기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 인스턴스에서 HTTPS 종료 구성
[구성 파일](ebextensions.md)을 사용하여 HTTPS 연결을 종료하도록 트래픽을 애플리케이션으로 전달하는 프록시 서버를 구성할 수 있습니다. HTTPS를 단일 인스턴스 환경에서 사용하고자 하거나, 트래픽의 암호를 해독하지 않고 트래픽을 전달하도록 로드 밸런서를 구성하는 경우에 유용합니다.
HTTPS를 활성화하려면 Elastic Beanstalk 애플리케이션을 실행 중인 EC2 인스턴스로 들어오는 포트 443을 통한 수신 트래픽을 허용해야 합니다. 이렇게 하려면 구성 파일의 `Resources` 키를 사용하여 AWSEBSecurityGroup 보안 그룹의 수신 규칙에 포트 443의 규칙을 추가합니다.
다음 조각은 단일 인스턴스 환경의 모든 트래픽에 대해 포트 443을 여는 수신 규칙을 `AWSEBSecurityGroup` 보안 그룹에 추가합니다.
**`.ebextensions/https-instance-securitygroup.config`**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
기본 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/)(Amazon VPC)의 로드 밸런싱된 환경에서는 로드 밸런서의 트래픽만 허용하도록 이 정책을 수정할 수 있습니다. 예제는 [로드 밸런싱된 Elastic Beanstalk 환경에서 종단 간 암호화 구성](configuring-https-endtoend.md) 섹션을 참조하세요.
**Topics**
+ [Docker를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-docker.md)
+ [Go를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-go.md)
+ [Java SE를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-java.md)
+ [Node.js를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-nodejs.md)
+ [PHP를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-php.md)
+ [Python을 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-python.md)
+ [Ruby를 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-ruby.md)
+ [Tomcat을 실행하는 EC2 인스턴스에서 HTTPS 종료](https-singleinstance-tomcat.md)
+ [Linux의 .NET Core를 실행하는 Amazon EC2 인스턴스에서 HTTPS 종료](https-singleinstance-dotnet-linux.md)
+ [.NET을 실행하는 Amazon EC2 인스턴스에서 HTTPS 종료](SSLNET.SingleInstance.md)
# Docker를 실행하는 EC2 인스턴스에서 HTTPS 종료
Docker 컨테이너의 경우 [구성 파일](ebextensions.md)을 사용하여 HTTPS를 활성화합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/nginx/conf.d/https.conf`
nginx 서버를 구성합니다. 이 파일은 nginx 서비스가 시작되면 로드됩니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/nginx/conf.d/https.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Go를 실행하는 EC2 인스턴스에서 HTTPS 종료
Go 컨테이너 유형의 경우 [구성 파일](ebextensions.md)과 HTTPS를 사용하도록 nginx 서버를 구성하는 nginx 구성 파일로 HTTPS를 활성화합니다.
지침에 따라 인증서와 프라이빗 키 자리 표시자를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `Resources` 키는 환경의 인스턴스에서 사용하는 보안 그룹에서 포트 443을 활성화합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
소스 번들의 `.conf` 디렉터리에서 `.ebextensions/nginx/conf.d/` 확장명을 사용하는 파일에 다음을 놓습니다(예: `.ebextensions/nginx/conf.d/https.conf`). *app\$1port*를 애플리케이션이 수신 대기하는 포트 번호로 바꿉니다. 이 예제에서는 SSL을 사용하여 포트 443에서 수신 대기하도록 nginx 서버를 구성합니다. Go 플랫폼의 이러한 구성 파일에 대한 자세한 내용은 [프록시 서버 구성](go-nginx.md) 단원을 참조하십시오.
**Example .ebextensions/nginx/conf.d/https.conf**
```
# HTTPS server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://localhost:app_port;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
```
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Java SE를 실행하는 EC2 인스턴스에서 HTTPS 종료
Java SE 컨테이너 유형의 경우 .ebextensions [구성 파일](ebextensions.md)과 HTTPS를 사용하도록 nginx 서버를 구성하는 nginx 구성 파일로 HTTPS를 활성화합니다.
모든 AL2023/AL2 플랫폼은 균일한 프록시 구성 기능을 지원합니다. AL2023/AL2를 실행하는 플랫폼 버전에서 프록시 서버를 구성하는 방법에 대한 자세한 내용은 [역방향 프록시 구성](platforms-linux-extend.proxy.md) 단원을 참조하세요.
지침에 따라 인증서와 프라이빗 키 자리 표시자를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
소스 번들의 `.conf` 디렉터리에서 `.ebextensions/nginx/conf.d/` 확장명을 사용하는 파일에 다음을 놓습니다(예: `.ebextensions/nginx/conf.d/https.conf`). *app\$1port*를 애플리케이션이 수신 대기하는 포트 번호로 바꿉니다. 이 예제에서는 SSL을 사용하여 포트 443에서 수신 대기하도록 nginx 서버를 구성합니다. Java SE 플랫폼의 이러한 구성 파일에 대한 자세한 내용은 [프록시 서버 구성](java-se-nginx.md) 단원을 참조하십시오.
**Example .ebextensions/nginx/conf.d/https.conf**
```
# HTTPS server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://localhost:app_port;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
```
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Node.js를 실행하는 EC2 인스턴스에서 HTTPS 종료
다음 구성 파일 예제에서는 [기본 nginx 구성을 확장](nodejs-platform-proxy.md)하여 포트 443에서 수신 대기하고 퍼블릭 인증서와 프라이빗 키를 사용하여 SSL/TLS 연결을 종료합니다.
[확장 상태 보고](health-enhanced.md)를 위한 환경을 구성한 경우 액세스 로그를 생성하도록 nginx를 구성해야 합니다. 이렇게 하려면 `# For enhanced health...` 주석 아래 행 블록에서 앞의 `#` 문자를 제거하여 주석 처리를 해제합니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/nginx/conf.d/https.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
# For enhanced health reporting support, uncomment this block:
#if ($time_iso8601 ~ "^(\d{4})-(\d{2})-(\d{2})T(\d{2})") {
# set $year $1;
# set $month $2;
# set $day $3;
# set $hour $4;
#}
#access_log /var/log/nginx/healthd/application.log.$year-$month-$day-$hour healthd;
#access_log /var/log/nginx/access.log main;
location / {
proxy_pass http://nodejs;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
`files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/nginx/conf.d/https.conf`
nginx 서버를 구성합니다. 이 파일은 nginx 서비스가 시작되면 로드됩니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# PHP를 실행하는 EC2 인스턴스에서 HTTPS 종료
PHP 컨테이너 유형의 경우 [구성 파일](ebextensions.md)을 사용하여 Apache HTTP Server가 HTTPS를 사용할 수 있게 합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다.
구성 파일은 다음 작업을 수행합니다.
+ `packages` 키는 yum을 사용하여 `mod24_ssl`을 설치합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/httpd/conf.d/ssl.conf`
Apache 서버를 구성합니다. Apache 서비스가 시작되면 이 파일이 로드됩니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
packages:
yum:
mod24_ssl : []
files:
/etc/httpd/conf.d/ssl.conf:
mode: "000644"
owner: root
group: root
content: |
LoadModule ssl_module modules/mod_ssl.so
Listen 443
Order deny,allow
Allow from all
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
ProxyPass / http://localhost:80/ retry=0
ProxyPassReverse / http://localhost:80/
ProxyPreserveHost on
RequestHeader set X-Forwarded-Proto "https" early
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Python을 실행하는 EC2 인스턴스에서 HTTPS 종료
WSGI(Web Server Gateway Interface)가 있는 Apache HTTP Server를 사용하는 Python 컨테이너 유형의 경우, [구성 파일](ebextensions.md)을 사용하여 Apache HTTP Server가 HTTPS를 사용하도록 활성화합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 [구성 파일](ebextensions.md)에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `packages` 키는 yum을 사용하여 `mod_ssl`을 설치합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/httpd/conf.d/ssl.conf`
Apache 서버를 구성합니다. 애플리케이션 이름이 `application.py`가 아닌 경우, `WSGIScriptAlias` 값에서 강조 표시된 텍스트를 애플리케이션의 로컬 경로로 바꿉니다. 예를 들어 django 애플리케이션은 `django/wsgi.py`에 있을 수 있습니다. 위치는 환경에 설정한 `WSGIPath` 옵션의 값과 일치해야 합니다.
애플리케이션 요구 사항에 따라 **python-path** 파라미터에 다른 디렉터리를 추가해야 할 수도 있습니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
+ `container_commands` 키는 모든 것이 구성된 후 httpd 서비스를 중지하여 서비스에서 새 `https.conf` 파일과 인증서를 사용할 수 있도록 합니다.
**참고**
이 예제는 [Python](create-deploy-python-container.md) 플랫폼을 사용하는 환경에서만 작동합니다.
**Example .ebextensions/https-instance.config**
```
packages:
yum:
mod_ssl: []
files:
/etc/httpd/conf.d/ssl.conf:
mode: "000644"
owner: root
group: root
content: |
LoadModule wsgi_module modules/mod_wsgi.so
WSGIPythonHome /var/app/venv/staging-LQM1lest
WSGISocketPrefix run/wsgi
WSGIRestrictEmbedded On
Listen 443
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
Alias /static/ /var/app/current/static/
Order allow,deny
Allow from all
WSGIScriptAlias / /var/app/current/application.py
Require all granted
WSGIDaemonProcess wsgi-ssl processes=1 threads=15 display-name=%{GROUP} \
python-path=/var/app/current \
python-home=/var/app/venv/staging-LQM1lest \
home=/var/app/current \
user=webapp \
group=webapp
WSGIProcessGroup wsgi-ssl
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
container_commands:
01killhttpd:
command: "killall httpd"
02waitforhttpddeath:
command: "sleep 3"
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
**Amazon Linux 2023 환경에 대한 참고 사항**
Amazon Linux 2023에서는 `mod_wsgi`가 패키지 리포지토리에 포함되어 있지 않으므로 별도로 설치해야 합니다. 설치 지침은 PyPI의 [mod\$1wsgi](https://pypi.org/project/mod-wsgi/)를 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Ruby를 실행하는 EC2 인스턴스에서 HTTPS 종료
Ruby 컨테이너 형식의 경우 HTTPS를 활성화하는 방법은 사용되는 애플리케이션 서버 유형에 따라 다릅니다.
**Topics**
+ [Puma를 사용하는 Ruby용 HTTPS 구성](#Puma)
+ [Passenger를 사용하는 Ruby용 HTTPS 구성](#Passenger)
## Puma를 사용하는 Ruby용 HTTPS 구성
Puma를 애플리케이션 서버로 사용하는 Ruby 컨테이너 형식의 경우 [구성 파일](ebextensions.md)을 사용하여 HTTPS를 활성화합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/nginx/conf.d/https.conf`
nginx 서버를 구성합니다. 이 파일은 nginx 서비스가 시작되면 로드됩니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/nginx/conf.d/https.conf:
content: |
# HTTPS server
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://my_app;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
location /assets {
alias /var/app/current/public/assets;
gzip_static on;
gzip on;
expires max;
add_header Cache-Control public;
}
location /public {
alias /var/app/current/public;
gzip_static on;
gzip on;
expires max;
add_header Cache-Control public;
}
}
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
## Passenger를 사용하는 Ruby용 HTTPS 구성
Passenger를 애플리케이션 서버로 사용하는 Ruby 컨테이너 형식의 경우 구성 파일과 JSON 파일을 모두 사용하여 HTTPS를 활성화합니다.
**Passenger를 사용하는 Ruby용 HTTPS를 구성하려면**
1. 지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example Passenger를 사용하는 Ruby용 HTTPS를 구성하기 위한 .Ebextensions 조각**
```
files:
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
1. 텍스트 파일을 만들어 파일에 다음 JSON을 추가합니다. 이름이 `passenger-standalone.json`인 소스 번들의 루트 디렉터리에 이를 저장합니다. 이 JSON 파일은 HTTPS를 사용하도록 Passenger를 구성합니다.
**중요**
이 JSON 파일에는 바이트 순서 표시(BOM)가 포함되어 있으면 안 됩니다. 포함되어 있으면 Passenger JSON 라이브러리가 파일을 올바르게 읽지 못하므로 Passenger 서비스가 시작되지 않습니다.
**Example passenger-standalone.json**
```
{
"ssl" : true,
"ssl_port" : 443,
"ssl_certificate" : "/etc/pki/tls/certs/server.crt",
"ssl_certificate_key" : "/etc/pki/tls/certs/server.key"
}
```
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Tomcat을 실행하는 EC2 인스턴스에서 HTTPS 종료
Tomcat 컨테이너 형식의 경우, [구성 파일](ebextensions.md)을 사용하여 Apache HTTP Server가 Tomcat의 역방향 프록시 역할을 할 때 HTTPS를 사용하도록 합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
`/opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh`
배포 후 후크 스크립트를 생성하여 httpd 서비스를 다시 시작합니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
/opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh:
mode: "000755"
owner: root
group: root
content: |
#!/usr/bin/env bash
sudo service httpd restart
```
또한 환경의 프록시 서버가 포트 443에서 수신 대기하도록 구성해야 합니다. 다음 Apache 2.4 구성은 포트 443에 리스너를 추가합니다. 자세한 내용은 [프록시 서버 구성](java-tomcat-proxy.md) 단원을 참조하십시오.
**Example .ebextensions/httpd/conf.d/ssl.conf**
```
Listen 443
ServerName server-name
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
Require all granted
ProxyPass / http://localhost:8080/ retry=0
ProxyPassReverse / http://localhost:8080/
ProxyPreserveHost on
ErrorLog /var/log/httpd/elasticbeanstalk-ssl-error_log
```
인증서 벤더는 모바일 클라이언트와의 호환성 향상을 위해 중간 인증서를 설치할 수 있습니다. SSL 구성 파일에 다음을 추가하여 중간 인증서 인증기관(CA) 번들로 Apache를 구성합니다([기본 Apache 구성 확장 및 재정의 — Amazon Linux AMI (AL1)](java-tomcat-proxy.md#java-tomcat-proxy-apache)에서 위치 참조).
+ `ssl.conf` 파일 내용에 체인 파일을 지정합니다.
```
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
SSLCertificateChainFile "/etc/pki/tls/certs/gd_bundle.crt"
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
```
+ `files` 키에 중간 인증서의 내용이 포함된 새 항목을 추가합니다.
```
files:
/etc/pki/tls/certs/gd_bundle.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
First intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Second intermediate certificate
-----END CERTIFICATE-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# Linux의 .NET Core를 실행하는 Amazon EC2 인스턴스에서 HTTPS 종료
Linux의 .NET Core 컨테이너 유형의 경우 `.ebextensions`[ 구성 파일](ebextensions.md)과 HTTPS를 사용하도록 nginx 서버를 구성하는 nginx 구성 파일로 HTTPS를 활성화합니다.
지침에 따라 인증서와 프라이빗 키 자리 표시자를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
중간 인증서를 보유한 경우, 사이트 인증 후 `server.crt`에 포함시킵니다.
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
소스 번들의 `.platform/nginx/conf.d/` 디렉터리에서 `.conf` 확장명을 사용하는 파일에 다음을 놓습니다(예: `.platform/nginx/conf.d/https.conf`). *app\$1port*를 애플리케이션이 수신 대기하는 포트 번호로 바꿉니다. 이 예제에서는 SSL을 사용하여 포트 443에서 수신 대기하도록 nginx 서버를 구성합니다. Linux의 .NET Core 플랫폼의 이러한 구성 파일에 대한 자세한 내용은 [프록시 서버 구성](dotnet-linux-platform-nginx.md) 단원을 참조하십시오.
**Example .platforms/nginx/conf.d/https.conf**
```
# HTTPS server
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://localhost:app_port;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
```
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.
# .NET을 실행하는 Amazon EC2 인스턴스에서 HTTPS 종료
다음 [구성 파일](ebextensions.md)은 다음 작업을 수행하는 Windows PowerShell 스크립트를 만들고 실행합니다.
+ 포트 443에 바인딩된 기존 HTTPS 인증서 확인
+ Amazon S3 버킷에서 [PFX 인증서](configuring-https-ssl.md) 가져오기
**참고**
Amazon S3 버킷의 SSL 인증서에 액세스하려면 `aws-elasticbeanstalk-ec2-role`에 `AmazonS3ReadOnlyAccess` 정책을 추가합니다.
+ 암호를 가져옵니다 AWS Secrets Manager.
**참고**
인증서 암호가 포함된 비밀에 대한 `secretsmanager:GetSecretValue` 작업을 허용하는 문을 `aws-elasticbeanstalk-ec2-role`에 추가합니다.
+ 인증서를 설치합니다.
+ 포트 443에 인증서를 바인딩합니다.
**참고**
HTTP 엔드포인트(포트 80)를 제거하려면 예제의 **HTTP 바인딩 제거** 섹션 아래에서 `Remove-WebBinding` 명령을 추가합니다.
**Example .ebextensions/https-instance-dotnet.config**
```
files:
"C:\\certs\\install-cert.ps1":
content: |
import-module webadministration
## Settings - replace the following values with your own
$bucket = "amzn-s3-demo-bucket" ## S3 bucket name
$certkey = "example.com.pfx" ## S3 object key for your PFX certificate
$secretname = "example_secret" ## AWS Secrets Manager name for a secret that contains the certificate's password
##
# Set variables
$certfile = "C:\cert.pfx"
$pwd = Get-SECSecretValue -SecretId $secretname | select -expand SecretString
# Clean up existing binding
if ( Get-WebBinding "Default Web Site" -Port 443 ) {
Echo "Removing WebBinding"
Remove-WebBinding -Name "Default Web Site" -BindingInformation *:443:
}
if ( Get-Item -path IIS:\SslBindings\0.0.0.0!443 ) {
Echo "Deregistering WebBinding from IIS"
Remove-Item -path IIS:\SslBindings\0.0.0.0!443
}
# Download certificate from S3
Read-S3Object -BucketName $bucket -Key $certkey -File $certfile
# Install certificate
Echo "Installing cert..."
$securepwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText
$cert = Import-PfxCertificate -FilePath $certfile cert:\localMachine\my -Password $securepwd
# Create site binding
Echo "Creating and registering WebBinding"
New-WebBinding -Name "Default Web Site" -IP "*" -Port 443 -Protocol https
New-Item -path IIS:\SslBindings\0.0.0.0!443 -value $cert -Force
## Remove the HTTP binding
## (optional) Uncomment the following line to unbind port 80
# Remove-WebBinding -Name "Default Web Site" -BindingInformation *:80:
##
# Update firewall
netsh advfirewall firewall add rule name="Open port 443" protocol=TCP localport=443 action=allow dir=OUT
commands:
00_install_ssl:
command: powershell -NoProfile -ExecutionPolicy Bypass -file C:\\certs\\install-cert.ps1
```
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.