Récapitulatif Conditions préalables et limitations Architecture Outils Bonnes pratiques Épopées Résolution des problèmes Ressources connexes

Migrez SSL les certificats Windows vers un Application Load Balancer à l'aide de ACM

Créée par Chandra Sekhar Yaratha (AWS) et Igor Kovalchuk () AWS

Environnement : Production	Source : application Web Windows	Cible : Application Load Balancer activé AWS
Type R : Replateforme	Charge de travail : Microsoft	Technologies : migration ; gestion et gouvernance ; applications Web et mobiles
AWSservices : Elastic Load Balancing (ELB) ; AWS Certificate Manager (ACM)

Récapitulatif

Le modèle fournit des conseils sur l'utilisation de AWS Certificate Manager (ACM) pour migrer des certificats Secure Sockets Layer (SSL) existants à partir de sites Web hébergés sur des serveurs locaux ou d'instances Amazon Elastic Compute Cloud (AmazonEC2) sur Microsoft Internet Information Services (IIS). Les SSL certificats peuvent ensuite être utilisés avec Elastic Load Balancing activéAWS.

SSLprotège vos données, affirme votre identité, améliore le classement dans les moteurs de recherche, contribue à répondre aux exigences de la norme de sécurité des données du secteur des cartes de paiement (PCIDSS) et améliore la confiance des clients. Les développeurs et les équipes informatiques qui gèrent ces charges de travail souhaitent que leurs applications Web et leur infrastructure, y compris le IIS serveur et Windows Server, restent conformes à leurs politiques de base.

Ce modèle couvre l'exportation manuelle de SSL certificats existants depuis MicrosoftIIS, leur conversion du format Personal Information Exchange (PFX) au format Private Enhanced Mail (PEM) ACM compatible, puis leur importation ACM dans votre AWS compte. Il décrit également comment créer un Application Load Balancer pour votre application et configurer l'Application Load Balancer pour utiliser vos certificats importés. HTTPSles connexions sont ensuite interrompues sur l'Application Load Balancer, et vous n'avez pas besoin de surcharger davantage la configuration du serveur Web. Pour plus d'informations, consultez Créer un HTTPS écouteur pour votre Application Load Balancer.

Les serveurs Windows utilisent des fichiers .pfx ou .p12 pour contenir le fichier de clé publique (SSLcertificat) et son fichier de clé privée unique. L'autorité de certification (CA) vous fournit votre fichier de clé publique. Vous utilisez votre serveur pour générer le fichier de clé privée associé dans lequel la demande de signature de certificat (CSR) a été créée.

Conditions préalables et limitations

Prérequis

Un AWS compte actif
Un cloud privé virtuel (VPC) activé AWS avec au moins un sous-réseau privé et un sous-réseau public dans chaque zone de disponibilité utilisée par vos cibles
IISversion 8.0 ou ultérieure exécutée sur Windows Server 2012 ou version ultérieure
Une application Web exécutée sur IIS
Accès administrateur au IIS serveur

Architecture

Pile technologique source

IISmise en œuvre d'un serveur Web SSL pour garantir que les données sont transmises en toute sécurité dans le cadre d'une connexion cryptée (HTTPS)

Architecture source

Pile technologique cible

ACMcertificats dans votre AWS compte
Application Load Balancer configuré pour utiliser des certificats importés
Instances Windows Server dans les sous-réseaux privés

Architecture cible

Outils

AWSCertificate Manager (ACM) vous permet de créer, de stocker et de renouveler les certificats et clés SSL TLS X.509 publics et privés qui protègent vos AWS sites Web et vos applications.
Elastic Load Balancing (ELB) distribue le trafic applicatif ou réseau entrant sur plusieurs cibles. Par exemple, vous pouvez répartir le trafic entre les EC2 instances, les conteneurs et les adresses IP dans une ou plusieurs zones de disponibilité.

Bonnes pratiques

Appliquez les redirections de trafic de HTTP vers. HTTPS
Configurez correctement les groupes de sécurité pour votre Application Load Balancer afin d'autoriser le trafic entrant uniquement vers des ports spécifiques.
Lancez vos EC2 instances dans différentes zones de disponibilité pour garantir une haute disponibilité.
Configurez le domaine de votre application pour qu'il pointe vers le DNS nom de l'équilibreur de charge d'application au lieu de son adresse IP.
Assurez-vous que les contrôles de santé de la couche application sont configurés dans l'Application Load Balancer.
Configurez le seuil pour les contrôles de santé.
Utilisez Amazon CloudWatch pour surveiller l'Application Load Balancer.

Épopées

Tâche	Description	Compétences requises
Exportez le fichier .pfx depuis Windows Server.	Pour exporter le SSL certificat sous forme de fichier .pfx depuis le IIS gestionnaire local de Windows Server : Choisissez Démarrer, Administration, Internet Information Services (IIS) Manager. Sélectionnez le nom du serveur, puis sous Sécurité, double-cliquez sur Certificats de serveur. Choisissez le certificat que vous souhaitez exporter, puis sélectionnez Exporter. Dans la zone Exporter le certificat, choisissez l'emplacement, le chemin et le nom de votre fichier .pfx. Spécifiez et confirmez un mot de passe pour votre fichier .pfx. Remarque : Vous avez besoin de ce mot de passe lorsque vous installez le fichier .pfx. Choisissez OK. Votre fichier .pfx doit maintenant être enregistré à l'emplacement et au chemin que vous avez spécifiés.	Administrateur de systèmes

Tâche

Description

Compétences requises

Exportez le fichier .pfx depuis Windows Server.

Pour exporter le SSL certificat sous forme de fichier .pfx depuis le IIS gestionnaire local de Windows Server :

Choisissez Démarrer, Administration, Internet Information Services (IIS) Manager.
Sélectionnez le nom du serveur, puis sous Sécurité, double-cliquez sur Certificats de serveur.
Choisissez le certificat que vous souhaitez exporter, puis sélectionnez Exporter.
Dans la zone Exporter le certificat, choisissez l'emplacement, le chemin et le nom de votre fichier .pfx.
Spécifiez et confirmez un mot de passe pour votre fichier .pfx.
Remarque : Vous avez besoin de ce mot de passe lorsque vous installez le fichier .pfx.
Choisissez OK.

Votre fichier .pfx doit maintenant être enregistré à l'emplacement et au chemin que vous avez spécifiés.

Administrateur de systèmes

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Téléchargez et installez le kit d'SSLoutils Open.	Téléchargez et installez Win32/Win64 Open SSL depuis le site Web de Shining Light Productions. Ajoutez l'emplacement des SSL fichiers binaires ouverts à votre `PATH` variable système afin que les fichiers binaires soient disponibles pour une utilisation en ligne de commande.	Administrateur de systèmes
Convertissez le certificat PFX codé au PEM format.	Les étapes suivantes convertissent le fichier de certificat signé et PFX codé en trois fichiers au PEM format : `cert-file.pem`contient le TLS certificatSSL/pour la ressource. `privatekey.pem`contient la clé privée du certificat sans protection par mot de passe. `ca-chain.pem`contient le certificat racine de l'autorité de certification. Pour convertir le certificat PFX codé : Exécutez Windows PowerShell. Utilisez la commande suivante pour extraire la clé privée du certificat du PFX fichier. Entrez le mot de passe du certificat lorsque vous y êtes invité. `openssl pkcs12 -in <filename>.pfx -nocerts -out withpw-privatekey.pem` La commande génère un fichier PEM de clé privée codé nommé`privatekey.pem`. Entrez une phrase secrète pour protéger le fichier de clé privée lorsque vous y êtes invité. Exécutez la commande suivante pour supprimer le mot de passe. Lorsque vous y êtes invité, saisissez le mot de passe que vous avez créé à l'étape 2. `openssl rsa -in withpw-privatekey.pem -out privatekey.pem` Si la commande aboutit, le message « RSA touche d'écriture » s'affiche. Utilisez la commande suivante pour transférer le certificat du PFX fichier vers un PEM autre. `openssl pkcs12 -in <file_name>.pfx -clcerts -nokeys -out cert-file.pem` Cela crée un fichier PEM de certificat codé nommé`cert-file.pem`. Si la commande aboutit, le message « MAC Vérifié OK » s'affiche. Créez un fichier de chaîne CA à partir du PFX fichier. La commande suivante crée un fichier de chaîne CA nommé`ca-chain.pem`. `openssl pkcs12 -in <file_name>.pfx -cacerts -nokeys -chain -out ca-chain.pem` Si la commande aboutit, le message « MAC Vérifié OK » s'affiche.	Administrateur de systèmes

Téléchargez et installez le kit d'SSLoutils Open.

Téléchargez et installez Win32/Win64 Open SSL depuis le site Web de Shining Light Productions.
Ajoutez l'emplacement des SSL fichiers binaires ouverts à votre PATH variable système afin que les fichiers binaires soient disponibles pour une utilisation en ligne de commande.

Administrateur de systèmes

Convertissez le certificat PFX codé au PEM format.

Les étapes suivantes convertissent le fichier de certificat signé et PFX codé en trois fichiers au PEM format :

cert-file.pemcontient le TLS certificatSSL/pour la ressource.
privatekey.pemcontient la clé privée du certificat sans protection par mot de passe.
ca-chain.pemcontient le certificat racine de l'autorité de certification.

Pour convertir le certificat PFX codé :

Exécutez Windows PowerShell.
Utilisez la commande suivante pour extraire la clé privée du certificat du PFX fichier. Entrez le mot de passe du certificat lorsque vous y êtes invité.
```
openssl pkcs12 -in <filename>.pfx -nocerts -out withpw-privatekey.pem
```
La commande génère un fichier PEM de clé privée codé nomméprivatekey.pem. Entrez une phrase secrète pour protéger le fichier de clé privée lorsque vous y êtes invité.
Exécutez la commande suivante pour supprimer le mot de passe. Lorsque vous y êtes invité, saisissez le mot de passe que vous avez créé à l'étape 2.
```
openssl rsa -in withpw-privatekey.pem -out privatekey.pem
```
Si la commande aboutit, le message « RSA touche d'écriture » s'affiche.
Utilisez la commande suivante pour transférer le certificat du PFX fichier vers un PEM autre.
```
openssl pkcs12 -in <file_name>.pfx -clcerts -nokeys -out cert-file.pem
```
Cela crée un fichier PEM de certificat codé nommécert-file.pem. Si la commande aboutit, le message « MAC Vérifié OK » s'affiche.
Créez un fichier de chaîne CA à partir du PFX fichier. La commande suivante crée un fichier de chaîne CA nomméca-chain.pem.
```
openssl pkcs12 -in <file_name>.pfx -cacerts -nokeys -chain -out ca-chain.pem
```
Si la commande aboutit, le message « MAC Vérifié OK » s'affiche.

Administrateur de systèmes

Tâche	Description	Compétences requises
Préparez-vous à importer le certificat.	Sur la ACMconsole, choisissez Importer un certificat.	Administrateur du cloud
Indiquez le corps du certificat.	Pour Corps du certificat, collez le certificat PEM codé que vous souhaitez importer. Pour plus d'informations sur les commandes et les étapes décrites dans ce document et sur les autres tâches décrites dans cette épopée, consultez la section Importation d'un certificat dans la ACM documentation.	Administrateur du cloud
Fournissez la clé privée du certificat.	Pour la clé privée du certificat, collez la clé privée non PEM chiffrée codée qui correspond à la clé publique du certificat.	Administrateur du cloud
Fournissez la chaîne de certificats.	Pour Chaîne de certificats, collez la chaîne de certificats PEM codée, qui est stockée dans le `CertificateChain.pem` fichier.	Administrateur du cloud
Importez le certificat.	Choisissez Review and import (Vérifier et importer). Vérifiez que les informations relatives à votre certificat sont correctes, puis choisissez Importer.	Administrateur du cloud

Tâche	Description	Compétences requises
Créez et configurez l'équilibreur de charge et les écouteurs.	Suivez les instructions de la documentation d'Elastic Load Balancing pour configurer un groupe cible, enregistrer des cibles et créer un Application Load Balancer et un écouteur. Ajoutez un deuxième écouteur (HTTPS) pour le port 443.	Administrateur du cloud

Résolution des problèmes

Problème Solution

Problème	Solution
Windows PowerShell ne reconnaît pas la SSL commande Ouvrir même après l'avoir ajoutée au chemin du système.	Vérifiez `$env:path` qu'il inclut l'emplacement des SSL fichiers binaires ouverts. Si ce n'est pas le cas, exécutez la commande suivante dans PowerShell : `$env:path = $env:path + ";C:\OpenSSL-Win64\bin"`

Windows PowerShell ne reconnaît pas la SSL commande Ouvrir même après l'avoir ajoutée au chemin du système.

Vérifiez $env:path qu'il inclut l'emplacement des SSL fichiers binaires ouverts.

Si ce n'est pas le cas, exécutez la commande suivante dans PowerShell :


$env:path = $env:path + ";C:\OpenSSL-Win64\bin"

Ressources connexes

Importation d'un certificat dans ACM

Création d'un Application Load Balancer

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Migrez SAP ASE sur Amazon EC2 vers Aurora Postgre -Compatible SQL

Migrer une file d'attente de messagerie de Microsoft Azure vers Amazon SQS