本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在執行 .NET Core on Linux 的 Amazon EC2 執行個體上終止 HTTPS
如果是 .NET Core on Linux 容器類型,您可使用 .ebextensions
組態檔案來啟用 HTTPS,以及使用 nginx 組態檔案來設定 nginx 伺服器使用 HTTPS。
在您的組態檔案中加入下列的程式碼片段、依照指示來更換憑證與私有金鑰佔位符,並儲存於 .ebextensions
目錄中。此組態檔案會執行下列任務:
-
files
金鑰會於執行個體上建立下列檔案:/etc/pki/tls/certs/server.crt
-
在執行個體上建立憑證檔案。將
憑證檔案內容
取代為您的憑證內容。注意
YAML 憑藉一致的縮排。請在取代範例組態檔中的內容時,讓縮排層級一致,並確認您的文字編輯器使用空格而非定位字元進行縮排。
如果您有中繼憑證,請在網站憑證後將其納入
server.crt
中。-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----second intermediate certificate
-----END CERTIFICATE----- /etc/pki/tls/certs/server.key
-
在執行個體上建立私有金鑰。將
私密金鑰內容
取代為用於建立憑證請求或自我簽署憑證的私密金鑰內容。
-
container_commands
金鑰會在所有項目設定完成後重新啟動 nginx 伺服器,以讓伺服器載入 nginx 組態檔案。
範例 .ebextensions/https-instance.config
files:
/etc/pki/tls/certs/server.crt:
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
container_commands:
01restart_nginx:
command: "systemctl restart nginx"
注意
請避免將包含您私有金鑰的組態檔遞交到原始檔控制。當您測試好組態並確認其正常運作後,請將您的私有金鑰儲存在 Amazon S3,然後修改組態,以在部署期間予以下載。如需指示,請參閱 將私有金鑰安全地儲存於 Amazon S3 中。
將下列內容加入您原始碼套件 .conf
目錄中的檔案,該檔案的副檔名為 .platform/nginx/conf.d/
(例如 .platform/nginx/conf.d/https.conf
)。將 app_port
換成您應用程式接聽的埠號。本範例設定 nginx 伺服器使用 SSL 來接聽 443 埠。如需 .NET Core on Linux 平台上這些組態檔案的詳細資訊,請參閱設定代理伺服器。
範例 .platform/nginx/conf.d/https.conf
# HTTPS server
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://localhost:app_port
;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
在單一執行個體環境中,您也必須修改執行個體的安全群組,以允許連接埠 443 上的流量。下列組態檔案會使用 AWS CloudFormation 函數擷取安全群組 ID,並對其新增規則。
範例 .ebextensions/https-instance-single.config
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
針對使用負載平衡的環境,您應設定負載平衡器,使其以未處理之方式通過安全流量,或針對端點對端點加密進行解密與重新加密。