Я надеюсь, что кто-то может помочь мне с этим, поскольку я действительно ударил стену. Я пытаюсь добавить SSL-сертификат к одному экземпляру на Elastic Beanstalk под управлением Node.js и nginx. Я следовал инструкциям здесь при открытии порта 443. Это код, добавленный в файл .ebextensions. Это 100% копирование и вставка из документов AWS:
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
Затем я копирую / вставляю это , изменяя только часть, выделенную красным для сертификата, и оставляя закрытый ключ для отдельного файла. Вот код из той ссылки, которую я добавил во второй файл конфигурации в .ebextensions:
files:
/etc/nginx/conf.d/https.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
# For enhanced health reporting support, uncomment this block:
#if ($time_iso8601 ~ "^(\d{4})-(\d{2})-(\d{2})T(\d{2})") {
# set $year $1;
# set $month $2;
# set $day $3;
# set $hour $4;
#}
#access_log /var/log/nginx/healthd/application.log.$year-$month-$day-$hour healthd;
#access_log /var/log/nginx/access.log main;
location / {
proxy_pass http://nodejs;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
/etc/pki/tls/certs/server.crt:
mode: '000400'
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
CERT IS HERE...
-----END CERTIFICATE-----
Наконец, в соответствии с инструкциями, которые я нашел здесь , я добавил этот код в отдельный файл ebextensions:
Resources:
AWSEBAutoScalingGroup:
Metadata:
AWS::CloudFormation::Authentication:
S3Auth:
type: "s3"
buckets: ["elasticbeanstalk-us-west-2-12345678987654321"]
roleName:
"Fn::GetOptionSetting":
Namespace: "aws:autoscaling:launchconfiguration"
OptionName: "IamInstanceProfile"
DefaultValue: "aws-elasticbeanstalk-ec2-role"
files:
# Private key
"/etc/pki/tls/certs/server.key":
mode: "000400"
owner: root
group: root
authentication: "S3Auth"
source: https://s3-us-west-2.amazonaws.com/elasticbeanstalk-us-west-2-12345678987654321/not-real-name.key
Все развернуто, и я не вижу ошибок в CloudWatch, но экземпляр в основном мертв. Я получаю сообщение на информационной панели EB, в котором говорится: «Состояние среды изменилось с« Ожидание »на« Ухудшено ». Инициализация завершена 23 секунды назад и заняла 5 минут. Нарушение работы служб во всех случаях».
Это действительно все, что мне нужно. Сертификат и ключ были успешно добавлены. Сайт недоступен на порте 80 или 443. О, я также попытался перезапустить и восстановить, но без изменений.
Любая помощь в этом была бы очень признательна. Я чувствую, что шаг пропущен, но я ничего не увидел в документации - или, может быть, я как-то пропустил? Моя интуиция говорит мне, что это во втором блоке кода, но я не изменил это, кроме как для добавления моего сертификата.
Кроме того, я знаю, что с балансировщиком нагрузки это намного проще. Я уже знаю, как это сделать, и эта работа ведется, чтобы избежать расходов на балансировщик нагрузки. Кроме того, я уже прошел ряд учебных пособий по добавлению SSL в Elastic Beanstalk с помощью Let's Encrypt и не добился успеха ни с одним из них. В основном они заканчивались либо ухудшенным сервером и без подсказок в журналах, либо с ошибками разрешения.