Установка сертификата Go Daddy SSL на AWS Route 53

Question

Я пытаюсь установить SSL-сертификат Go Daddy в мой Tomcat, работающий в экземпляре AWS, но неясно, какой из трех файлов сертификатов, загруженных из Go Daddy, следует импортировать в мой ключ Java. Документация Go Daddy не ясно, какие файлы необходимо использовать.

У меня есть эти файлы:

• c4c170b79c58acc3.crt (один сертификат)
• gd_bundle-g2-g1.crt (комплект из трех сертификатов)
• gdig2.crt.pem (один сертификат)

Инструкции Go Daddy должны установить корневой, промежуточный и сопровождаемый выданным сертификатом. Моя предыдущая попытка не удалась, и хранилище ключей привело к разрыву цепочки полномочий.

Вот ссылка на хранилище SSL-сертификатов Go Daddy. Даже не ясно, нужно ли мне что-то отсюда брать, но я подумал, что я тоже это включу.

Answer 1

Самое простое решение - поместить приложение tomcat в балансировщик нагрузки. Затем вы должны загрузить свой сертификат GoDaddy в IAM, а оттуда вы можете использовать его для включения SSL на балансировщике нагрузки.

Вторым самым простым решением было бы поставить apache перед tomcat и завершить SSL на apache.

Вам нужно будет предоставить больше информации о версиях (tomcat и java) для получения подробной информации о том, как включить это, но это был бы мой последний выбор - вышеупомянутые два были бы намного проще.

(и на самом деле самым простым решением было бы использовать ACM для получения бесплатного сертификата и развернуть его на балансировщике нагрузки)

Edit:

Из документации, на которую вы ссылаетесь, у вас есть как пакет (который включает в себя корень), так и только корневой сертификат (gdig2.crt.pem). Поэтому вам нужно добавить свой сертификат в конец пакета.

Вы можете проверить формат (я видел, что сертификаты запутались при передаче - например, некоторые редакторы могут испортить окончания строк, что может привести к неверному сертификату) с помощью openssl - взгляните на некоторые из параметры здесь .

Answer 2

В какой операционной системе работает ваш сервер? Я пока не могу комментировать, поэтому мне пришлось спросить здесь. Кричи на меня, если нужно.

Насколько я понимаю, Route 53 может делать несколько разных вещей, но, на ваш взгляд, вы управляете своими сертификатами через GoDaddy.com, поэтому я не думаю, что вам понадобится использовать сервис AWS Route 53 для этого. Однако вам нужно будет убедиться, что ваш URL-адрес соответствует AWS EC2 IP через GoDaddy.com. Я обнаружил, что certbot немного упрощает процесс, и здесь есть руководство по цифровому океану для CentOS (в значительной степени бесплатная версия RHEL): https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-centos-7 Основные шаги: Установите epel, затем необходимые репозитории (возможно, у вас уже установлены httpd и mod_ssl):

sudo yum install epel-release
sudo yum install httpd mod_ssl python-certbot-apache

Убедитесь, что ваши правила брандмауэра в порядке и позволяют HTTPS, обычно 443 или 8443, в зависимости от ваших настроек ... Теперь запустите certboot и замените example.com вашими URL

sudo certbot --apache -d example.com -d www.example.com

Вы получите несколько подсказок для ответа. Если ваш файл виртуальных хостов не указывает ваш домен, вам будет предложено выбрать файл, ssl.conf должен работать нормально. Выберите HTTPS (и перенаправьте HTTP на HTTPS, если хотите). Ваши сертификаты будут установлены в / etc / letsencrypt / live

Это действительно так, certbot должен был сделать некоторые проверки и убедиться, что вы контролируете доменное имя и изменил конфигурацию apache, чтобы использовать сертификаты, которые он установил. Существуют и другие методы укрепления безопасности, которые проходят через ссылки, но это выходит за рамки вопроса.

Это, конечно, предполагает, что вы не используете балансировщик нагрузки в AWS. Если это так, то вам нужно будет установить сертификат в прослушиватель HTTPS на балансировщике нагрузки. Подробнее здесь: https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/ssl-server-cert.html

Надеюсь, это поможет.