本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在執行 Python 的 EC2 執行個體上終止 HTTPS
透過 Web 伺服器閘道界面 (WSGI) 使用 Apache HTTP 伺服器的 Python 容器類型,您可使用[組態檔案](ebextensions.md),讓 Apache HTTP 伺服器能夠使用 HTTPS。
在您的[組態檔案](ebextensions.md)中加入下列的程式碼片段、依照指示來更換憑證與私密金鑰資料,並儲存於原始碼套件的 `.ebextensions` 目錄中。此組態檔案會執行下列任務:
+ `packages` 金鑰使用 yum 來安裝 `mod_ssl`。
+ `files` 金鑰會於執行個體上建立下列檔案:
`/etc/httpd/conf.d/ssl.conf`
設定 Apache 伺服器。若您的應用程式名稱不是 `application.py`,請將 `WSGIScriptAlias` 值中反白顯示的文字取代為應用程式的本機路徑。例如,django 應用程式的路徑可能為 `django/wsgi.py`。此位置應與您為環境設定的 `WSGIPath` 選項的值相符。
依據您的應用程式需求,可能需要將其他目錄新增至 **python-path** 參數。
`/etc/pki/tls/certs/server.crt`
在執行個體上建立憑證檔案。將*憑證檔案內容*取代為您的憑證內容。
YAML 憑藉一致的縮排。請在取代範例組態檔中的內容時,讓縮排層級一致,並確認您的文字編輯器使用空格而非定位字元進行縮排。
如果您有中繼憑證,請在網站憑證後將其納入 `server.crt` 中。
```
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
first intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
second intermediate certificate
-----END CERTIFICATE-----
```
`/etc/pki/tls/certs/server.key`
在執行個體上建立私有金鑰。將*私密金鑰內容*取代為用於建立憑證請求或自我簽署憑證的私密金鑰內容。
+ `container_commands` 金鑰會在所有項目設定完成後停止 httpd 服務,讓服務能夠使用新的 `https.conf` 檔案和憑證。
**注意**
這個範例只能使用 [Python](create-deploy-python-container.md) 平台在環境中運作。
**Example .ebextensions/https-instance.config**
```
packages:
yum:
mod_ssl: []
files:
/etc/httpd/conf.d/ssl.conf:
mode: "000644"
owner: root
group: root
content: |
LoadModule wsgi_module modules/mod_wsgi.so
WSGIPythonHome /var/app/venv/staging-LQM1lest
WSGISocketPrefix run/wsgi
WSGIRestrictEmbedded On
Listen 443
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
Alias /static/ /var/app/current/static/
Order allow,deny
Allow from all
WSGIScriptAlias / /var/app/current/application.py
Require all granted
WSGIDaemonProcess wsgi-ssl processes=1 threads=15 display-name=%{GROUP} \
python-path=/var/app/current \
python-home=/var/app/venv/staging-LQM1lest \
home=/var/app/current \
user=webapp \
group=webapp
WSGIProcessGroup wsgi-ssl
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
container_commands:
01killhttpd:
command: "killall httpd"
02waitforhttpddeath:
command: "sleep 3"
```
**注意**
請避免將包含您私有金鑰的組態檔遞交到原始檔控制。當您測試好組態並確認其正常運作後,請將您的私有金鑰儲存在 Amazon S3,然後修改組態,以在部署期間予以下載。如需說明,請參閱[將私有金鑰安全地儲存於 Amazon S3 中](https-storingprivatekeys.md)。
**Amazon Linux 2023 環境的注意事項**
在 Amazon Linux 2023 上,`mod_wsgi`必須單獨安裝,因為它在套件儲存庫中不可用。如需安裝說明,請參閱 PyPI 上的 [mod\$1wsgi](https://pypi.org/project/mod-wsgi/)。
在單一執行個體環境中,您也必須修改執行個體的安全群組,以允許連接埠 443 上的流量。下列組態檔案會使用 CloudFormation [函數](ebextensions-functions.md)擷取安全群組的 ID,並將規則新增至其中。
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
針對使用負載平衡的環境,您應設定負載平衡器,使其[以未處理之方式通過安全流量](https-tcp-passthrough.md),或針對端點對端點加密進行[解密與重新加密](configuring-https-endtoend.md)。