第一步:生成CSR
要配置證書,我們首先需要創建一個CSR來向證書提供商申請證書。這個過程我們可以通過IIS中的工具來生成。
然后需要填寫如下信息:
下一步后選擇文件名后我們就可以創建出CSR 文件了。這個CSR文件是需要發送給CA產生證書。參考:關於CSR文件
第二步:導出私鑰
創建CSR的過程實際上是在本機生成了一個私鑰,然后將公鑰發送給CA創建證書。因此我們在產生CSR后需要把私鑰導出。已被后續為ELB設置私鑰的時候需要。
具體步驟如下:
首先通過MMC查看證書控制單元
然后找到我們剛剛生成的CSR對應的Request:
然后我們執行導出:
這樣我們就可以把私鑰導出到pfx文件里了。關於證書相關的各種文件格式。見這里
接下來,我們需要將pfx文件中的私鑰導出來。使用如下openssl命令:
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes -nocerts
產生的pem文件中如下內容便是私鑰的pem格式文件:
-----BEGIN RSA PRIVATE KEY-----
Private Key
-----END RSA PRIVATE KEY-----
然后就需要等待CA為我們生成證書了。
第三步:導入證書,私鑰到AWS ACM
當拿到CA產生的證書后,我們便可以到AWS EC2中為ELB添加Https證書。具體步驟如下:
找到要安裝證書的ELB, 在SSL Certificate一欄我們能看到View/edit certificate的操作入口。
接下來會進入證書管理界面,我們需要點擊添加證書按鈕。
然后選擇Import Certificate
接下來把我們前面准備的私鑰,從CA獲得的證書body,中間證書body(可選,需從CA官網下載)填進去。
Import 完成后我們便可以從證書列表中選擇我們導入的證書作為ELB的證書。
第四步:驗證https工作正常
最后我們可以到如下網站驗證我們的https是否工作正常。https://www.sslshopper.com/ssl-checker.html