AWS CloudHSM Déchargement SSL/TLS sous Windows à l'aide d'IIS avec KSP - AWS CloudHSM
Présentation1 : Préparez-vous2 : Création d'une CSR3 : Configurer un serveur4 : Vérifier

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM Déchargement SSL/TLS sous Windows à l'aide d'IIS avec KSP

Ce didacticiel fournit des step-by-step instructions pour configurer le déchargement SSL/TLS AWS CloudHSM sur un serveur Web Windows.

Présentation

Sous Windows, l'application serveur web Internet Information Services (IIS) pour Windows Server prend en charge HTTPS en mode natif. Le fournisseur de stockage de AWS CloudHSM clés (KSP) pour l'API cryptographique : Next Generation (CNG) de Microsoft fournit l'interface qui permet à IIS d'utiliser le contenu de votre cluster pour le HSMs déchargement cryptographique et le stockage de clés. Le AWS CloudHSM KSP est le pont qui connecte IIS à votre AWS CloudHSM cluster.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Installez le logiciel du serveur Web sur une EC2 instance Amazon.

  • Configurez le logiciel du serveur Web pour qu'il prenne en charge le protocole HTTPS avec une clé privée stockée dans votre cluster AWS CloudHSM .

  • (Facultatif) Utilisez Amazon EC2 pour créer une deuxième instance de serveur Web et Elastic Load Balancing pour créer un équilibreur de charge. L'utilisation d'un équilibreur de charge peut accroître les performances en répartissant la charge sur plusieurs serveurs. Elle peut également assurer la redondance et une meilleure disponibilité en cas de défaillance d'un ou plusieurs serveurs.

Lorsque vous êtes prêt à commencer, consultez Étape 1 : Configurer les prérequis.

Étape 1 : Configurer les prérequis

Les différentes plateformes ont des prérequis différents. Utilisez la section des prérequis ci-dessous qui correspond à votre plateforme.

Prérequis pour le SDK client 5

Pour configurer le déchargement SSL/TLS du serveur Web avec AWS CloudHSM, vous avez besoin des éléments suivants :

  • Un AWS CloudHSM cluster actif avec au moins un HSM.

  • Une EC2 instance Amazon exécutant un système d'exploitation Windows avec les logiciels suivants installés :

    • Le logiciel AWS CloudHSM client pour Windows.

    • Internet Information Services (IIS) pour Windows Server.

  • Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée du serveur web sur le HSM.

Note

Ce didacticiel utilise Microsoft Windows Server 2019. Microsoft Windows Server 2016 et 2022 sont également pris en charge.

Pour configurer une instance Windows Server et créer un utilisateur de chiffrement sur le HSM

  1. Suivez les étapes de Premiers pas. Lorsque vous lancez le EC2 client Amazon, choisissez une AMI Windows Server 2019. Une fois que vous avez terminé ces étapes, vous disposez d'un cluster actif avec au moins un HSM. Vous disposez également d'une instance EC2 client Amazon exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

  2. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter Ajouter un HSM à un cluster AWS CloudHSM.

  3. Connectez-vous à votre serveur Windows. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  4. Utilisez la CLI CloudHSM pour créer un utilisateur de chiffrement (CU). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

    Note

    Pour plus d'informations sur la création d'un utilisateur, consultez Gestion des utilisateurs HSM avec la CLI CloudHSM.

  5. Définissez les informations d'identification de connexion pour le HSM, à l'aide du nom d'utilisateur et du mot de passe CU que vous avez créés à l'étape précédente.

  6. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les informations d'identification HSM, téléchargez psexec.exedepuis SysInternals pour exécuter la commande suivante sous le nom NT Authority \ SYSTEM :

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Remplacez <USERNAME> et par <PASSWORD> les informations d'identification HSM.

Pour installer IIS sur Windows Server

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  3. Dans le tableau de bord du Server Manager (Gestionnaire de serveurs), choisissez Add roles and features (Ajouter des rôles et des fonctions).

  4. Prenez connaissances des informations contenues dans le fichier Before you begin (Avant de commencer), puis choisissez Next (Suivant).

  5. Pour Installation Type (Type d'installation), choisissez Role-based or feature-based installation (Installation basée sur un rôle ou une fonction). Ensuite, sélectionnez Suivant.

  6. Pour Server Selection (Sélection de serveur), choisissez Select a server from the server pool (Sélectionner un serveur du pool de serveurs). Ensuite, sélectionnez Suivant.

  7. Pour Server Roles (Rôles de serveur), procédez comme suit :

    1. Sélectionnez Web Server (IIS).

    2. Pour Add features that are required for Web Server (IIS) (Ajouter des fonctions qui sont requises pour le serveur Web (IIS)), choisissez Add Features (Ajouter des fonctions).

    3. Choisissez Suivant pour finaliser la sélection de rôles de serveur.

  8. Pour Features (Fonctions), acceptez les valeurs par défaut. Ensuite, sélectionnez Suivant.

  9. Lisez les informations Web Server Role (IIS) (Rôle du serveur Web (IIS)). Ensuite, sélectionnez Suivant.

  10. Pour Select role services (Sélectionner les services de rôle), acceptez les valeurs par défaut ou modifiez les paramètres comme souhaité. Ensuite, sélectionnez Suivant.

  11. Pour Confirmation, lisez les informations de confirmation. Choisissez ensuite Install (Installer).

  12. Une fois l'installation terminée, choisissez Close (Fermer).

Une fois que vous avez terminé ces étapes, consultez Étape 2 : Créer une demande de signature de certificat (CSR) et un certificat.

Prérequis pour le SDK client 3

Pour configurer le déchargement SSL/TLS du serveur Web avec AWS CloudHSM, vous avez besoin des éléments suivants :

  • Un AWS CloudHSM cluster actif avec au moins un HSM.

  • Une EC2 instance Amazon exécutant un système d'exploitation Windows avec les logiciels suivants installés :

    • Le logiciel AWS CloudHSM client pour Windows.

    • Internet Information Services (IIS) pour Windows Server.

  • Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée du serveur web sur le HSM.

Note

Ce didacticiel utilise Microsoft Windows Server 2016. Microsoft Windows Server 2012 est également pris en charge, mais Microsoft Windows Server 2012 R2 ne l'est pas.

Pour configurer une instance Windows Server et créer un utilisateur de chiffrement sur le HSM

  1. Suivez les étapes de Premiers pas. Lorsque vous lancez le EC2 client Amazon, choisissez une AMI Windows Server 2016 ou Windows Server 2012. Une fois que vous avez terminé ces étapes, vous disposez d'un cluster actif avec au moins un HSM. Vous disposez également d'une instance EC2 client Amazon exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

  2. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter Ajouter un HSM à un cluster AWS CloudHSM.

  3. Connectez-vous à votre serveur Windows. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  4. Utilisez la CLI CloudHSM pour créer un utilisateur de chiffrement (CU). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

    Note

    Pour plus d'informations sur la création d'un utilisateur, consultez Gestion des utilisateurs HSM avec la CLI CloudHSM.

  5. Définissez les informations d'identification de connexion pour le HSM, à l'aide du nom d'utilisateur et du mot de passe CU que vous avez créés à l'étape précédente.

  6. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les informations d'identification HSM, téléchargez psexec.exedepuis SysInternals pour exécuter la commande suivante sous le nom NT Authority \ SYSTEM :

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Remplacez <USERNAME> et par <PASSWORD> les informations d'identification HSM.

Pour installer IIS sur Windows Server

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  3. Dans le tableau de bord du Server Manager (Gestionnaire de serveurs), choisissez Add roles and features (Ajouter des rôles et des fonctions).

  4. Prenez connaissances des informations contenues dans le fichier Before you begin (Avant de commencer), puis choisissez Next (Suivant).

  5. Pour Installation Type (Type d'installation), choisissez Role-based or feature-based installation (Installation basée sur un rôle ou une fonction). Ensuite, sélectionnez Suivant.

  6. Pour Server Selection (Sélection de serveur), choisissez Select a server from the server pool (Sélectionner un serveur du pool de serveurs). Ensuite, sélectionnez Suivant.

  7. Pour Server Roles (Rôles de serveur), procédez comme suit :

    1. Sélectionnez Web Server (IIS).

    2. Pour Add features that are required for Web Server (IIS) (Ajouter des fonctions qui sont requises pour le serveur Web (IIS)), choisissez Add Features (Ajouter des fonctions).

    3. Choisissez Suivant pour finaliser la sélection de rôles de serveur.

  8. Pour Features (Fonctions), acceptez les valeurs par défaut. Ensuite, sélectionnez Suivant.

  9. Lisez les informations Web Server Role (IIS) (Rôle du serveur Web (IIS)). Ensuite, sélectionnez Suivant.

  10. Pour Select role services (Sélectionner les services de rôle), acceptez les valeurs par défaut ou modifiez les paramètres comme souhaité. Ensuite, sélectionnez Suivant.

  11. Pour Confirmation, lisez les informations de confirmation. Choisissez ensuite Install (Installer).

  12. Une fois l'installation terminée, choisissez Close (Fermer).

Une fois que vous avez terminé ces étapes, consultez Étape 2 : Créer une demande de signature de certificat (CSR) et un certificat.

Étape 2 : Créer une demande de signature de certificat (CSR) et un certificat

Pour activer le protocole HTTPS, votre serveur Web a besoin d'un SSL/TLS certificate and a corresponding private key. To use SSL/TLS délestage AWS CloudHSM. Vous stockez la clé privée dans le HSM de votre AWS CloudHSM cluster. Pour ce faire, vous utilisez le fournisseur de stockage de clés (KSP)AWS CloudHSM pour l'API Cryptography : Next Generation (CNG) de Microsoft afin de créer une demande de signature de certificat (CSR). Ensuite, vous accordez la CSR à une autorité de certification (CA), qui signe la CSR pour produire un certificat.

Création d'un CSR avec le SDK client 5

  1. Sur votre Windows Server, utilisez un éditeur de texte pour créer un fichier de demande de certificat nommé IISCertRequest.inf. L'exemple suivant montre le contenu d'un exemple de fichier IISCertRequest.inf. Pour plus d'informations sur les sections, les clés et les valeurs que vous pouvez spécifier dans le fichier, consultez la documentation Microsoft. Ne modifiez pas la valeur ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  2. Utilisez la certreqcommande Windows pour créer un CSR à partir du IISCertRequest.inf fichier que vous avez créé à l'étape précédente. L'exemple suivant enregistre la CSR dans un fichier nommé IISCertRequest.csr. Si vous avez utilisé un nom de fichier différent pour votre fichier de demande de certificat, remplacez-le IISCertRequest.inf par le nom de fichier approprié. Vous pouvez éventuellement le IISCertRequest.csr remplacer par un autre nom de fichier pour votre fichier CSR.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr

CertReq: Request Created

    Le fichier IISCertRequest.csr contient votre CSR. Vous avez besoin de cette CSR pour obtenir un certificat signé.

Création d'un CSR avec le SDK client 3

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Utilisez la commande suivante pour démarrer le daemon AWS CloudHSM client.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Pour le Client Windows version 1.1.2 et ultérieure :

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Pour les clients Windows version 1.1.1 et antérieure :

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  3. Sur votre Windows Server, utilisez un éditeur de texte pour créer un fichier de demande de certificat nommé IISCertRequest.inf. L'exemple suivant montre le contenu d'un exemple de fichier IISCertRequest.inf. Pour plus d'informations sur les sections, les clés et les valeurs que vous pouvez spécifier dans le fichier, consultez la documentation Microsoft. Ne modifiez pas la valeur ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  4. Utilisez la certreqcommande Windows pour créer un CSR à partir du IISCertRequest.inf fichier que vous avez créé à l'étape précédente. L'exemple suivant enregistre la CSR dans un fichier nommé IISCertRequest.csr. Si vous avez utilisé un nom de fichier différent pour votre fichier de demande de certificat, remplacez-le IISCertRequest.inf par le nom de fichier approprié. Vous pouvez éventuellement le IISCertRequest.csr remplacer par un autre nom de fichier pour votre fichier CSR.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr
        SDK Version: 2.03

CertReq: Request Created

    Le fichier IISCertRequest.csr contient votre CSR. Vous avez besoin de cette CSR pour obtenir un certificat signé.

Obtention et importation d'un certificat signé

Dans un environnement de production, vous utilisez généralement une autorité de certification (CA) pour créer un certificat émis par une demande de signature de certificat (CSR). L'autorité de certification n'est pas nécessaire pour un environnement de test. Si vous utilisez une autorité de certification, envoyez-lui le fichier CSR (IISCertRequest.csr) et utilisez l'autorité de certification pour créer un certificat SSL/TLS signé.

Au lieu d'utiliser une autorité de certification, vous pouvez utiliser un outil comme OpenSSL pour créer un certificat auto-signé.

Avertissement

Les certificats auto-signés ne sont pas approuvées par les navigateurs et ne doivent pas être utilisés dans les environnements de production. Ils peuvent cependant être utilisés dans les environnements de test.

Les procédures suivantes montrent comment créer un certificat auto-signé et l'utiliser pour signer la CSR de votre serveur web.

Pour créer un certificat auto-signé

  1. Utilisez la commande OpenSSL suivante pour créer une clé privée. Vous pouvez éventuellement le SelfSignedCA.key remplacer par le nom du fichier contenant votre clé privée.

    openssl genrsa -aes256 -out SelfSignedCA.key 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:

  2. Utilisez la commande OpenSSL suivante pour créer un certificat d'émission auto-signé avec la clé privée que vous avez créée à l'étape précédente. Il s'agit d'une commande interactive. Lisez les instructions à l'écran et suivez les invites. SelfSignedCA.keyRemplacez-le par le nom du fichier contenant votre clé privée (s'il est différent). Vous pouvez éventuellement le SelfSignedCA.crt remplacer par le nom du fichier contenant votre certificat auto-signé.

    openssl req -new -x509 -days 365 -key SelfSignedCA.key -out SelfSignedCA.crt
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Pour utiliser votre certificat auto-signé pour signer la CSR du serveur web

  • Utilisez la commande OpenSSL suivante pour utiliser votre clé privée et le certificat auto-signé pour signer la CSR. Remplacez les éléments suivants par les noms des fichiers qui contiennent les données correspondantes (en cas de différence).

    • IISCertRequest.csr— Le nom du fichier contenant le CSR de votre serveur Web

    • SelfSignedCA.crt— Le nom du fichier contenant votre certificat auto-signé

    • SelfSignedCA.key— Le nom du fichier contenant votre clé privée

    • IISCert.crt— Le nom du fichier qui doit contenir le certificat signé de votre serveur Web

    openssl x509 -req -days 365 -in IISCertRequest.csr \
                            -CA SelfSignedCA.crt \
                            -CAkey SelfSignedCA.key \
                            -CAcreateserial \
                            -out IISCert.crt
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:

Une fois que vous avez terminé l'étape précédente, vous avez un certificat signé pour votre serveur web (IISCert.crt) et un certificat auto-signé (SelfSignedCA.crt). Lorsque vous avez ces fichiers, accédez à Étape 3 : Configurer le serveur web.

Étape 3 : Configurer le serveur web

Mettez à jour la configuration de votre site web IIS pour utiliser le certificat HTTPS que vous avez créé à la fin de l'étape précédente. Cela permettra de terminer la configuration de votre logiciel serveur web Windows (IIS) pour le déchargement SSL/TLS avec AWS CloudHSM.

Si vous avez utilisé un certificat auto-signé pour signer votre CSR, vous devez d'abord importer le certificat auto-signé dans les autorités de certification racine approuvées Windows.

Pour importer votre certificat auto-signé dans les autorités de certification racine approuvées Windows

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Copiez votre certificat auto-signé sur votre serveur Windows.

  3. Sur votre serveur Windows, ouvrez le Panneau de configuration.

  4. Pour Search Control Panel (Recherche dans le panneau de configuration), tapez certificates. Ensuite, choisissez Manage computer certificates (Gérer les certificats de l'ordinateur).

  5. Dans la fenêtre Certificats ‐ Ordinateur local, double-cliquez sur Autorités de certification racine fiables.

  6. Cliquez avec le bouton droit sur Certificates (Certificats), puis choisissez All Tasks (Toutes les tâches), Import (Importer).

  7. Dans l'assistant Certificate Import (Importation de certificat), choisissez Next (Suivant).

  8. Choisissez Browse (Parcourir), puis recherchez et sélectionnez votre certificat auto-signé. Si vous avez créé votre certificat auto-signé en suivant les instructions de l'étape précédente de ce didacticiel, votre certificat auto-signé se nomme SelfSignedCA.crt. Choisissez Ouvrir.

  9. Choisissez Suivant.

  10. Pour Certificate Store (Magasin de certificats), choisissez Place all certificates in the following store (Placer tous les certificats dans les éléments suivants). Ensuite, vérifiez que Trusted Root Certification Authorities (Autorités de certification racine approuvées) est sélectionné pour Certificate store (Magasin de certificats).

  11. Cliquez sur Suivant, puis sur Terminer.

Pour mettre à jour la configuration du site web IIS

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Démarrez le daemon AWS CloudHSM client.

  3. Copiez le certificat signé de votre serveur web, celui que vous avez créé à la fin de l’étape précédente de ce didacticiel, sur votre serveur Windows.

  4. Sur votre serveur Windows, utilisez la certreqcommande Windows pour accepter le certificat signé, comme dans l'exemple suivant. IISCert.crtRemplacez-le par le nom du fichier contenant le certificat signé de votre serveur Web.

    C:\>certreq -accept IISCert.crt
        SDK Version: 2.03

  5. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  6. Dans le tableau de bord Server Manager (Gestionnaire de serveurs), dans le coin supérieur droit, choisissez Tools (Outils), Internet Information Services (IIS) Manager.

  7. Dans la fenêtre Internet Information Services (IIS) Manager, double-cliquez sur le nom de votre serveur. Ensuite, double-cliquez sur Sites. Sélectionnez votre site web.

  8. Sélectionnez SSL Settings (Paramètres SSL). Puis, sur la droite de la fenêtre, choisissez Bindings (Liaisons).

  9. Dans la fenêtre Site Bindings (Liaisons de site), choisissez Add (Ajouter).

  10. Pour Type, choisissez https. Pour SSL certificate (Certificat SSL), choisissez le certificat HTTPS que vous avez créé à la fin de l'étape précédente du didacticiel.

    Note

    Si vous rencontrez une erreur au cours de cette liaison de certificat, redémarrez votre serveur et réessayez cette étape.

  11. Choisissez OK.

Après que vous avez mis à jour la configuration de votre site web, accédez à Étape 4 : Activer le trafic HTTPS et vérifier le certificat.

Étape 4 : Activer le trafic HTTPS et vérifier le certificat

Après avoir configuré votre serveur Web pour le déchargement SSL/TLS AWS CloudHSM, ajoutez votre instance de serveur Web à un groupe de sécurité qui autorise le trafic HTTPS entrant. Cela permet aux clients, tels que les navigateurs Web, d'établir une connexion HTTPS avec votre serveur Web. Établissez ensuite une connexion HTTPS avec votre serveur Web et vérifiez qu'il utilise le certificat que vous avez configuré pour le déchargement SSL/TLS. AWS CloudHSM

Activation des connexions HTTPS entrantes

Pour vous connecter à votre serveur web à partir d'un client (par exemple, un navigateur web), créez un groupe de sécurité qui autorise les connexions HTTPS entrantes. En particulier, il doit autoriser les connexions TCP entrantes sur le port 443. Affectez ce groupe de sécurité à votre serveur web.

Pour créer un groupe de sécurité pour le protocole HTTPS et l'affecter à votre serveur web

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Groupes de sécurité dans le panneau de navigation.

  3. Sélectionnez Create security group (Créer un groupe de sécurité).

  4. Pour Créer un groupe de sécurité, procédez comme suit :

    1. Pour Nom du groupe de sécurité, tapez un nom pour le groupe de sécurité que vous créez.

    2. (Facultatif) Tapez une description du groupe de sécurité que vous créez.

    3. Pour le VPC, choisissez le VPC qui contient l'instance Amazon de votre serveur Web. EC2

    4. Sélectionnez Ajouter une règle.

    5. Pour Type, sélectionnez HTTPS dans la fenêtre déroulante.

    6. Pour Source, entrez l'emplacement de la source.

    7. Sélectionnez Create security group (Créer un groupe de sécurité).

  5. Dans le panneau de navigation, choisissez Instances.

  6. Cochez la case située en regard de votre instance de serveur web.

  7. Choisissez le menu déroulant Actions en haut de la page. Sélectionnez Sécurité, puis Modifier les groupes de sécurité.

  8. Pour Groupes de sécurité associés, veuillez consulter la zone de recherche, puis choisissez le groupe de sécurité que vous avez créé pour HTTPS. Ensuite, choisissez Ajouter des groupes de sécurité.

  9. Sélectionnez Save.

Vérification que le protocole HTTPS utilise le certificat que vous avez configuré

Après avoir ajouté le serveur Web à un groupe de sécurité, vous pouvez vérifier que le déchargement SSL/TLS utilise votre certificat auto-signé. Vous pouvez faire cela à l'aide d'un navigateur web ou avec un outil tel qu'OpenSSL s_client.

Pour vérifier le déchargement SSL/TLS à l'aide d'un navigateur web

  1. Utilisez un navigateur web pour vous connecter à votre serveur web à l'aide du nom DNS public ou de l'adresse IP du serveur. Assurez-vous que l'URL dans la barre d'adresse commence par https://. Par exemple, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    Astuce

    Vous pouvez utiliser un service DNS tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre service DNS.

  2. Utilisez votre navigateur web pour afficher le certificat de serveur web. Pour plus d’informations, consultez les ressources suivantes :

    D'autres navigateurs web peuvent avoir des fonctions similaires que vous pouvez utiliser pour afficher le certificat de serveur web.

  3. Assurez-vous que le certificat SSL/TLS est celui que vous avez configuré votre serveur web à utiliser.

Pour vérifier le déchargement SSL/TLS avec OpenSSL s_client

  1. Exécutez la commande OpenSSL suivante pour vous connecter à votre serveur web en utilisant le protocole HTTPS. <server name>Remplacez-le par le nom DNS public ou l'adresse IP de votre serveur Web. 

    openssl s_client -connect <server name>:443
    Astuce

    Vous pouvez utiliser un service DNS tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre service DNS.

  2. Assurez-vous que le certificat SSL/TLS est celui que vous avez configuré votre serveur web à utiliser.

Vous disposez maintenant d'un site web sécurisé avec HTTPS. La clé privée du serveur Web est stockée dans un HSM de votre AWS CloudHSM cluster.

Pour ajouter un équilibreur de charge, veuillez consulter Ajoutez un équilibreur de charge avec Elastic Load Balancing pour AWS CloudHSM(facultatif).