Application Load Balancer untuk aplikasi Anda dan mengonfigurasi Application Load Balancer untuk menggunakan sertifikat impor Anda. Koneksi HTTPS kemudian dihentikan pada Application Load Balancer, dan Anda tidak memerlukan overhead konfigurasi lebih lanjut di server web. Untuk informasi selengkapnya, lihat Membuat pendengar HTTPS untuk Application Load Balancer Anda.

Server Windows menggunakan file.pfx atau.p12 untuk berisi file kunci publik (sertifikat SSL) dan file kunci pribadi uniknya. Otoritas Sertifikat (CA) memberi Anda file kunci publik Anda. Anda menggunakan server Anda untuk menghasilkan file kunci pribadi terkait tempat permintaan penandatanganan sertifikat (CSR) dibuat.

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif
Virtual private cloud (VPC) di AWS dengan setidaknya satu subnet pribadi dan satu subnet publik di setiap Availability Zone yang digunakan oleh target Anda
IIS versi 8.0 atau yang lebih baru berjalan di Windows Server 2012 atau yang lebih baru
Aplikasi web yang berjalan di IIS
Akses administrator ke server IIS

Arsitektur

Tumpukan teknologi sumber

Implementasi server web IIS dengan SSL untuk memastikan bahwa data ditransmisikan dengan aman dalam koneksi terenkripsi (HTTPS)

Arsitektur sumber

Tumpukan teknologi target

Sertifikat ACM di akun AWS Anda
Application Load Balancer yang dikonfigurasi untuk menggunakan sertifikat yang diimpor
Instans Windows Server di subnet pribadi

Arsitektur target

Alat

AWS Certificate Manager (ACM) membantu Anda membuat, menyimpan, dan memperbarui sertifikat dan kunci SSL/TLS X.509 publik dan pribadi yang melindungi situs web dan aplikasi AWS Anda.
Elastic Load Balancing (ELB) mendistribusikan lalu lintas aplikasi atau jaringan yang masuk ke beberapa target. Misalnya, Anda dapat mendistribusikan lalu lintas di seluruh EC2 instans, kontainer, dan alamat IP di satu atau beberapa Availability Zone.

Praktik terbaik

Menerapkan pengalihan lalu lintas dari HTTP ke HTTPS.
Konfigurasikan grup keamanan untuk Application Load Balancer Anda dengan benar untuk mengizinkan lalu lintas masuk hanya ke port tertentu.
Luncurkan EC2 instans Anda di Availability Zone yang berbeda untuk memastikan ketersediaan tinggi.
Konfigurasikan domain aplikasi Anda untuk menunjuk ke nama DNS Application Load Balancer, bukan alamat IP-nya.
Pastikan Application Load Balancer memiliki pemeriksaan kesehatan lapisan aplikasi yang dikonfigurasi.
Konfigurasikan ambang batas untuk pemeriksaan kesehatan.
Gunakan Amazon CloudWatch untuk memantau Application Load Balancer.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Ekspor file.pfx dari Windows Server.	Untuk mengekspor sertifikat SSL sebagai file.pfx dari manajer IIS lokal di Windows Server: Pilih Manajer Mulai, Administratif, Layanan Informasi Internet (IIS). Pilih nama server, dan di bawah Keamanan, klik dua kali Sertifikat Server. Pilih sertifikat yang ingin Anda ekspor, lalu pilih Ekspor. Di kotak Ekspor Sertifikat, pilih lokasi, jalur, dan nama untuk file.pfx Anda. Tentukan dan konfirmasikan kata sandi untuk file.pfx Anda. catatan Anda memerlukan kata sandi ini saat menginstal file.pfx. Pilih OK. File.pfx Anda sekarang harus disimpan ke lokasi dan jalur yang Anda tentukan.	Administrator sistem

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Ekspor file.pfx dari Windows Server.

Untuk mengekspor sertifikat SSL sebagai file.pfx dari manajer IIS lokal di Windows Server:

Pilih Manajer Mulai, Administratif, Layanan Informasi Internet (IIS).
Pilih nama server, dan di bawah Keamanan, klik dua kali Sertifikat Server.
Pilih sertifikat yang ingin Anda ekspor, lalu pilih Ekspor.
Di kotak Ekspor Sertifikat, pilih lokasi, jalur, dan nama untuk file.pfx Anda.
Tentukan dan konfirmasikan kata sandi untuk file.pfx Anda.
catatan
Anda memerlukan kata sandi ini saat menginstal file.pfx.
Pilih OK.

File.pfx Anda sekarang harus disimpan ke lokasi dan jalur yang Anda tentukan.

Administrator sistem

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Unduh dan instal toolkit OpenSSL.	Unduh dan instal Win32/Win64 OpenSSL dari situs web Shining Light Productions. Tambahkan lokasi binari OpenSSL ke variabel `PATH` sistem Anda, sehingga binari dapat tersedia untuk penggunaan baris perintah.	Administrator sistem
Ubah sertifikat yang dikodekan PFX ke format PEM.	Langkah-langkah berikut mengonversi file sertifikat yang ditandatangani PFX yang dikodekan menjadi tiga file dalam format PEM: `cert-file.pem`berisi SSL/TLS sertifikat untuk sumber daya. `privatekey.pem`berisi kunci pribadi sertifikat tanpa perlindungan kata sandi. `ca-chain.pem`berisi sertifikat root CA. Untuk mengonversi sertifikat yang dikodekan PFX: Jalankan Windows PowerShell. Gunakan perintah berikut untuk mengekstrak kunci pribadi sertifikat dari file PFX. Masukkan kata sandi sertifikat saat diminta. `openssl pkcs12 -in <filename>.pfx -nocerts -out withpw-privatekey.pem` Perintah menghasilkan file kunci pribadi yang dikodekan PEM bernama. `privatekey.pem` Masukkan frasa sandi untuk melindungi file kunci pribadi saat diminta. Jalankan perintah berikut untuk menghapus frasa sandi. Saat diminta, berikan frasa sandi yang Anda buat di langkah 2. `openssl rsa -in withpw-privatekey.pem -out privatekey.pem` Jika perintah berhasil, itu menampilkan pesan “menulis kunci RSA.” Gunakan perintah berikut untuk mentransfer sertifikat dari file PFX ke file PEM. `openssl pkcs12 -in <file_name>.pfx -clcerts -nokeys -out cert-file.pem` Ini membuat file sertifikat yang dikodekan PEM bernama. `cert-file.pem` Jika perintah berhasil, itu menampilkan pesan “MAC diverifikasi OK.” Buat file rantai CA dari file PFX. Perintah berikut membuat file rantai CA bernama`ca-chain.pem`. `openssl pkcs12 -in <file_name>.pfx -cacerts -nokeys -chain -out ca-chain.pem` Jika perintah berhasil, itu menampilkan pesan “MAC diverifikasi OK.”	Administrator sistem

Unduh dan instal toolkit OpenSSL.

Unduh dan instal Win32/Win64 OpenSSL dari situs web Shining Light Productions.
Tambahkan lokasi binari OpenSSL ke variabel PATH sistem Anda, sehingga binari dapat tersedia untuk penggunaan baris perintah.

Administrator sistem

Ubah sertifikat yang dikodekan PFX ke format PEM.

Langkah-langkah berikut mengonversi file sertifikat yang ditandatangani PFX yang dikodekan menjadi tiga file dalam format PEM:

cert-file.pemberisi SSL/TLS sertifikat untuk sumber daya.
privatekey.pemberisi kunci pribadi sertifikat tanpa perlindungan kata sandi.
ca-chain.pemberisi sertifikat root CA.

Untuk mengonversi sertifikat yang dikodekan PFX:

Jalankan Windows PowerShell.
Gunakan perintah berikut untuk mengekstrak kunci pribadi sertifikat dari file PFX. Masukkan kata sandi sertifikat saat diminta.
```
openssl pkcs12 -in <filename>.pfx -nocerts -out withpw-privatekey.pem
```
Perintah menghasilkan file kunci pribadi yang dikodekan PEM bernama. privatekey.pem Masukkan frasa sandi untuk melindungi file kunci pribadi saat diminta.
Jalankan perintah berikut untuk menghapus frasa sandi. Saat diminta, berikan frasa sandi yang Anda buat di langkah 2.
```
openssl rsa -in withpw-privatekey.pem -out privatekey.pem
```
Jika perintah berhasil, itu menampilkan pesan “menulis kunci RSA.”
Gunakan perintah berikut untuk mentransfer sertifikat dari file PFX ke file PEM.
```
openssl pkcs12 -in <file_name>.pfx -clcerts -nokeys -out cert-file.pem
```
Ini membuat file sertifikat yang dikodekan PEM bernama. cert-file.pem Jika perintah berhasil, itu menampilkan pesan “MAC diverifikasi OK.”
Buat file rantai CA dari file PFX. Perintah berikut membuat file rantai CA bernamaca-chain.pem.
```
openssl pkcs12 -in <file_name>.pfx -cacerts -nokeys -chain -out ca-chain.pem
```
Jika perintah berhasil, itu menampilkan pesan “MAC diverifikasi OK.”

Administrator sistem

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Bersiaplah untuk mengimpor sertifikat.	Di konsol ACM, pilih Impor sertifikat.	Administrator awan
Berikan badan sertifikat.	Untuk badan Sertifikat, tempel sertifikat yang disandikan PEM yang ingin Anda impor. Untuk informasi selengkapnya tentang perintah dan langkah yang dijelaskan dalam tugas ini dan tugas lain dalam epik ini, lihat Mengimpor sertifikat dalam dokumentasi ACM.	Administrator awan
Berikan kunci pribadi sertifikat.	Untuk kunci privat Sertifikat, tempel kunci privat tak terenkripsi yang disandikan PEM yang cocok dengan kunci publik sertifikat.	Administrator awan
Berikan rantai sertifikat.	Untuk rantai Sertifikat, tempel rantai sertifikat yang dikodekan PEM, yang disimpan dalam file. `CertificateChain.pem`	Administrator awan
Impor sertifikat.	Pilih Tinjau dan impor. Konfirmasikan bahwa informasi tentang sertifikat Anda sudah benar, lalu pilih Impor.	Administrator awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat dan konfigurasikan penyeimbang beban dan pendengar.	Ikuti petunjuk dalam dokumentasi Elastic Load Balancing untuk mengonfigurasi grup target, mendaftarkan target, dan membuat Application Load Balancer dan pendengar. Tambahkan pendengar kedua (HTTPS) untuk port 443.	Administrator awan

Pemecahan Masalah

Isu Solusi

Isu	Solusi
Windows PowerShell tidak mengenali perintah OpenSSL bahkan setelah Anda menambahkannya ke jalur sistem.	Periksa `$env:path` untuk memastikan bahwa itu termasuk lokasi binari OpenSSL. Jika tidak, jalankan perintah berikut di PowerShell: `$env:path = $env:path + ";C:\OpenSSL-Win64\bin"`

Windows PowerShell tidak mengenali perintah OpenSSL bahkan setelah Anda menambahkannya ke jalur sistem.

Periksa $env:path untuk memastikan bahwa itu termasuk lokasi binari OpenSSL.

Jika tidak, jalankan perintah berikut di PowerShell:


$env:path = $env:path + ";C:\OpenSSL-Win64\bin"

Sumber daya terkait

Mengimpor sertifikat ke ACM

Membuat Application Load Balancer

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Migrasi SAP ASE di Amazon ke EC2 Aurora PostgreSQL yang kompatibel

Memigrasikan antrian pesan dari Microsoft Azure ke Amazon SQS

Migrasikan sertifikat SSL Windows ke Application Load Balancer menggunakan ACM

Ringkasan

Prasyarat dan batasan

Arsitektur

Alat

Praktik terbaik

Epik

catatan

Pemecahan Masalah

Sumber daya terkait