在執行 Ruby 的 EC2 執行個體上終止 HTTPS - AWS Elastic Beanstalk
針對搭配 Puma 的 Ruby 設定 HTTPS針對搭配 Passenger 的 Ruby 設定 HTTPS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在執行 Ruby 的 EC2 執行個體上終止 HTTPS

以 Ruby 容器類型而言,您啟用 HTTPS 的方式取決於使用的應用程式伺服器類型。

針對搭配 Puma 的 Ruby 設定 HTTPS

以使用 Puma 做為應用程式伺服器的 Ruby 容器類型而言,您可使用組態檔案來啟用 HTTPS。

在您的組態檔案中加入下列的程式碼片段、依照指示來更換憑證與私有金鑰資料,並儲存於原始碼套件的 .ebextensions 目錄中。此組態檔案會執行下列任務:

  • files 金鑰會於執行個體上建立下列檔案:

    /etc/nginx/conf.d/https.conf

    設定 nginx 伺服器。nginx 服務開始後,即會載入此檔案。

    /etc/pki/tls/certs/server.crt

    在執行個體上建立憑證檔案。將憑證檔案內容取代為您的憑證內容。

    注意

    YAML 憑藉一致的縮排。請在取代範例組態檔中的內容時,讓縮排層級一致,並確認您的文字編輯器使用空格而非定位字元進行縮排。

    如果您有中繼憑證,請在網站憑證後將其納入 server.crt 中。

          -----BEGIN CERTIFICATE-----
  certificate file contents
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  first intermediate certificate
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  second intermediate certificate
  -----END CERTIFICATE-----
    /etc/pki/tls/certs/server.key

    在執行個體上建立私有金鑰。將私密金鑰內容取代為用於建立憑證請求或自我簽署憑證的私密金鑰內容。

  • container_commands 金鑰會在所有項目設定完成後重新啟動 nginx 伺服器,以讓伺服器使用新的 https.conf 檔案。

範例 .ebextensions/https-instance.config
files:
  /etc/nginx/conf.d/https.conf:
    content: |
      # HTTPS server

      server {
          listen       443;
          server_name  localhost;
          
          ssl                  on;
          ssl_certificate      /etc/pki/tls/certs/server.crt;
          ssl_certificate_key  /etc/pki/tls/certs/server.key;
          
          ssl_session_timeout  5m;
          
          ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
          ssl_prefer_server_ciphers   on;
          
          location / {
              proxy_pass  http://my_app;
              proxy_set_header        Host            $host;
              proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
              proxy_set_header        X-Forwarded-Proto https;
          }

          location /assets {
            alias /var/app/current/public/assets;
            gzip_static on;
            gzip on;
            expires max;
            add_header Cache-Control public;
          }

          location /public {
            alias /var/app/current/public;
            gzip_static on;
            gzip on;
            expires max;
            add_header Cache-Control public;
          }
      }

  /etc/pki/tls/certs/server.crt:
    content: |
      -----BEGIN CERTIFICATE-----
      certificate file contents
      -----END CERTIFICATE-----
      
  /etc/pki/tls/certs/server.key:
    content: |      
      -----BEGIN RSA PRIVATE KEY-----
      private key contents # See note below.
      -----END RSA PRIVATE KEY-----

container_commands:
  01restart_nginx:
    command: "service nginx restart"
注意

請避免將包含您私有金鑰的組態檔遞交到原始檔控制。當您測試好組態並確認其正常運作後,請將您的私有金鑰儲存在 Amazon S3,然後修改組態,以在部署期間予以下載。如需指示,請參閱 將私有金鑰安全地儲存於 Amazon S3 中

在單一執行個體環境中,您也必須修改執行個體的安全群組,以允許連接埠 443 上的流量。下列組態檔案會使用 AWS CloudFormation 函數擷取安全群組 ID,並對其新增規則。

範例 .ebextensions/https-instance-single.config
Resources:
  sslSecurityGroupIngress: 
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      CidrIp: 0.0.0.0/0

針對使用負載平衡的環境,您應設定負載平衡器,使其以未處理之方式通過安全流量,或針對端點對端點加密進行解密與重新加密

針對搭配 Passenger 的 Ruby 設定 HTTPS

以使用 Passenger 做為應用程式伺服器的 Ruby 容器類型而言,您可同時使用組態檔案和 JSON 檔案來啟用 HTTPS。

欲針對搭配 Passenger 的 Ruby 設定 HTTPS

  1. 在您的組態檔案中加入下列的程式碼片段、依照指示來更換憑證與私有金鑰資料,並儲存於原始碼套件的 .ebextensions 目錄中。此組態檔案會執行下列任務:

    • files 金鑰會於執行個體上建立下列檔案:

      /etc/pki/tls/certs/server.crt

      在執行個體上建立憑證檔案。將憑證檔案內容取代為您的憑證內容。

      注意

      YAML 憑藉一致的縮排。請在取代範例組態檔中的內容時,讓縮排層級一致,並確認您的文字編輯器使用空格而非定位字元進行縮排。

      如果您有中繼憑證,請在網站憑證後將其納入 server.crt 中。

            -----BEGIN CERTIFICATE-----
  certificate file contents
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  first intermediate certificate
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  second intermediate certificate
  -----END CERTIFICATE-----
      /etc/pki/tls/certs/server.key

      在執行個體上建立私有金鑰。將私密金鑰內容取代為用於建立憑證請求或自我簽署憑證的私密金鑰內容。

    範例 針對搭配 Passenger 之 Ruby 設定 HTTPS 的 .Ebextensions 程式碼片段
    files:
  /etc/pki/tls/certs/server.crt:
    content: |
      -----BEGIN CERTIFICATE-----
      certificate file contents
      -----END CERTIFICATE-----
      
  /etc/pki/tls/certs/server.key:
    content: |      
      -----BEGIN RSA PRIVATE KEY-----
      private key contents # See note below.
      -----END RSA PRIVATE KEY-----
    注意

    請避免將包含您私有金鑰的組態檔遞交到原始檔控制。當您測試好組態並確認其正常運作後,請將您的私有金鑰儲存在 Amazon S3,然後修改組態,以在部署期間予以下載。如需指示,請參閱 將私有金鑰安全地儲存於 Amazon S3 中

  2. 建立一個文字檔案,並將下列 JSON 新增至檔案。將其儲存於您原始碼套件的根目錄,並取名為 passenger-standalone.json。此 JSON 檔案會將 Passenger 設定為使用 HTTPS。

    重要

    此 JSON 檔案不得包含位元組順序記號 (BOM)。否則,Passenger JSON 程式庫將無法正確讀取檔案,且 Passenger 服務不會啟動。

    範例 passenger-standalone.json
    {
  "ssl" : true,
  "ssl_port" : 443,
  "ssl_certificate" : "/etc/pki/tls/certs/server.crt",
  "ssl_certificate_key" : "/etc/pki/tls/certs/server.key"
}

在單一執行個體環境中,您也必須修改執行個體的安全群組,以允許連接埠 443 上的流量。下列組態檔案會使用 AWS CloudFormation 函數擷取安全群組 ID,並對其新增規則。

範例 .ebextensions/https-instance-single.config
Resources:
  sslSecurityGroupIngress: 
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      CidrIp: 0.0.0.0/0

針對使用負載平衡的環境,您應設定負載平衡器,使其以未處理之方式通過安全流量,或針對端點對端點加密進行解密與重新加密