AWS EC2WindowsインスタンスでIIS)を介してSSLを設定する
AmazonEC2インスタンスでIISを介してホストされているWebサイトへのHTTPS接続を有効にしようとしています。インスタンスはWindowsServer2012を実行しています。ワイルドカード証明書を持っていません。
EC2インスタンスはVPCで実行されています-VPCIDがあります。
AWSコンソールからインスタンスを表示すると、パブリックIPが表示されますが、パブリックDNSレコードが表示されません。ただし、パブリックIPにtracertを実行すると、次のDNSが表示されます。
ec2-xx-xxx-xx-xxx.compute-1.amazonaws.com
このDNSレコードが静的であるとは確信していません。
IISを介してCRSを生成する場合、証明書に「共通名」を指定する必要があります。これは上記のDNSレコードである必要があると思います。
私の質問:
- 前述のamazonawsサブドメインをSSL証明書の共通名として使用する必要がありますか?
- はいの場合、パブリックIPから派生した前述のDNS名は変更されないと想定しても安全ですか?パブリックIPアドレスが変更された場合、DNSも変更されたと想定します。これにより、SSL証明書が無効になります。
- どちらかの答えが「いいえ」の場合、EC2インスタンスの有効な共通名を作成するための正しい手順は何ですか?
共通名に独自のドメイン名を使用してCSRを作成する必要があります。 https://www.example.comでWebサイトを運営することを計画している場合は、共通名にwww.example.comを使用してください。 (つまり、wwwを含めます)。
それ以外の場合、人々は次のサイトにアクセスしてWebサイトにアクセスする必要があります。
https://ec2-xx-xxx-xx-xxx.compute-1.amazonaws.com
おそらくこれ ない あなたが欲しいもの。
(さらに、証明書を発行するCAは、あなたがドメインを所有していることを確認する必要があります。あなたが密かにJeff Bezosでない限り、amazonaws.comで何かの証明書を発行することはありません[または少なくとも発行すべきではありません]。 。)
もちろん、ドメインがEC2インスタンスを指すようにする必要があります。通常、Amazonは、ドメインの下にwwwのCNAMEを作成し、Amazonが提供するドメイン名を指すようにすることをお勧めします。たとえば:
www.example.com. IN CNAME ec2-xx-xxx-xx-xxx.compute-1.amazonaws.com.
または、独自のドメインのDNSにAmazonのRoute53を使用して、ドメインがEC2インスタンスを自動的に指すようにすることもできます。