web-dev-qa-db-ja.com

作成時にSSL証明書を新しいAWSEC2インスタンスに自動的に追加する

APIを介してAWSEC2インスタンスを作成するスクリプトを作成しましたが、Apacheを介したHTTPSのこの新しいインスタンスで使用されるワイルドカード証明書のインストールを自動化する必要があります。

以前は、APIを介して渡されるuser-dataスクリプトでLetsEncrypt/CertBotを実行することでこれを解決していましたが、 TLS-SNI-01の脆弱性 の問題のため、適切なワイルドカードを取得することにしましたドメインへの証明書とそれに応じてスクリプトを更新しています。

そのため、どの戦略が私の目的に最も適しているのか疑問に思っています。最終的には、新しく作成したインスタンスの特定のフォルダーに証明書ファイルをコピーする必要がありますが、車輪の再発明をしているだけかもしれません-Amazonにはこれを容易にするツールがありますか?

一方、ファイルを単にコピーすることに頼らなければならない場合、user-dataスクリプトを介してファイルを取得できるように、ファイルを保存するのに適した場所はどこでしょうか。 AWS S3?

私は、特にAWSでのサーバーのデプロイ/構成にかなり慣れていないので、どんな助けでも大歓迎です。

2
Joum

SSLオフロードにALBまたはELBを使用するのが最善のオプションであるというceejayozに同意しますが、EC2レベルで終了する必要がある場合は、cliコマンド「awsacmimport-certificate」を使用して証明書の1回限りのインポートを実行できます。 https://docs.aws.Amazon.com/cli/latest/reference/acm/import-certificate.html に記載されています。その後、EC2インスタンスの起動中に、 'aws acmget-を介して証明書をダウンロードします。 https://docs.aws.Amazon.com/cli/latest/reference/acm/get-certificate.html に記載されている証明書

1