Descarregamento de SSL/TLS do AWS CloudHSM no Windows usando IIS com KSP - AWS CloudHSM
Visão geral1: Prepare-se2: Como criar uma CSR3: Configurar um servidor4: verificar

Descarregamento de SSL/TLS do AWS CloudHSM no Windows usando IIS com KSP

Este tutorial fornece instruções passo a passo para configurar o descarregamento de SSL/TLS com o AWS CloudHSM em um servidor web do Windows.

Visão geral

No Windows, o aplicativo do servidor web Serviços de Informações da Internet (IIS) para Windows Server oferece suporte nativo a HTTPS. O AWS CloudHSM provedor de armazenamento de chaves (KSP) para a Cryptography API: Next Generation (CNG) da Microsoft fornece uma interface que permite que o IIS use os HSMs no cluster para descarregamento criptográfico e armazenamento de chaves. O KSP do AWS CloudHSM é a ponte que liga o IIS ao cluster do AWS CloudHSM.

Este tutorial mostra como fazer o seguinte:

  • Instale o software do servidor web em uma instância do Amazon EC2.

  • Configure o software do servidor Web para oferecer suporte a HTTPS com uma chave privada armazenada em seu AWS CloudHSM cluster.

  • (Opcional) Use o Amazon EC2 para criar uma segunda instância de servidor Web e o Elastic Load Balancing para criar um balanceador de carga. Usar um load balanceador de carga pode aumentar o desempenho, distribuindo a carga em vários servidores. Ele também pode fornecer redundância e maior disponibilidade se um ou mais servidores falhar.

Quando estiver pronto para começar, vá para Etapa 1: configurar os pré-requisitos.

Etapa 1: configurar os pré-requisitos

Plataformas diferentes exigem pré-requisitos diferentes. Use a seção de pré-requisitos abaixo que corresponde à sua plataforma.

Pré-requisitos para o Client SDK 5

Para configurar o descarregamento SSL/TLS de servidor Web com o AWS CloudHSM, é necessário o seguinte:

  • Um cluster do AWS CloudHSM ativo com pelo menos um HSM.

  • Uma instância do Amazon EC2 executando um sistema operacional Windows com o seguinte software instalado:

    • O software cliente do AWS CloudHSM para Windows.

    • Serviços de Informações da Internet (IIS) para Windows Server.

  • Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor web no HSM.

nota

Este tutorial usa o Microsoft Windows Server 2019. O Microsoft Windows Server 2016 e o 2022 também são compatíveis.

Para configurar uma instância do Windows Server e criar um CU no HSM

  1. Siga as etapas em Começar. Quando você iniciar o cliente do Amazon EC2, escolha um Windows Server 2019 AMI. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também terá uma instância do cliente do Amazon EC2 executando o Windows Server com o software cliente do AWS CloudHSM para Windows instalado.

  2. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Para adicionar um HSM em um cluster do AWS CloudHSM.

  3. Conecte-se ao servidor do Windows. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  4. Use a CLI do CloudHSM para criar um usuário de criptografia (CU). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

    nota

    Para obter informações sobre como criar um usuário, consulte Gerenciamento de usuários do HSM com a CLI do CloudHSM.

  5. Defina as credenciais de login para o HSM, usando o nome de usuário e a senha do CU que você criou na etapa anterior.

  6. Na etapa 5, se você tiver usado o Gerenciador de credenciais do Windows para definir credenciais do HSM, faça download de psexec.exe do SysInternals para executar o seguinte comando como NT Authority\SYSTEM:

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Substitua <USERNAME> e <PASSWORD> pelas credenciais do HSM.

Para instalar o IIS no Windows Server

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, escolha Add roles and features.

  4. Leia as informações de Before you begin e escolha Next.

  5. Em Installation Type (Tipo de instalação), escolha Role-based or feature-based installation (Instalação com base na função ou no recurso). Em seguida, escolha Next (Próximo).

  6. Em Server Selection, escolha Select a server from the server pool. Escolha Próximo.

  7. Em Server Roles, faça o seguinte:

    1. Selecione Servidor web (IIS).

    2. Em Adicionar recursos que são necessários para o Servidor Web (IIS), escolha Add Features (Adicionar recursos).

    3. Escolha Next para terminar de selecionar funções de servidor.

  8. Em Features (Recursos), aceite os padrões. Escolha Próximo.

  9. Leia as informações sobre a função Servidor Web (IIS). Escolha Próximo.

  10. Em Select role services (Selecionar serviços de função), aceite os valores padrão ou altere as configurações como preferir. Escolha Próximo.

  11. Em Confirmation (Confirmação), leia as informações de confirmação. Em seguida, selecione Install (Instalar).

  12. Depois que a instalação for concluída, escolha Close (Fechar).

Depois de concluir essas etapas, vá para Etapa 2: Criar uma solicitação de assinatura de certificado (CSR) e um certificado.

Pré-requisitos para o Client SDK 3

Para configurar o descarregamento SSL/TLS de servidor Web com o AWS CloudHSM, é necessário o seguinte:

  • Um cluster do AWS CloudHSM ativo com pelo menos um HSM.

  • Uma instância do Amazon EC2 executando um sistema operacional Windows com o seguinte software instalado:

    • O software cliente do AWS CloudHSM para Windows.

    • Serviços de Informações da Internet (IIS) para Windows Server.

  • Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor web no HSM.

nota

Este tutorial usa o Microsoft Windows Server 2016. O Microsoft Windows Server 2012 também é compatível, mas o Microsoft Windows Server 2012 R2 não é.

Para configurar uma instância do Windows Server e criar um CU no HSM

  1. Siga as etapas em Começar. Quando você ativar o cliente do Amazon EC2, escolha uma AMI do Windows Server 2016 ou Windows Server 2012. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também terá uma instância do cliente do Amazon EC2 executando o Windows Server com o software cliente do AWS CloudHSM para Windows instalado.

  2. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Para adicionar um HSM em um cluster do AWS CloudHSM.

  3. Conecte-se ao servidor do Windows. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  4. Use a CLI do CloudHSM para criar um usuário de criptografia (CU). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

    nota

    Para obter informações sobre como criar um usuário, consulte Gerenciamento de usuários do HSM com a CLI do CloudHSM.

  5. Defina as credenciais de login para o HSM, usando o nome de usuário e a senha do CU que você criou na etapa anterior.

  6. Na etapa 5, se você tiver usado o Gerenciador de credenciais do Windows para definir credenciais do HSM, faça download de psexec.exe do SysInternals para executar o seguinte comando como NT Authority\SYSTEM:

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Substitua <USERNAME> e <PASSWORD> pelas credenciais do HSM.

Para instalar o IIS no Windows Server

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. No Windows Server, inicie o Gerenciador de servidores.

  3. No painel Server Manager, escolha Add roles and features.

  4. Leia as informações de Before you begin e escolha Next.

  5. Em Installation Type (Tipo de instalação), escolha Role-based or feature-based installation (Instalação com base na função ou no recurso). Em seguida, escolha Next (Próximo).

  6. Em Server Selection, escolha Select a server from the server pool. Escolha Próximo.

  7. Em Server Roles, faça o seguinte:

    1. Selecione Servidor web (IIS).

    2. Em Adicionar recursos que são necessários para o Servidor Web (IIS), escolha Add Features (Adicionar recursos).

    3. Escolha Next para terminar de selecionar funções de servidor.

  8. Em Features (Recursos), aceite os padrões. Escolha Próximo.

  9. Leia as informações sobre a função Servidor Web (IIS). Escolha Próximo.

  10. Em Select role services (Selecionar serviços de função), aceite os valores padrão ou altere as configurações como preferir. Escolha Próximo.

  11. Em Confirmation (Confirmação), leia as informações de confirmação. Em seguida, selecione Install (Instalar).

  12. Depois que a instalação for concluída, escolha Close (Fechar).

Depois de concluir essas etapas, vá para Etapa 2: Criar uma solicitação de assinatura de certificado (CSR) e um certificado.

Etapa 2: Criar uma solicitação de assinatura de certificado (CSR) e um certificado

Para habilitar o HTTPS, o servidor web precisa de um certificado SSL/TLS e de uma chave privada correspondente. Para usar o descarregamento de SSL/TLS com o AWS CloudHSM, é necessário armazenar a chave privada no HSM no cluster do AWS CloudHSM. Para fazer isso, use o AWS CloudHSM key storage provider [provedor de armazenamento de chaves (KSP)] para a Cryptography API: Next Generation (CNG) da Microsoft para criar uma solicitação de assinatura de certificado (CSR). Em seguida, você fornece a CSR para uma autoridade de certificação (CA), que assina a CSR para produzir um certificado.

Criar uma CSR com Client SDK 5

  1. No Windows Server, use um editor de texto para criar um arquivo de solicitação de certificado chamado IISCertRequest.inf. O exemplo a seguir mostra o conteúdo de um arquivo IISCertRequest.inf de exemplo. Para obter mais informações sobre as seções, as chaves e os valores que você pode especificar no arquivo, consulte a documentação da Microsoft. Não mude o valor ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  2. Use o comando certreq do Windows para criar uma CSR no arquivo IISCertRequest.inf que você criou na etapa anterior. O exemplo a seguir salva a CSR em um arquivo chamado IISCertRequest.csr. Se você tiver usado um nome de arquivo diferente para seu arquivo de solicitação de certificado, substitua IISCertRequest.inf por um nome de arquivo apropriado. Opcionalmente, o nome do arquivo CSR IISCertRequest.csr pode ser substituído por um nome diferente.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr

CertReq: Request Created

    O arquivo IISCertRequest.csr contém sua CSR. Você precisa dessa CSR para obter um certificado assinado.

Criar uma CSR com Client SDK 3

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. Use os comandos a seguir para iniciar o daemon do cliente do AWS CloudHSM.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Para clientes Windows 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Para o cliente Windows 1.1.1 e anterior:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  3. No Windows Server, use um editor de texto para criar um arquivo de solicitação de certificado chamado IISCertRequest.inf. O exemplo a seguir mostra o conteúdo de um arquivo IISCertRequest.inf de exemplo. Para obter mais informações sobre as seções, as chaves e os valores que você pode especificar no arquivo, consulte a documentação da Microsoft. Não mude o valor ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  4. Use o comando certreq do Windows para criar uma CSR no arquivo IISCertRequest.inf que você criou na etapa anterior. O exemplo a seguir salva a CSR em um arquivo chamado IISCertRequest.csr. Se você tiver usado um nome de arquivo diferente para seu arquivo de solicitação de certificado, substitua IISCertRequest.inf por um nome de arquivo apropriado. Opcionalmente, o nome do arquivo CSR IISCertRequest.csr pode ser substituído por um nome diferente.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr
        SDK Version: 2.03

CertReq: Request Created

    O arquivo IISCertRequest.csr contém sua CSR. Você precisa dessa CSR para obter um certificado assinado.

Obtenção e importação de um certificado assinado

Em um ambiente de produção, geralmente usa-se uma autoridade de certificação (CA) para criar um certificado de uma CSR. Não é necessária uma CA para um ambiente de teste. Se você usar uma CA, envie o arquivo da CSR (IISCertRequest.csr) para ela e use a CA para criar um certificado SSL/TLS assinado.

Em vez de usar uma CA, você pode usar uma ferramenta como a OpenSSL para criar um certificado autoassinado.

Atenção

Os certificados autoassinados não são confiáveis para os navegadores e não devem ser usados em ambientes de produção. Eles podem ser usados em ambientes de teste.

Os procedimentos a seguir mostram como criar um certificado autoassinado e usá-lo para assinar a CSR do servidor web.

Para criar um certificado autoassinado

  1. Use o comando OpenSSL a seguir para criar uma chave privada. Opcionalmente, você pode substituir SelfSignedCA.key pelo nome de arquivo que conterá sua chave privada.

    openssl genrsa -aes256 -out SelfSignedCA.key 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:

  2. Use o comando OpenSSL a seguir para criar um certificado autoassinado usando a chave privada que você criou na etapa anterior. Este é um comando interativo. Leia as instruções na tela e siga os avisos. Substitua SelfSignedCA.key pelo nome do arquivo que contém sua chave privada (se for diferente). Opcionalmente, você pode substituir SelfSignedCA.crt pelo nome de arquivo que conterá seu certificado autoassinado.

    openssl req -new -x509 -days 365 -key SelfSignedCA.key -out SelfSignedCA.crt
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Para usar o certificado autoassinado para assinar a CSR do servidor web

  • Use o comando OpenSSL a seguir para usar a chave privada e o certificado autoassinado para assinar a CSR. Substitua as opções a seguir pelo nome do arquivo que contém os dados correspondentes (se forem diferentes).

    • IISCertRequest.csr: o nome do arquivo que contém a CSR do servidor web

    • SelfSignedCA.crt: o nome do arquivo que contém o certificado autoassinado

    • SelfSignedCA.key: o nome do arquivo que contém a chave privada

    • IISCert.crt: o nome do arquivo que conterá o certificado assinado do servidor web

    openssl x509 -req -days 365 -in IISCertRequest.csr \
                            -CA SelfSignedCA.crt \
                            -CAkey SelfSignedCA.key \
                            -CAcreateserial \
                            -out IISCert.crt
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:

Assim que concluir a etapa anterior, você terá um certificado assinado para seu servidor web (IISCert.crt) e um certificado autoassinado (SelfSignedCA.crt). Quando tiver esses arquivos, vá para Etapa 3: configure o servidor Web.

Etapa 3: configure o servidor Web

Atualize a configuração do site do IIS para usar o certificado HTTPS que você criou no final da etapa anterior. Isso concluirá a configuração do software do servidor Web do Windows (IIS) para descarregamento de SSL/TLS com o AWS CloudHSM.

Se tiver usado um certificado autoassinado para assinar a CSR, deverá primeiro importar o certificado autoassinado para Autoridades de certificação raiz confiáveis do Windows.

Para importar o certificado autoassinado para Autoridades de certificação raiz confiáveis do Windows

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. Copie o certificado autoassinado no servidor Windows.

  3. No Windows Server, abra o Control Panel (Painel de Controle).

  4. Em Search Control Panel (Pesquisar painel de controle), digite certificates. Em seguida, escolha Manage computer certificates (Gerenciar certificados de computador).

  5. Na janela Certificados – Computador local, clique duas vezes em Autoridades de certificação raiz confiáveis.

  6. Clique com o botão direito do mouse em Certificates (Certificados) e escolha Todas as tarefas, Importar.

  7. Em Certificate Import Wizard (Assistente para Importação de Certificados), escolha Next (Próximo).

  8. Escolha Browse (Procurar) e em seguida localize e selecione o certificado autoassinado. Se tiver criado o certificado autoassinado seguindo as instruções na etapa anterior deste tutorial, o nome do certificado autoassinado será SelfSignedCA.crt. Escolha Open (Abrir).

  9. Escolha Next (Próximo).

  10. Em Certificate Store (Repositório de Certificados), escolha Colocar todos os certificados no repositório a seguir. Em seguida, confirme se Trusted Root Certification Authorities (Autoridades de certificação raiz confiáveis) está selecionada para Certificate store (Repositório de Certificados).

  11. Escolha Next Próximo) e, em seguida, escolha Finish (Concluir).

Para atualizar a configuração do site do IIS

  1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte Conectar-se à sua instância no Guia do usuário do Amazon EC2.

  2. Inicie o daemon do cliente do AWS CloudHSM.

  3. Copie o certificado assinado do servidor web, aquele que você criou no final da etapa anterior deste tutorial para o servidor Windows.

  4. No Windows Server, use o comando certreq do Windows para aceitar o certificado assinado, como no exemplo a seguir. Substitua IISCert.crt pelo nome do arquivo que contém o certificado assinado do servidor web.

    C:\>certreq -accept IISCert.crt
        SDK Version: 2.03

  5. No Windows Server, inicie o Server Manager (Gerenciador de servidores).

  6. No painel Server Manager (Gerenciador de Servidores), no canto superior direito, escolha Tools (Ferramentas), Internet Information Services (IIS) Manager [Gerenciador dos Serviços de Informações da Internet (IIS)].

  7. Na janela Internet Information Services (IIS) Manager [Gerenciador dos Serviços de Informações da Internet (IIS)], clique duas vezes no nome do servidor. Em seguida, clique duas vezes em Sites. Selecione o site.

  8. Selecione SSL Settings (Configurações SSL). Em seguida, no lado direito da janela, escolha Associações.

  9. Na janela Site Bindings (Associações de Site), escolha Add (Adicionar).

  10. Em Type (Tipo), escolha https. Em SSL certificate (Certificado SSL), escolha o certificado HTTPS que você criou no final da etapa anterior deste tutorial.

    nota

    Se você encontrar um erro durante essa vinculação de certificado, reinicie seu servidor e repita essa etapa.

  11. Escolha OK.

Depois que atualizar a configuração do site, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.

Etapa 4: permitir tráfego HTTPS e verificar o certificado

Depois de configurar seu servidor Web para descarregamento de SSL/TLS com AWS CloudHSM, adicione sua instância de servidor Web a um grupo de segurança que permite tráfego HTTPS de entrada. Isso permite que clientes, como navegadores da Web, estabeleçam uma conexão HTTPS com seu servidor Web. Em seguida, faça uma conexão HTTPS com seu servidor Web e verifique se ele está usando o certificado que você configurou para descarregamento de SSL/TLS com AWS CloudHSM.

Habilitar conexões HTTPS de entrada

Para se conectar ao seu servidor Web a partir de um cliente (como um navegador da Web), crie um grupo de segurança que permita conexões HTTPS de entrada. Especificamente, ele deve permitir conexões TCP de entrada na porta 443. Atribua esse grupo de segurança ao seu servidor Web.

Para criar um grupo de segurança para HTTPS e atribuí-lo ao seu servidor Web

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create security group (Criar grupo de segurança).

  4. Para Create Security Group, faça o seguinte:

    1. Para Security group name, digite um nome para security group que você está criando.

    2. (Opcional) Digite uma descrição do security group que você está criando.

    3. Para VPC, escolha a VPC que contém a instância do Amazon EC2 do servidor Web.

    4. Selecione Adicionar regra.

    5. Em Tipo, selecione HTTPS na janela suspensa.

    6. Em Fonte, insira um local de origem.

    7. Escolha Create security group (Criar grupo de segurança).

  5. No painel de navegação, escolha Instâncias.

  6. Marque a caixa de seleção ao lado da sua instância do servidor Web.

  7. Selecione o menu suspenso Ações, na parte superior da página. Selecione Segurança e, em seguida, Alterar grupos de segurança.

  8. Em Grupos de segurança associados, escolha a caixa de pesquisa e escolha o grupo de segurança que você criou para HTTPS. Em seguida, escolha Adicionar grupos de segurança.

  9. Selecione Save (Salvar).

Verificar se o HTTPS usa o certificado que você configurou

Depois de adicionar o servidor Web a um grupo de segurança, você pode verificar se o descarregamento SSL/TLS está usando o certificado autoassinado. Faça isso com um navegador da Web ou com uma ferramenta como OpenSSL s_client.

Para verificar o descarregamento de SSL/TLS com um navegador da Web

  1. Use um navegador da Web para se conectar ao servidor Web usando o nome de DNS público ou endereço IP do servidor. Certifique-se de que a URL na barra de endereços comece com https://. Por exemplo, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    dica

    Você pode usar um serviço DNS, como o Amazon Route 53 para rotear o nome de domínio do site (por exemplo, https://www.example.com/) para seu servidor da Web. Para obter mais informações, consulte Roteamento de tráfego para uma instância do Amazon EC2 no Amazon Route 53 ou na documentação do seu serviço de DNS.

  2. Use seu navegador da Web para ver o certificado do servidor Web. Para obter mais informações, consulte:

    Outros navegadores da Web podem ter recursos semelhantes, que você pode usar para visualizar o certificado do servidor Web.

  3. Garanta que o certificado SSL/TLS é aquele para o qual você configurou o servidor Web para usar.

Para verificar o descarregamento de SSL/TLS com OpenSSL s_client

  1. Execute o seguinte comando OpenSSL para se conectar ao seu servidor Web usando HTTPS. Substitua <server name> pelo nome DNS público ou endereço IP do seu servidor Web. 

    openssl s_client -connect <server name>:443
    dica

    Você pode usar um serviço DNS, como o Amazon Route 53 para rotear o nome de domínio do site (por exemplo, https://www.example.com/) para seu servidor da Web. Para obter mais informações, consulte Roteamento de tráfego para uma instância do Amazon EC2 no Amazon Route 53 ou na documentação do seu serviço de DNS.

  2. Garanta que o certificado SSL/TLS é aquele para o qual você configurou o servidor Web para usar.

Agora você tem um site protegido com HTTPS. A chave privada do servidor Web está armazenada em um HSM no cluster do AWS CloudHSM.

Para adicionar um balanceador de carga, consulte Adicionar um balanceador de carga com o Elastic Load Balancing para AWS CloudHSM (opcional).