AWS CloudHSM SSL/TLSdécharger sous Windows en utilisant avec IIS KSP - AWS CloudHSM
Présentation1 : Préparez-vous2 : Création CSR3 : Configurer un serveur4 : Vérifier

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM SSL/TLSdécharger sous Windows en utilisant avec IIS KSP

Ce didacticiel fournit des step-by-step instructions pour configurer SSL ou TLS décharger avec AWS CloudHSM sur un serveur Web Windows.

Présentation

Sous Windows, l'application de serveur Web Internet Information Services (IIS) pour Windows Server est prise en charge HTTPS de manière native. Le fournisseur de stockage de AWS CloudHSM clés (KSP) pour Microsoft's Cryptography API : Next Generation (CNG) fournit l'interface qui permet d'utiliser le IIS contenu de votre cluster pour le HSMs déchargement cryptographique et le stockage de clés. AWS CloudHSM KSPIl s'agit du pont qui se connecte IIS à votre AWS CloudHSM cluster.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Installez le logiciel du serveur Web sur une EC2 instance Amazon.

  • Configurez le logiciel du serveur Web pour qu'il prenne en charge HTTPS une clé privée stockée dans votre AWS CloudHSM cluster.

  • (Facultatif) Utilisez Amazon EC2 pour créer une deuxième instance de serveur Web et Elastic Load Balancing pour créer un équilibreur de charge. L'utilisation d'un équilibreur de charge peut accroître les performances en répartissant la charge sur plusieurs serveurs. Elle peut également assurer la redondance et une meilleure disponibilité en cas de défaillance d'un ou plusieurs serveurs.

Lorsque vous êtes prêt à commencer, consultez Étape 1 : Configurer les prérequis.

Étape 1 : Configurer les prérequis

Les différentes plateformes ont des prérequis différents. Utilisez la section des prérequis ci-dessous qui correspond à votre plateforme.

Prérequis pour le client 5 SDK

Pour configurer le serveur WebSSL/TLSoffload with AWS CloudHSM, vous avez besoin des éléments suivants :

  • Un AWS CloudHSM cluster actif avec au moins unHSM.

  • Une EC2 instance Amazon exécutant un système d'exploitation Windows avec les logiciels suivants installés :

    • Le logiciel AWS CloudHSM client pour Windows.

    • Internet Information Services (IIS) pour Windows Server.

  • Un utilisateur cryptographique (CU) qui possède et gère la clé privée du serveur Web sur leHSM.

Note

Ce didacticiel utilise Microsoft Windows Server 2019. Microsoft Windows Server 2016 et 2022 sont également pris en charge.

Pour configurer une instance Windows Server et créer une CU sur HSM

  1. Suivez les étapes de Premiers pas. Lorsque vous lancez le EC2 client Amazon, choisissez un Windows Server 2019AMI. Lorsque vous avez effectué ces étapes, vous disposez d'un cluster actif avec au moins unHSM. Vous disposez également d'une instance EC2 client Amazon exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

  2. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter Ajouter un HSM à un AWS CloudHSM cluster.

  3. Connectez-vous à votre serveur Windows. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  4. Utilisez Cloud HSM CLI pour créer un utilisateur cryptographique (CU). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

    Note

    Pour plus d'informations sur la création d'un utilisateur, consultez la section Gestion des HSM utilisateurs avec le cloud HSM CLI.

  5. Définissez les informations de connexion pour le HSM, en utilisant le nom d'utilisateur et le mot de passe CU que vous avez créés à l'étape précédente.

  6. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les HSM informations d'identification, téléchargez psexec.exedepuis SysInternals pour exécuter la commande suivante en tant que NT Authority \ SYSTEM :

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Remplacez <USERNAME> et <PASSWORD> par les HSM informations d'identification.

Pour installer IIS sur votre serveur Windows

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  3. Dans le tableau de bord du Server Manager (Gestionnaire de serveurs), choisissez Add roles and features (Ajouter des rôles et des fonctions).

  4. Prenez connaissances des informations contenues dans le fichier Before you begin (Avant de commencer), puis choisissez Next (Suivant).

  5. Pour Installation Type (Type d'installation), choisissez Role-based or feature-based installation (Installation basée sur un rôle ou une fonction). Ensuite, sélectionnez Suivant.

  6. Pour Server Selection (Sélection de serveur), choisissez Select a server from the server pool (Sélectionner un serveur du pool de serveurs). Ensuite, sélectionnez Suivant.

  7. Pour Server Roles (Rôles de serveur), procédez comme suit :

    1. Sélectionnez Serveur Web (IIS).

    2. Pour Ajouter des fonctionnalités requises pour le serveur Web (IIS), choisissez Ajouter des fonctionnalités.

    3. Choisissez Suivant pour finaliser la sélection de rôles de serveur.

  8. Pour Features (Fonctions), acceptez les valeurs par défaut. Ensuite, sélectionnez Suivant.

  9. Lisez les informations sur le rôle du serveur Web (IIS). Ensuite, sélectionnez Suivant.

  10. Pour Select role services (Sélectionner les services de rôle), acceptez les valeurs par défaut ou modifiez les paramètres comme souhaité. Ensuite, sélectionnez Suivant.

  11. Pour Confirmation, lisez les informations de confirmation. Choisissez ensuite Install (Installer).

  12. Une fois l'installation terminée, choisissez Close (Fermer).

Une fois que vous avez terminé ces étapes, consultez Étape 2 : Création d'une demande de signature de certificat (CSR) et d'un certificat.

Prérequis pour le client 3 SDK

Pour configurer le serveur WebSSL/TLSoffload with AWS CloudHSM, vous avez besoin des éléments suivants :

  • Un AWS CloudHSM cluster actif avec au moins unHSM.

  • Une EC2 instance Amazon exécutant un système d'exploitation Windows avec les logiciels suivants installés :

    • Le logiciel AWS CloudHSM client pour Windows.

    • Internet Information Services (IIS) pour Windows Server.

  • Un utilisateur cryptographique (CU) qui possède et gère la clé privée du serveur Web sur leHSM.

Note

Ce didacticiel utilise Microsoft Windows Server 2016. Microsoft Windows Server 2012 est également pris en charge, mais Microsoft Windows Server 2012 R2 ne l'est pas.

Pour configurer une instance Windows Server et créer une CU sur HSM

  1. Suivez les étapes de Premiers pas. Lorsque vous lancez le EC2 client Amazon, choisissez un Windows Server 2016 ou Windows Server 2012AMI. Lorsque vous avez effectué ces étapes, vous disposez d'un cluster actif avec au moins unHSM. Vous disposez également d'une instance EC2 client Amazon exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

  2. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter Ajouter un HSM à un AWS CloudHSM cluster.

  3. Connectez-vous à votre serveur Windows. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  4. Utilisez Cloud HSM CLI pour créer un utilisateur cryptographique (CU). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

    Note

    Pour plus d'informations sur la création d'un utilisateur, consultez la section Gestion des HSM utilisateurs avec le cloud HSM CLI.

  5. Définissez les informations de connexion pour le HSM, en utilisant le nom d'utilisateur et le mot de passe CU que vous avez créés à l'étape précédente.

  6. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les HSM informations d'identification, téléchargez psexec.exedepuis SysInternals pour exécuter la commande suivante en tant que NT Authority \ SYSTEM :

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Remplacez <USERNAME> et <PASSWORD> par les HSM informations d'identification.

Pour installer IIS sur votre serveur Windows

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  3. Dans le tableau de bord du Server Manager (Gestionnaire de serveurs), choisissez Add roles and features (Ajouter des rôles et des fonctions).

  4. Prenez connaissances des informations contenues dans le fichier Before you begin (Avant de commencer), puis choisissez Next (Suivant).

  5. Pour Installation Type (Type d'installation), choisissez Role-based or feature-based installation (Installation basée sur un rôle ou une fonction). Ensuite, sélectionnez Suivant.

  6. Pour Server Selection (Sélection de serveur), choisissez Select a server from the server pool (Sélectionner un serveur du pool de serveurs). Ensuite, sélectionnez Suivant.

  7. Pour Server Roles (Rôles de serveur), procédez comme suit :

    1. Sélectionnez Serveur Web (IIS).

    2. Pour Ajouter des fonctionnalités requises pour le serveur Web (IIS), choisissez Ajouter des fonctionnalités.

    3. Choisissez Suivant pour finaliser la sélection de rôles de serveur.

  8. Pour Features (Fonctions), acceptez les valeurs par défaut. Ensuite, sélectionnez Suivant.

  9. Lisez les informations sur le rôle du serveur Web (IIS). Ensuite, sélectionnez Suivant.

  10. Pour Select role services (Sélectionner les services de rôle), acceptez les valeurs par défaut ou modifiez les paramètres comme souhaité. Ensuite, sélectionnez Suivant.

  11. Pour Confirmation, lisez les informations de confirmation. Choisissez ensuite Install (Installer).

  12. Une fois l'installation terminée, choisissez Close (Fermer).

Une fois que vous avez terminé ces étapes, consultez Étape 2 : Création d'une demande de signature de certificat (CSR) et d'un certificat.

Étape 2 : Création d'une demande de signature de certificat (CSR) et d'un certificat

Pour l'activerHTTPS, votre serveur Web a besoin d'un SSL/TLS certificate and a corresponding private key. To use SSL/TLS AWS CloudHSM délestage. Vous stockez la clé privée HSM dans votre AWS CloudHSM cluster. Pour ce faire, vous utilisez le fournisseur de stockage de AWS CloudHSM clés (KSP) pour Microsoft's Cryptography API : Next Generation (CNG) afin de créer une demande de signature de certificat (CSR). Vous les remettez ensuite CSR à une autorité de certification (CA), qui les signe CSR pour produire un certificat.

Créez un CSR avec Client SDK 5

  1. Sur votre Windows Server, utilisez un éditeur de texte pour créer un fichier de demande de certificat nommé IISCertRequest.inf. L'exemple suivant montre le contenu d'un exemple de fichier IISCertRequest.inf. Pour plus d'informations sur les sections, les clés et les valeurs que vous pouvez spécifier dans le fichier, consultez la documentation Microsoft. Ne modifiez pas la valeur ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  2. Utilisez la commande Windows certreq pour créer un fichier à CSR partir du IISCertRequest.inf fichier que vous avez créé à l'étape précédente. L'exemple suivant enregistre le dans CSR un fichier nomméIISCertRequest.csr. Si vous avez utilisé un nom de fichier différent pour votre fichier de demande de certificat, remplacez-le IISCertRequest.inf par le nom de fichier approprié. Vous pouvez éventuellement le IISCertRequest.csr remplacer par un autre nom de fichier pour votre CSR fichier.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr

CertReq: Request Created

    Le IISCertRequest.csr fichier contient votreCSR. Vous en avez besoin CSR pour obtenir un certificat signé.

Créez un CSR avec le client SDK 3

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Utilisez la commande suivante pour démarrer le daemon AWS CloudHSM client.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Pour le Client Windows version 1.1.2 et ultérieure :

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Pour les clients Windows version 1.1.1 et antérieure :

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  3. Sur votre Windows Server, utilisez un éditeur de texte pour créer un fichier de demande de certificat nommé IISCertRequest.inf. L'exemple suivant montre le contenu d'un exemple de fichier IISCertRequest.inf. Pour plus d'informations sur les sections, les clés et les valeurs que vous pouvez spécifier dans le fichier, consultez la documentation Microsoft. Ne modifiez pas la valeur ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  4. Utilisez la commande Windows certreq pour créer un fichier à CSR partir du IISCertRequest.inf fichier que vous avez créé à l'étape précédente. L'exemple suivant enregistre le dans CSR un fichier nomméIISCertRequest.csr. Si vous avez utilisé un nom de fichier différent pour votre fichier de demande de certificat, remplacez-le IISCertRequest.inf par le nom de fichier approprié. Vous pouvez éventuellement le IISCertRequest.csr remplacer par un autre nom de fichier pour votre CSR fichier.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr
        SDK Version: 2.03

CertReq: Request Created

    Le IISCertRequest.csr fichier contient votreCSR. Vous en avez besoin CSR pour obtenir un certificat signé.

Obtention et importation d'un certificat signé

Dans un environnement de production, vous utilisez généralement une autorité de certification (CA) pour créer un certificat à partir d'unCSR. L'autorité de certification n'est pas nécessaire pour un environnement de test. Si vous utilisez une autorité de certification, envoyez-lui le CSR fichier (IISCertRequest.csr) et utilisez l'autorité de certification pour créer un TLS certificatSSL/signé.

Au lieu d'utiliser une autorité de certification, vous pouvez utiliser un outil tel qu'Open SSL pour créer un certificat auto-signé.

Avertissement

Les certificats auto-signés ne sont pas approuvées par les navigateurs et ne doivent pas être utilisés dans les environnements de production. Ils peuvent cependant être utilisés dans les environnements de test.

Les procédures suivantes montrent comment créer un certificat auto-signé et l'utiliser pour signer celui de CSR votre serveur Web.

Pour créer un certificat auto-signé

  1. Utilisez la SSL commande Open suivante pour créer une clé privée. Vous pouvez éventuellement le SelfSignedCA.key remplacer par le nom du fichier contenant votre clé privée.

    openssl genrsa -aes256 -out SelfSignedCA.key 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:

  2. Utilisez la SSL commande Open suivante pour créer un certificat auto-signé à l'aide de la clé privée que vous avez créée à l'étape précédente. Il s'agit d'une commande interactive. Lisez les instructions à l'écran et suivez les invites. SelfSignedCA.keyRemplacez-le par le nom du fichier contenant votre clé privée (s'il est différent). Vous pouvez éventuellement le SelfSignedCA.crt remplacer par le nom du fichier contenant votre certificat auto-signé.

    openssl req -new -x509 -days 365 -key SelfSignedCA.key -out SelfSignedCA.crt
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Pour utiliser votre certificat auto-signé pour signer celui de votre serveur Web CSR

  • Utilisez la SSL commande Ouvrir suivante pour utiliser votre clé privée et votre certificat auto-signé pour signer leCSR. Remplacez les éléments suivants par les noms des fichiers qui contiennent les données correspondantes (en cas de différence).

    • IISCertRequest.csr— Le nom du fichier qui contient celui de votre serveur Web CSR

    • SelfSignedCA.crt— Le nom du fichier contenant votre certificat auto-signé

    • SelfSignedCA.key— Le nom du fichier contenant votre clé privée

    • IISCert.crt— Le nom du fichier qui doit contenir le certificat signé de votre serveur Web

    openssl x509 -req -days 365 -in IISCertRequest.csr \
                            -CA SelfSignedCA.crt \
                            -CAkey SelfSignedCA.key \
                            -CAcreateserial \
                            -out IISCert.crt
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:

Une fois que vous avez terminé l'étape précédente, vous avez un certificat signé pour votre serveur web (IISCert.crt) et un certificat auto-signé (SelfSignedCA.crt). Lorsque vous avez ces fichiers, accédez à Étape 3 : Configurer le serveur web.

Étape 3 : Configurer le serveur web

Mettez à jour la configuration de votre IIS site Web pour utiliser le HTTPS certificat que vous avez créé à la fin de l'étape précédente. Cela terminera la configuration de votre logiciel de serveur Web Windows (IIS) pourSSL/TLSoffload with AWS CloudHSM.

Si vous avez utilisé un certificat autosigné pour signer votreCSR, vous devez d'abord l'importer dans les autorités de certification Windows Trusted Root.

Pour importer votre certificat auto-signé dans les autorités de certification racine approuvées Windows

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Copiez votre certificat auto-signé sur votre serveur Windows.

  3. Sur votre serveur Windows, ouvrez le Panneau de configuration.

  4. Pour Search Control Panel (Recherche dans le panneau de configuration), tapez certificates. Ensuite, choisissez Manage computer certificates (Gérer les certificats de l'ordinateur).

  5. Dans la fenêtre Certificates - Local Computer (Certificats - Ordinateur local), double-cliquez sur Trusted Root Certification Authorities (Autorités de certification racine approuvées).

  6. Cliquez avec le bouton droit sur Certificates (Certificats), puis choisissez All Tasks (Toutes les tâches), Import (Importer).

  7. Dans l'assistant Certificate Import (Importation de certificat), choisissez Next (Suivant).

  8. Choisissez Browse (Parcourir), puis recherchez et sélectionnez votre certificat auto-signé. Si vous avez créé votre certificat auto-signé en suivant les instructions de l'étape précédente de ce didacticiel, votre certificat auto-signé se nomme SelfSignedCA.crt. Choisissez Ouvrir.

  9. Choisissez Suivant.

  10. Pour Certificate Store (Magasin de certificats), choisissez Place all certificates in the following store (Placer tous les certificats dans les éléments suivants). Ensuite, vérifiez que Trusted Root Certification Authorities (Autorités de certification racine approuvées) est sélectionné pour Certificate store (Magasin de certificats).

  11. Cliquez sur Suivant, puis sur Terminer.

Pour mettre à jour la configuration du IIS site Web

  1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez Connect to Your Instance dans le guide de EC2 l'utilisateur Amazon.

  2. Démarrez le daemon AWS CloudHSM client.

  3. Copiez le certificat signé de votre serveur web, celui que vous avez créé à la fin de l’étape précédente de ce didacticiel, sur votre serveur Windows.

  4. Sur votre serveur Windows, utilisez la commande certreq Windows pour accepter le certificat signé, comme dans l'exemple suivant. IISCert.crtRemplacez-le par le nom du fichier contenant le certificat signé de votre serveur Web.

    C:\>certreq -accept IISCert.crt
        SDK Version: 2.03

  5. Sur votre serveur Windows Server, démarrez le Server Manager (Gestionnaire de serveurs).

  6. Dans le tableau de bord du gestionnaire de serveur, dans le coin supérieur droit, choisissez Outils, Internet Information Services (IIS) Manager.

  7. Dans la fenêtre du gestionnaire des services Internet (IIS), double-cliquez sur le nom de votre serveur. Ensuite, double-cliquez sur Sites. Sélectionnez votre site web.

  8. Sélectionnez SSLRéglages. Puis, sur la droite de la fenêtre, choisissez Bindings (Liaisons).

  9. Dans la fenêtre Site Bindings (Liaisons de site), choisissez Add (Ajouter).

  10. Pour Type, choisissez https. Pour le SSLcertificat, choisissez le HTTPS certificat que vous avez créé à la fin de l'étape précédente de ce didacticiel.

    Note

    Si vous rencontrez une erreur au cours de cette liaison de certificat, redémarrez votre serveur et réessayez cette étape.

  11. Choisissez OK.

Après que vous avez mis à jour la configuration de votre site web, accédez à Étape 4 : activer HTTPS le trafic et vérifier le certificat.

Étape 4 : activer HTTPS le trafic et vérifier le certificat

Après avoir configuré votre serveur Web pour SSL TLS /offload with AWS CloudHSM, ajoutez votre instance de serveur Web à un groupe de sécurité qui autorise le trafic entrantHTTPS. Cela permet aux clients, tels que les navigateurs Web, d'établir une HTTPS connexion avec votre serveur Web. Établissez ensuite une HTTPS connexion à votre serveur Web et vérifiez qu'il utilise le certificat que vous avez configuré pourSSL/TLSoffload with AWS CloudHSM.

Activer les connexions entrantes HTTPS

Pour vous connecter à votre serveur Web à partir d'un client (tel qu'un navigateur Web), créez un groupe de sécurité qui autorise HTTPS les connexions entrantes. Plus précisément, il devrait autoriser les TCP connexions entrantes sur le port 443. Affectez ce groupe de sécurité à votre serveur web.

Pour créer un groupe de sécurité HTTPS et l'attribuer à votre serveur Web

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Groupes de sécurité dans le panneau de navigation.

  3. Sélectionnez Create security group (Créer un groupe de sécurité).

  4. Pour Créer un groupe de sécurité, procédez comme suit :

    1. Pour Nom du groupe de sécurité, tapez un nom pour le groupe de sécurité que vous créez.

    2. (Facultatif) Tapez une description du groupe de sécurité que vous créez.

    3. Pour VPC, choisissez celui VPC qui contient l'EC2instance Amazon de votre serveur Web.

    4. Sélectionnez Ajouter une règle.

    5. Pour Type, HTTPSsélectionnez dans la fenêtre déroulante.

    6. Pour Source, entrez l'emplacement de la source.

    7. Sélectionnez Create security group (Créer un groupe de sécurité).

  5. Dans le panneau de navigation, choisissez Instances.

  6. Cochez la case située en regard de votre instance de serveur web.

  7. Choisissez le menu déroulant Actions en haut de la page. Sélectionnez Sécurité, puis Modifier les groupes de sécurité.

  8. Pour les groupes de sécurité associés, sélectionnez le champ de recherche et choisissez le groupe de sécurité pour lequel vous avez crééHTTPS. Ensuite, choisissez Ajouter des groupes de sécurité.

  9. Sélectionnez Save.

Vérifiez qu'il HTTPS utilise le certificat que vous avez configuré

Après avoir ajouté le serveur Web à un groupe de sécurité, vous pouvez vérifier queSSL/TLSoffload utilise votre certificat auto-signé. Vous pouvez le faire à l'aide d'un navigateur Web ou d'un outil tel que Open SSL s_client.

Pour SSL TLS vérifier/décharger avec un navigateur Web

  1. Utilisez un navigateur Web pour vous connecter à votre serveur Web en utilisant le DNS nom public ou l'adresse IP du serveur. Assurez-vous que le champ URL dans la barre d'adresse commence par https ://. Par exemple, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    Astuce

    Vous pouvez utiliser un DNS service tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre DNS service.

  2. Utilisez votre navigateur web pour afficher le certificat de serveur web. Pour plus d’informations, consultez les ressources suivantes :

    D'autres navigateurs web peuvent avoir des fonctions similaires que vous pouvez utiliser pour afficher le certificat de serveur web.

  3. Assurez-vous que le TLS certificatSSL/est celui que vous avez configuré pour utiliser sur votre serveur Web.

Pour SSL TLS vérifier/décharger avec Open s_client SSL

  1. Exécutez la SSL commande Open suivante pour vous connecter à votre serveur Web à l'aide deHTTPS. <server name>Remplacez-le par le DNS nom public ou l'adresse IP de votre serveur Web. 

    openssl s_client -connect <server name>:443
    Astuce

    Vous pouvez utiliser un DNS service tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre DNS service.

  2. Assurez-vous que le TLS certificatSSL/est celui que vous avez configuré pour utiliser sur votre serveur Web.

Vous disposez désormais d'un site Web sécurisé avecHTTPS. La clé privée du serveur Web est stockée HSM dans un AWS CloudHSM cluster.

Pour ajouter un équilibreur de charge, veuillez consulter Ajoutez un équilibreur de charge avec Elastic Load Balancing pour AWS CloudHSM(facultatif).