Lightsail的SSL/TLS证书？

Question

AWS Certificate Manager(ACM)为AWS用户提供SSL/TLS证书.它也适用于Lightsail用户吗？

如果没有,是否有任何关于在Lightsail服务器上设置SSL证书的说明或建议？

Answer 1

根据其他答案,您无法使用AWS Certificate Manager为Amazon Lightsail实例或任何其他EC2实例创建和安装证书.但是,您可以创建自己的SSL/TLS证书并手动安装它们.WordPress的Lightsail实例由Bitnami提供支持,Bitnami提供了有关如何使用LetsEncrypt创建和安装免费SSL/TLS证书的确切说明.

https://docs.bitnami.com/aws/how-to/generate-install-lets-encrypt-ssl/

我为lukejanicke.com成功完成了这个过程,但没有立即让它为www .lukejanicke.com 工作

Answer 2

当前没有将ACM证书与Lightsail实例一起使用的机制。

但是，也没有直接在EC2实例上使用ACM证书的机制。它们必须位于负载平衡器的后面，因为ACM无法为您提供对证书私钥的访问。

您只能将ACM证书与ELB / ALB和CloudFront一起使用。

在Lightsail上的实例元数据中可见的信息表明ELB / ALB可能是那里的未来功能，这表明将来可能会实现……但目前还没有。

当然，CloudFront可与任何原始服务器（EC2，Lightsail甚至是根本不在AWS中的原始服务器）一起使用。（我在客厅中有一台在CloudFront后面工作的服务器）。如果您不需要在CloudFront和您的Lightsail机器之间（仅在浏览器和CloudFront之间）加密，那么您可以立即进行配置，并在CloudFront上使用ACM证书（以Lightsail作为原始服务器）。唯一的问题是您将不会使用从Lightsail到Internet的免费出站带宽配额-您将使用CloudFront出站Internet带宽，该带宽没有Lightsail这样的大可用配额。

Answer 3

如何使用 SSL 证书启用 HTTPS 支持？

注意：以下步骤假设您使用的是自定义域名，并且您已将自定义域名配置为指向您的云服务器。

Bitnami 镜像附带已预先配置的 SSL 支持，并配有虚拟证书。尽管此虚拟证书适合测试和开发目的，但您通常希望使用有效的 SSL 证书进行生产。您可以自己生成此证书（在此处进行说明），也可以从商业证书颁发机构购买一个。

获取证书和证书密钥文件后，您将需要更新服务器才能使用它们。请按照以下步骤激活 SSL 支持：

使用下表确定证书和配置文件的正确位置。

将 SSL 证书和证书密钥文件复制到指定位置。

注意：如果您的证书和密钥文件使用不同的名称，则应在相应的 Apache 配置文件中重新配置 SSLCertificateFile 和 SSLCertificateKeyFile 指令以反映正确的文件名。

如果您的证书颁发机构还为您提供了 PEM 编码的证书颁发机构 (CA) 捆绑包，则必须将其复制到上表中的正确位置。然后，修改 Apache 配置文件以在 SSLCertificateKeyFile 指令下方包含以下行。根据您的场景和 Apache 版本选择正确的指令：

注意：如果您对 CA 证书包使用不同的名称，则应在相应的 Apache 配置文件中重新配置 SSLCertificateChainFile 或 SSLCACertificateFile 指令以反映正确的文件名。

复制所有服务器证书文件后，您可以使用以下命令使它们只能由 root 用户读取：

sudo chown root:root /opt/bitnami/apache2/conf/server*
sudo chmod 600 /opt/bitnami/apache2/conf/server*

在服务器防火墙中打开端口 443。请参阅常见问题解答以获取更多信息。

重新启动 Apache 服务器。

您现在应该能够使用 HTTPS URL 访问您的应用程序。

如何创建 SSL 证书？

您可以使用 OpenSSL 二进制文件创建自己的 SSL 证书。然后可以将证书请求发送到证书颁发机构 (CA) 以将其签名到证书中，或者如果您有自己的证书颁发机构，您可以自己签名，或者可以使用自签名证书（因为您只是想要测试证书或者因为您正在设置自己的 CA）。

创建您的私钥（如果您尚未创建）：

sudo openssl genrsa -out /opt/bitnami/apache2/conf/server.key 2048

创建证书：

 sudo openssl req -new -key /opt/bitnami/apache2/conf/server.key -out /opt/bitnami/apache2/conf/cert.csr

重要提示：当上述命令要求“通用名称”时，请输入服务器域名。

将 cert.csr 发送到证书颁发机构。当证书颁发机构完成检查（并且可能收到您的付款）时，他们会将您的新证书移交给您。

在收到证书之前，创建临时自签名证书：

 sudo openssl x509 -in /opt/bitnami/apache2/conf/cert.csr -out /opt/bitnami/apache2/conf/server.crt -req -signkey /opt/bitnami/apache2/conf/server.key -days 365

生成受密码保护的版本后，将您的私钥备份到安全位置，如下所示：

sudo openssl rsa -des3 -in /opt/bitnami/apache2/conf/server.key -out privkey.pem

请注意，如果您在 Apache 配置文件中使用此加密密钥，则每次 Apache 启动时都需要手动输入密码。从此文件重新生成没有密码保护的密钥，如下所示：

sudo openssl rsa -in privkey.pem -out /opt/bitnami/apache2/conf/server.key

有关证书的更多信息，请访问http://www.openssl.org。

答案是从https://docs.bitnami.com/aws/apps/wordpress/#how-to-enable-https-support-with-ssl-certificates复制的，以便在页面过期或更改时可用。