SSL/TLS证书用于Lightsail？

Question

AWS证书管理器(ACM)为AWS用户提供SSL/TLS证书。它也适用于Lightsail用户吗？

如果没有，是否有任何关于在Lightsail服务器上设置SSL证书的说明或建议？

Answer 1

根据其他答案，您不能使用AWS证书管理器为Amazon实例或任何其他EC2实例创建和安装证书。但是，您可以创建自己的SSL/TLS证书并手动安装它们。WordPress的Lightsail实例是由Bitnami提供的，Bitnami给出了关于如何创建和安装带有LetsEncrypt的免费SSL/TLS证书的确切说明。

https://docs.bitnami.com/aws/how-to/generate-install-lets-encrypt-ssl/

我成功地为www.lukejanicke.com完成了这个过程，但没有立即使它在lukejanicke.com中工作

Answer 2

目前还没有在Lightsail实例中使用ACM证书的机制。

但是，也有 on EC2 instances。它们必须在负载均衡器后面，因为ACM不为您提供访问证书私钥的权限。

您只能将ACM证书与ELB/ALB和CloudFront一起使用。

在Lightsail的实例元数据中可以看到的信息表明，ELB/ALB可能是未来的一个特性，这意味着它可能在将来成为可能.但就目前而言，并非如此。

当然，CloudFront可以与任何源服务器一起工作-- EC2、Lightsail，甚至是根本不在AWS中的原始服务器。(我的客厅里有一台服务器在CloudFront后面工作)。如果您不需要在CloudFront和您的Lightsail计算机之间进行加密--只是在浏览器和CloudFront之间--那么您现在就可以配置它，并在CloudFront上使用一个ACM证书，并以Lightsail作为源服务器。唯一的问题是你不会使用从Lightsail到Internet的免费出站带宽允许--你将使用CloudFront出站互联网带宽，它没有像Lightsail那样的大量免费配额。

Answer 3

如何使用SSL证书启用HTTPS支持？

注意:下面的步骤假设您使用的是自定义域名，并且已经将自定义域名配置为指向云服务器。

Bitnami映像附带了已经预先配置的SSL支持和一个虚拟证书。虽然这个虚拟证书可以用于测试和开发目的，但您通常希望使用有效的SSL证书用于生产。您可以自己生成(在这里解释)，也可以从商业证书颁发机构购买。

获得证书和证书密钥文件后，需要更新服务器才能使用它们。按照以下步骤激活SSL支持：

使用下表标识证书和配置文件的正确位置。

​

将SSL证书和证书密钥文件复制到指定位置。

注意:如果您对证书和密钥文件使用不同的名称，则应该在相应的Apache配置文件中重新配置SSLCertificateFile和SSLCertificateKeyFile指令，以反映正确的文件名。

如果您的证书颁发机构还向您提供了PEM编码的证书颁发机构(CA)包，则必须将其复制到上一个表中的正确位置。然后，修改Apache文件，使其包括SSLCertificateKeyFile指令下面的一行。根据场景和Apache版本选择正确的指令：

​

​

注意:如果为CA证书包使用不同的名称，则应该在相应的Apache文件中重新配置SSLCertificateChainFile或SSLCACertificateFile指令，以反映正确的文件名。

一旦复制了所有服务器证书文件，根用户可能只需使用以下命令才能读取这些文件：

sudo chown root:root /opt/bitnami/apache2/conf/server*
sudo chmod 600 /opt/bitnami/apache2/conf/server*

在服务器防火墙中打开端口443。有关更多信息，请参考常见问题。

重新启动Apache服务器。

您现在应该能够使用HTTPS URL访问应用程序了。

如何创建SSL证书？

您可以使用OpenSSL二进制文件创建自己的SSL证书。然后，证书请求可以发送到证书颁发机构(CA)，以便将其签名到证书中，或者如果您有自己的证书颁发机构，您可以自己对证书进行签名，或者您可以使用自签名证书(因为您只想要一个测试证书，或者因为您正在设置自己的CA)。

创建您的私钥(如果您尚未创建它)：

sudo openssl genrsa -out /opt/bitnami/apache2/conf/server.key 2048

创建证书：

 sudo openssl req -new -key /opt/bitnami/apache2/conf/server.key -out /opt/bitnami/apache2/conf/cert.csr

重要事项:当上面的命令询问“公共名称”时，输入服务器域名。

将cert.csr发送到证书颁发机构。当证书颁发机构完成他们的检查(可能收到您的付款)后，他们会将您的新证书交给您。

在收到证书之前，创建一个临时的自签名证书：

 sudo openssl x509 -in /opt/bitnami/apache2/conf/cert.csr -out /opt/bitnami/apache2/conf/server.crt -req -signkey /opt/bitnami/apache2/conf/server.key -days 365

生成密码保护版本后，将私钥备份到安全位置，如下所示：

数独openssl rsa -des3 -in /opt/bitnami/apache2/conf/server.key -out privkey.pem

请注意，如果在Apache配置文件中使用此加密密钥，则每次Apache启动时都需要手动输入密码。在没有密码保护的情况下从该文件中重新生成密钥，如下所示：

sudo openssl rsa -in privkey.pem -out /opt/bitnami/apache2/conf/server.key

在http://www.openssl.org上查找有关证书的更多信息。

答案将从https://docs.bitnami.com/aws/apps/wordpress/#how-to-enable-https-support-with-ssl-certificates复制，以便在页面过期或更改时可用。