تقدم Amazon شهادات SSL مجانية للاستخدام مع العديد من خدماتها. إذا كنت تستخدم بالفعل EC2 لاستضافة الويب ، فيمكنك إضافة Load Balancer أمام خادمك لتأمين حركة المرور الخاصة بك عبر
ما هي شهادة SSL؟
SSL هي طريقة التشفير المستخدمة لتأمين اتصالات HTTPS ، وإذا تم تشفير موقعك به ، فستعرض متصفحات المستخدم رمز القفل في شريط عنوان URL. مطلوب شهادة SSL لاستخدام SSL ، ويمكنك الحصول على واحدة من مرجع مصدق (CA). يعمل المرجع المصدق (CA) كطرف ثالث للتحقق من أن اتصالك شرعي وأنك أنت من تدعي أنك (i.ه ، لا أحد يحاول التزحزح عن اتصالك).
تتقاضى العديد من المراجع المصدقة مئات الدولارات للحصول على الشهادات ، ولكن يمكنك الحصول عليها مجانًا من أماكن قليلة. تقدم Amazon Web Services هذه الخدمات مجانًا إذا كنت تستخدم موازن التحميل الخاصة بهم ، لكن موازن التحميل أنفسهم يكلفون 16 دولارًا + شهريًا. إذا لم يكن هذا خيارًا ، فلا يزال بإمكانك الحصول على شهادات SSL مجانية من LetsEncrypt ، والتي سيتعين عليك تثبيتها يدويًا في خادم الويب.
لا يوجد ما يمنعك من استخدام LetsEncrypt مع مثيلات AWS EC2 ، أو حتى Load Balancers ، لكن شهادات AWS أكثر قابلية للتكوين ، وتعمل مع خدمات AWS الأخرى. على سبيل المثال ، إذا كنت تستخدم AWS Cloudfront ، فيمكنك استخدام نفس شهادة SSL التي تنشئها لموازنة التحميل ، دون الحاجة إلى القلق بشأن تجديدها بشكل فردي.
أنشئ شهادة SSL جديدة من AWS Certificate Manager
لأغراض هذا الدليل ، سنفترض أنك تستخدم بالفعل EC2 إلى حد ما ، ولديك خادم ويب قيد التشغيل.لا يهم نوع خادم الويب الذي تقوم بتشغيله ، حيث سيتم تثبيت الشهادة فقط في Load Balancer ، ولكنك ستظل بحاجة إلى شيء خلفه لخدمة المحتوى.
ستحتاج أيضًا إلى الوصول إلى إعدادات اسم النطاق ، وذلك لإضافة سجلات جديدة للتحقق من نطاقك ، وتوجيه نطاقك إلى Load Balancer الجديد بمجرد الانتهاء.
من وحدة التحكم في إدارة EC2 ، انقر فوق "الخدمات" في الشريط العلوي وابحث عن "الشهادة". افتح مدير الشهادات.
انقر على "البدء" ضمن "شهادات التزويد".
ستُستخدم هذه الشهادة لتأمين الاتصالات عبر الإنترنت ، لذا يجب أن تكون عامة. حدد "عام" وانقر على "طلب".
الآن يمكنك إضافة اسم المجال الخاص بك إلى الشهادة. تدعم شهادات AWS أحرف البدل ، لذلك قد يكون من المفيد تضمين
". yourdomain.com"أيضًا ، لتأمين أي نطاقات فرعية قد تكون لديك. أضف أي مجال تريده ، ثم انقر على "التالي".
الآن ، ستحتاج إلى إثبات ملكية نطاقك. تقدم AWS نوعين من التحقق: DNS والبريد الإلكتروني.
سيطلب منك DNS إضافة سجل CNAME إلى اسم المجال الخاص بك. إذا كنت تستخدم AWS Route 53 كمزود DNS الخاص بك ، فهذا سهل ، ولكن إذا كنت تستخدم شيئًا آخر ، فقد تستغرق العملية ساعات للتحقق.
البريد الإلكتروني يستغرق بضع دقائق فقط. سترسل AWS بريدًا إلكترونيًا إلى جهة اتصال WHOIS المسجلة ، بالإضافة إلى
"[email protected]"وعدد قليل من رسائل البريد الإلكتروني الشائعة الأخرى عبر webadmin. إذا لم يكن لديك بريد إلكتروني خاص لنطاقك ، فيمكنك عادةً إعداد إعادة توجيه البريد الإلكتروني إلى حساب Gmail عام من إعدادات المسجل ، والتي ستعمل أيضًا.
إذا كنت تريد التحقق من نظام أسماء النطاقات ، فانسخ "الاسم" و "القيمة" من القائمة المنسدلة للنطاق. إذا كنت تتحقق من عدة نطاقات ، فتحقق مما إذا كانت القيم مختلفة ، حيث قد تضطر إلى التحقق منها بشكل فردي.
من إعدادات مزود DNS الخاص بك ، أضف سجل CNAME جديد ، والصق الاسم والقيمة في النموذج (ستختلف هذه الواجهة حسب مزود الخدمة الخاص بك).
بينما يستغرق DNS بضع دقائق فقط للنشر ، قد تستغرق AWS بضع ساعات للتحقق من صحة المجال ، لذلك ربما تحصل على بعض الغداء. إذا كنت تستخدم التحقق من البريد الإلكتروني ، فلن يستغرق الأمر سوى بضع دقائق بعد النقر على الرابط في بريدك الإلكتروني.
بمجرد الانتهاء من ذلك ، من المفترض أن ترى مفتاح "التحقق المعلق" البرتقالي اللون إلى "تم إصداره" باللون الأخضر. لن تضطر إلى تنزيل أي شيء ؛ الشهادة قابلة للاستخدام تلقائيًا في خدمات AWS الأخرى.
قم بإعداد موازن التحميل بشهادتك الجديدة
بمجرد إنشاء الشهادة ، تصبح جاهزة للتثبيت في Load Balancer. تعمل AWS Load Balancers مثل الوكلاء بنقاط نهاية متعددة ، وهي قادرة على إعادة توجيه حركة المرور من عنوان IP عام واحد إلى العديد من عناوين IP الخاصة ، وموازنة الحمل بينها.
سنقوم بإعداد واحد للاستماع على منفذ HTTPS العام 443 ، وإعادة توجيه حركة المرور إلى المنفذ 443 على خادم الويب الخاص بك. يمكن أن يكون منفذ خادم الويب مختلفًا ، مثل المنفذ 8080 ، نظرًا لأن الاتصال بين موازن التحميل وخادم الويب داخلي ، لكننا نفترض أن خادم الويب لديك به منفذ 443 مفتوح بالفعل. إذا لم يكن الأمر كذلك ، فستحتاج إلى فتحه من قواعد أمان مثيل EC2.
من وحدة التحكم في إدارة EC2 ، قم بالتمرير لأسفل الشريط الجانبي للعثور على "موازن التحميل" وانقر فوق "إنشاء موازن التحميل".
هناك عدة أنواع من Load Balancer تعمل على مستويات مختلفة ، ولكن من أجل البساطة ، سنختار "Application Load Balancer" ، الذي يوازن بين HTTP و HTTPS الأساسيين.
من الخيارات ، امنحه اسمًا داخليًا ، وأضف مستمع HTTPS. يجب أن يكون الافتراضي هو المنفذ 443 ، المعيار لـ
انقر فوق التالي للانتقال إلى "تكوين إعدادات الأمان" وسيظهر لك خيار لاختيار شهادة (أو تحميل الشهادة الخاصة بك ، إذا كنت تستخدم خدمة SSL مختلفة). حدد "اختيار شهادة من ACM" ، وحدد شهادتك من القائمة المنسدلة. إذا لم تره ، فحاول الضغط على رمز التحديث الأخضر ، وإذا لم يكن موجودًا ، فيجب عليك التحقق من إعداداتك في إدارة الشهادات.
انقر فوق التالي للانتقال إلى "تكوين مجموعات الأمان" ، وإنشاء مجموعة أمان جديدة. سيكون افتراضيًا فتح المنفذ 80 و 443 ، وهو ما تريده على الأرجح.
انقر فوق التالي للانتقال إلى "تكوين التوجيه" ، وأدخل اسمًا داخليًا للمجموعة المستهدفة. تأكد من ضبط البروتوكول على
انقر فوق التالي للانتقال إلى "تسجيل الأهداف" ، وأدخل عنوان IP الخاص لمثيل (مثيلات) EC2 الخاص بك ، والذي يمكنك العثور عليه من وحدة التحكم في إدارة EC2. إذا أدخلتها بشكل صحيح ، يجب أن تعرض الواجهة معرف المثيل والمنطقة الموجودة بها.
انقر فوق التالي للانتقال إلى المراجعة ، وإذا كان كل شيء يبدو جيدًا ، فانقر فوق "إنشاء" لإعداد موازن التحميل.
ارجع إلى وحدة التحكم في إدارة EC2 وانقر فوق علامة التبويب Load Balancers. سيستغرق الأمر بضع دقائق ، ولكن بمجرد إعداد الموازن ، ستتمكن من نسخ عنوان DNS. سيتغير عنوان IP الفعلي الخاص بـ Load Balancer ، لكن عنوان DNS سيشير إليه دائمًا.
سترغب في استبدال عنوان IP الحالي الخاص بك باسم المجال الخاص بك بهذا العنوان ، بحيث يتم توجيه الزوار نحو Load Balancer ، والذي سيؤمن الاتصال ويوجههم نحو خادم الويب EC2 (أو الخوادم).
ستعمل هذه الشهادة نفسها مع العديد من خدمات AWS الأخرى ؛ على سبيل المثال ، إذا سجلت
. yourdomain.com
مع الشهادة ، فستتمكن من تقديم محتوى S3 من خلال Cloudfront على
media.yourdomain.comباستخدام نفس الشهادة. لا يمكنك تنزيلها يدويًا ، لذلك سيتم تقييدها دائمًا بخدمات AWS وإدارتها بواسطة Amazon.
