কীভাবে নতুন এডাব্লুএস শংসাপত্র ব্যবস্থাপক পরিষেবাটির সহায়তায় এডাব্লুএস ইসি 2 তে এসএসএল শংসাপত্র যুক্ত করা যায়


91

AWS একটি নতুন পরিষেবা AWS শংসাপত্র ব্যবস্থাপক নিয়ে এসেছে । বিবরণ থেকে একটি জিনিস পেয়েছি যে আমরা যদি এই পরিষেবাটি ব্যবহার করি তবে আমাদের আর শংসাপত্রের জন্য অর্থ দিতে হবে না।

তারা ইলাস্টিক লোড ব্যালেন্সার (ELB) এবং ক্লাউডফ্রন্টের শংসাপত্র সরবরাহ করছে, তবে আমি ইসি 2 কোথাও পাইনি।

ইসি 2 দিয়ে শংসাপত্রটি ব্যবহার করার কোনও উপায় আছে কি?


4
ক্রোম এবং ফেসবুকের মতো অবদানকারীদের সাথে বিনামূল্যে এবং বিশ্বাসযোগ্য শংসাপত্রগুলির জন্য আপনি লেটেনক্রিপট.আর্গ.এ এক নজর দেখতে পারেন
টম


4
ওও আমি এই সম্পর্কে জানতাম না। তবে আমি মনে করি তারা এটিকে অনুমতি না দেওয়ার পক্ষে সঠিক। আপনি বরং অন্য ডোমেনে (উদাহরণস্বরূপ রুট 53 এর মাধ্যমে) এলিয়াস তৈরি করতে এবং সরবরাহ করা ডিফল্ট আউস ডিএনএস নাম ব্যবহার করতে পারবেন না?
টম

আমি সম্প্রতি একটি ভিডিও [এপ্রিল - 2020] এ এসেছি যেখানে তারা AWS শংসাপত্র ব্যবস্থাপকের সাথে একটি এসএসএল \ টিএলএস শংসাপত্র তৈরি করে এবং তারপরে এটি একটি লোড ব্যালান্সারের পিছনে ইসি 2 ইনস্ট্যান্সে রেখে দেয়। youtu.be/bWPTq8z1vFY এটি সত্যিই সহায়ক ছিল।
nktsamba

উত্তর:


109

প্রশ্ন: আমি কি আমাজন ইসি 2 উদাহরণগুলিতে বা নিজের সার্ভারে শংসাপত্রগুলি ব্যবহার করতে পারি?

এই মুহুর্তে, এসিএম দ্বারা প্রদত্ত শংসাপত্রগুলি কেবলমাত্র নির্দিষ্ট এডাব্লুএস পরিষেবাগুলির সাথে ব্যবহার করা যেতে পারে।


প্রশ্ন: আমি কোন এডাব্লুএস পরিষেবা দিয়ে এসিএম দ্বারা প্রদত্ত শংসাপত্র ব্যবহার করতে পারি?

আপনি নিম্নলিখিত AWS পরিষেবাদির সাথে ACM ব্যবহার করতে পারেন:

La ইলাস্টিক লোড ব্যালান্সিং

• অ্যামাজন ক্লাউডফ্রন্ট

• এডাব্লুএস ইলাস্টিক বিয়ানস্টালক

• অ্যামাজন এপিআই গেটওয়ে

https://aws.amazon.com/cerર્ટate-manager/faqs/

আপনি EC2 বা AWS এর বাইরে সার্ভারের মতো সরাসরি নিম্ন-স্তরের অ্যাক্সেস পেয়েছেন এমন সংস্থানগুলিতে আপনি অ্যামাজন সার্টিফিকেট ম্যানেজার (এসিএম) দ্বারা তৈরি করা শংসাপত্রগুলি ইনস্টল করতে পারবেন না কারণ আপনি ব্যক্তিগত কীগুলিতে অ্যাক্সেস সরবরাহ করেন নি। এই শংসাপত্রগুলি কেবল এডাব্লুএস অবকাঠামো - ইএলবি এবং ক্লাউডফ্রন্ট দ্বারা পরিচালিত সংস্থাগুলিতে স্থাপন করা যেতে পারে - কারণ এডাব্লুএস অবকাঠামোটি এটি তৈরি করে এমন শংসাপত্রগুলির জন্য ব্যক্তিগত কীগুলির একমাত্র অনুলিপি রাখে এবং নিরীক্ষণযোগ্য অভ্যন্তরীণ অ্যাক্সেস নিয়ন্ত্রণের সাথে কঠোর সুরক্ষার অধীনে এগুলি বজায় রাখে ।

ইসি 2 থেকে আগত সামগ্রীর জন্য এই শংসাপত্রগুলি ব্যবহার করার জন্য আপনার ইসি 2 মেশিনগুলি ক্লাউডফ্রন্ট বা ইএলবির পিছনে শুনতে হবে (বা উভয়ই ক্যাসকেড করেছে, কাজ করবে) ... কারণ আপনি এই শংসাপত্রগুলি সরাসরি ইসি 2 মেশিনে ইনস্টল করতে পারবেন না because ।


11
সুসংবাদটি হ'ল আপনি যদি কোনও শংসাপত্র জারি করেন এবং সন্ধান পেয়েছেন তবে আপনি এটি ইনস্টল করতে পারবেন না এমন কোনও চার্জ নেই।
ক্রাফটিদেবিল

4
lol @ ক্রাফটিদেবিল আমার ধারণা আপনার একটি বক্তব্য আছে। নোট করুন যে লেটসেনক্রিপ.অর্গ হ'ল একটি এসএসএল শংসাপত্রের জন্য একটি বৈধ, স্বীকৃত, অলাভজনক উত্স যা আপনি যে কোনও জায়গায় ইনস্টল করতে পারেন। (এবং, আমি যুক্ত করতে পারি, লেটস এনক্রিপ্টের সাথে আমার কোনও সম্পর্ক নেই))
মাইকেল - sqlbot

6
@ ইঞ্জিনিয়ারডোলারি নং, এটি কেবলমাত্র একটি নির্দিষ্ট ক্ষেত্রেই সত্য। আপনি একেবারে ইসি 2 তে লেটস এনক্রিপ্ট ব্যবহার করতে পারেন। আপনি যা করতে পারবেন না তা হ'ল একটি ইসি 2 *.amazonaws.comহোস্টনামের জন্য একটি চলুন এনক্রিপ্ট শংসাপত্র পাবে কারণ সংবেদনশীলভাবে যথেষ্ট, আসুন এনক্রিপ্ট নীতিটি এটির অনুমতি দেয় না ... তবে এমন কোনও ডোমেনের জন্য যা আপনি EC2 দৃষ্টান্ত আইপি, বা ELB বা ক্লাউডফ্রন্টকে নির্দেশ করেন, আপনি সম্ভবত স্পষ্টভাবে লেটস এনক্রিপ্ট ব্যবহার করতে পারেন, অন্য কোথাও।
মাইকেল - স্কলবট

4
: একটি স্বয়ংক্রিয় সঙ্গে একটি উদাহরণ লিঙ্ক করুন এনক্রিপ্ট শংসাপত্র EC2 বিতরিত দেয় docs.aws.amazon.com/AWSEC2/latest/UserGuide/...
Efren

আমি ইএলবি সেটআপের সবকিছু অনুসরণ করে এখনই পেয়ে যাচ্ছি 502 ব্যাড গেটওয়ে যখন আমি ইএলবি
তে

2

না, আপনি ইসি 2 তে শংসাপত্র মোতায়েনের জন্য আউস সার্টিফিকেট ম্যানেজার ব্যবহার করতে পারবেন না। শংসাপত্র পরিচালকের শংসাপত্রগুলি কেবল ক্লাউডফ্রন্ট এবং স্থিতিস্থাপক লোড ব্যালান্সারের বিপরীতে মোতায়েন করা যায়। ইসি 2 তে এটি ব্যবহারের জন্য ইনোর্ডার, আপনাকে ইসি 2 এর উপরে এলব লাগাতে হবে, যাতে ক্লায়েন্টের কাছ থেকে লোড ব্যালান্সারের অনুরোধটি https সুরক্ষিত থাকবে এবং এলিবি থেকে ইজ 2 ওয়েবসার্ভার HTTP এ থাকবে।


1

আপনি যদি কেবল অভ্যন্তরীণ উদ্দেশ্যে AWS ACM সার্ট ব্যবহার করেন তবে আপনি শংসাপত্রগুলি দেওয়ার জন্য সম্ভবত AWS ACM প্রাইভেট সিএ ব্যবহার করতে পারেন (

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaGetStarted.html

অ্যাপ্লিকেশন / ইসি 2 / ধারক প্রারম্ভকালীন সময়ে, আপনার এসিএম প্রাইভেট সিএ আপনার গন্তব্যে সার্টিফিকেট / প্রাইভেট কী জারি করে রফতানি করার জন্য একটি পদক্ষেপ সেট করুন এবং ট্র্যাফিক সরবরাহের জন্য এটি উল্লেখ করা শুরু করুন।

https://docs.aws.amazon.com/cli/latest/references/acm/export-certificate.html

একটি ভাল বিষয় হ'ল, আপনি নিয়ন্ত্রণ করতে পারবেন কে আইএমএল রোল ব্যবহার করে রফতানি শংসাপত্রের বৈশিষ্ট্যটি কল করতে পারে যাতে প্রত্যেকে প্রত্যেকে প্রত্যেকেই প্রত্যাহারের সার্টের ব্যক্তিগত কী ডাউনলোড করতে পারে না।

এর একটি নেতিবাচক দিকটি হ'ল, প্রাইভেট সিএ ব্যয়বহুল এডাব্লুএস পরিষেবা ($ 400 / মাস)। https://aws.amazon.com/cerર્ટate-manager/pricing/


আপনি এসিএম পিসিএ সহ এক্সপোর্ট-শংসাপত্র ব্যবহার করতে পারবেন না - তবে আপনার এটিরও দরকার নেই: আপনার কাছে ইতিমধ্যে প্রাইভেট কী থাকবে এবং গেট-শংসাপত্রটি ইউইটি শংসাপত্র এবং চেইন দেয়।
ফ্রি উইলার্ট

@ ফ্রিওয়িলার্ট আমি নিশ্চিত, আপনি গেট-সার্টিফিকেট সহ প্রাইভেট কী অংশ পাবেন না। এই সিএলআই ডকুমেন্টেশন চেক করুন । এবং এই । ক্লাইব প্রতিক্রিয়াগুলির উভয় আউটপুট চেক করুন। আমি ইতিমধ্যে এই সিএলআই কমান্ড পরীক্ষা করেছি।
ইমরান

নিবন্ধন করুন উপরে সিএলআই কমান্ডটি ডকার স্টার্টআপ স্ক্রিপ্ট বা ইসি 2 ব্যবহারকারী ডেটা স্ক্রিপ্টে প্রাইভেট কী সার্টটি রানটাইমে ডাউনলোড করতে এবং সেগুলি টিএলএস ট্র্যাফিকের জন্য ব্যবহার করতে শুরু করতে ব্যবহার করা যেতে পারে। বিশেষত এএসজিতে। ভাল অংশটি হ'ল আপনি নিয়ন্ত্রণ করতে পারেন কে আইএএম রোলগুলি ব্যবহার করে সি এল এল কমান্ডের উপরে কল করতে পারে যাতে প্রত্যেকের ব্যক্তিগত কীতে অ্যাক্সেস থাকে না।
ইমরান

4
@ ইমরান আপনার One downside with this is, private CA is expensive AWS service($400/month).উপরের দিকে সাহসী লেখা উচিত উদাহরণস্বরূপ আমি এই উত্তরটি ২ য় বার না পড়লে মিস করতাম
পাইকারস্কি ডি

@ পাইকারস্কিডি শেষ হয়েছে। পরামর্শের জন্য ধন্যবাদ!!. আপনি যদি আমার উত্তর পছন্দ করেন, আপনি সর্বদা upvote করতে পারেন !!।
ইমরান

0

উপরের মন্তব্যে যুক্ত করে, আপনি এর জন্য এডাব্লুএস শংসাপত্র ব্যবস্থাপকটি ব্যবহার করতে পারবেন না, তবে আপনি আইআইএস চলমান উইন্ডোজ সার্ভারে ইক্য 2 এ লেটস এনক্রিপ্ট শংসাপত্রটি যুক্ত করতে পারেন এবং এটি বেশ সহজ:

  1. আপনার ইক্য 2 উদাহরণের সাথে একটি স্থিতিস্থাপক আইপি সংযুক্ত করুন।

  2. আপনার নিবন্ধিত ডোমেন রয়েছে তা নিশ্চিত করুন। আপনি উদাহরণস্বরূপ আসা ec2----------.us-east-1.compute.amazonaws.com টাইপের নাম ব্যবহার করতে পারবেন না।

  3. আপনার ডোমেন সরবরাহকারীর ডিএনএস সেটিংসের মাধ্যমে আপনার ডোমেনটি আপনার ইলাস্টিক আইপিতে নির্দেশ করে।

  4. আপনার ec2 দৃষ্টান্তের সাথে সংযুক্ত হন এবং সাইটের বাইন্ডিংগুলিতে আপনার ডোমেন নাম যুক্ত করুন।

  5. Https://github.com/PKISharp/win-acme/releases এ যান

  6. সম্পদের অধীনে দেখুন এবং সর্বশেষতম সংস্করণটি ব্যবহার করুন (উদাহরণস্বরূপ win-acme.v2.0.10.444.zip)। এটি আপনার প্রয়োজন একমাত্র সম্পদ ফোল্ডার।

  7. ফোল্ডারটি আনজিপ করুন, প্রশাসক হিসাবে টার্মিনালটি খুলুন এবং আনজিপড ফোল্ডারে সিডি করুন।

  8. Wacs.exe চালান এবং প্রম্পটগুলি অনুসরণ করুন।

  9. নিশ্চিত করুন যে আপনার আইনে নিযুক্ত সুরক্ষা গোষ্ঠীটি আইআইএসে আপনি যে HTTPS পোর্টটি বেছে নিয়েছেন তা ট্র্যাফিকের (খুব কমপক্ষে নিজের আইপিতে) অনুমতি দেয়; এটি ডিফল্টভাবে 443 পোর্ট।

আমি যখন এটি বের করছিলাম তখন নীচের লিঙ্কগুলিকে সহায়ক বলেছি। আপনার আরও সহায়তার প্রয়োজন হলে এখানে একটি পূর্ববর্তী রিলিজ ব্যবহার করা একটি ভিডিও রয়েছে তবে এটি একই ধারণা।

https://www.youtube.com/watch?v=fq5OUOjumuM

এছাড়াও এই নিবন্ধটি সহায়ক হতে পারে:

https://weblog.west-wind.com/posts/2016/feb/22/ using-lets-encrypt-with-iis-on-windows

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.