在 AWS EBS 单实例 (Tomcat) 上安装 SSL 证书
Posted
技术标签:
【中文标题】在 AWS EBS 单实例 (Tomcat) 上安装 SSL 证书【英文标题】:Installing SSL Certificate on AWS EBS Single Instance (Tomcat) 【发布时间】:2017-03-18 04:17:46 【问题描述】:在我的 AWS EBS 单实例 - Tomcat 上安装 SSL 证书(从 CA 获得)的过程中(从http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/https-singleinstance-tomcat.html 遵循的说明),我在部署过程中遇到以下错误。
实例上的命令失败。返回码:1 输出:httpd: no process found。 .ebextensions/https-instance.config 中的 container_command killhttpd 失败。
我创建了 ssl.config(如下所示)文件,该文件在部署期间被拾取。但不幸的是,部署失败并出现上述错误。
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: "Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
packages:
yum:
mod_ssl : []
files:
/etc/httpd/conf.d/ssl.conf:
mode: "000644"
owner: root
group: root
content: |
LoadModule ssl_module modules/mod_ssl.so
Listen 443
<VirtualHost *:443>
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ServerName www.mydomain.com
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
LogFormat "%h (%X-Forwarded-Fori) %l %u %t \"%r\" %>s %b \"%Refereri\" \"%User-Agenti\""
ErrorLog /var/log/httpd/elasticbeanstalk-error_log
TransferLog /var/log/httpd/elasticbeanstalk-access_log
</VirtualHost>
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
....
-----END RSA PRIVATE KEY-----
container_commands:
killhttpd:
command: "killall httpd"
waitforhttpddeath:
command: "sleep 3"
如果从文件中删除 container_command,则部署成功完成,但最后没有任何效果,并且 https 未启用。我已确保与关联的安全组启用了端口 443。
帮助我了解过程中缺少什么。
【问题讨论】:
当您尝试运行killall httpd
时,httpd
似乎没有运行。你为什么要杀httpd
?
如用户原始段落中链接的 AWS 说明中所述:“container_commands 密钥在所有内容配置完成后停止 httpd 服务,以便该服务使用新的 https.conf 文件和证书。”我也遇到了同样的问题,还没解决。
【参考方案1】:
在部署的服务器上窥探了一下之后,AWS 已将其工作进程配置为 httpd.worker 而不是 httpd。这可以在服务器上的 /etc/sysconfig/httpd 中找到。我没有更改 YAML 文件中的 killall 命令,而是将我的命令改为使用以下命令:
container_commands:
killhttpd:
command: "/sbin/service httpd stop"
waitforhttpddeath:
command: "sleep 3"
我尚未测试完整的 HTTPS 功能,但至少这解决了本文中指定的错误。
【讨论】:
以上是关于在 AWS EBS 单实例 (Tomcat) 上安装 SSL 证书的主要内容,如果未能解决你的问题,请参考以下文章
如何为我的 Elastic Beanstalk 单实例配置 SSL
AWS EC2 - 我从 AMI 映像克隆的实例上的 EBS 卷在哪里?