Öffentliche Zertifikate von AWS Certificate Manager (ACM) validieren die Verbindung zwischen den Domainnamen beider AWS-Konten und ermöglichen es dem Load Balancer, die Kapazität als Reaktion auf den eingehenden Datenverkehr zu verwalten. Dieses Zertifikat ermöglicht Ihnen den Zugriff auf die Domain über HTTPS.

Sie müssen eine öffentliche gehostete Zone im Control Room-AWS-Konto erstellen, dann ein Zertifikat mit dem ACM erstellen und das Zertifikat der privaten gehosteten Zone hinzufügen, die Sie zuvor erstellt haben.

Prozedur

  1. Melden Sie sich an der Konsole des Control Room-AWS-Kontos als Administrator an.
  2. Gehen Sie zur Route 53 Konsole in der AWS-Konsole und führen Sie die folgenden Schritte aus.
    1. Wählen Sie Gehostete Zone > Gehostete Zone erstellen.
      Die Seite Gehostete Zone erstellen wird angezeigt.
    2. Geben Sie den Domainnamen ein, den Sie beim Erstellen einer privaten gehosteten Zone in Domain name eingegeben haben.
    3. Wählen Sie Öffentliche gehostete Zone im Typ aus.
    4. Optional: Klicken Sie auf Tag hinzufügen, um Tags auf gehostete Zonen anzuwenden und so deren Organisation und Identifizierung zu erleichtern.
    5. Klicken Sie auf Gehostete Zone erstellen, um eine öffentliche gehostete Zone zu erstellen.
      Die neue öffentliche gehostete Zone erscheint im Route 53 Dashboard. Diese öffentlich gehostete Zone ermöglicht es Ihnen, das Zertifikat mithilfe eines öffentlichen DNS-Eintrags zu validieren.
  3. Gehen Sie zum AWS Certificate Manager-Portal in der Control Room-AWS Konto-Konsole und führen Sie die folgenden Schritte aus.
    1. Klicken Sie auf Zertifikat anfordern, um ein Zertifikat von Amazon anzufordern.
    2. Wählen Sie Öffentliches Zertifikat anfordern aus und klicken Sie auf Weiter.
    3. Geben Sie den FQDN des API-Aufgaben-AWS-Kontos in Vollständig qualifizierter Domainname ein.
    4. Optional: Klicken Sie auf Fügen Sie diesem Zertifikat einen weiteren Namen hinzu und geben Sie einen alternativen Namen für die Domain ein.
      Mit dieser Option können Sie auf das Zertifikat von beiden Domainnamen aus zugreifen.
    5. Wählen Sie Export deaktivieren in Export erlauben aus.
    6. Wählen Sie DNS-Validierung in Validierungsmethode aus.
    7. Wählen Sie RSA 2048 als Verschlüsselungsalgorithmus in Schlüsselalgorithmus aus.
    8. Optional: Klicken Sie auf Tag hinzufügen, um den Zertifikaten Tags zuzuweisen, damit Sie diese organisieren und identifizieren können.
    9. Klicken Sie auf Anfordern, um ein öffentliches Zertifikat anzufordern
      Nach der Bearbeitung der Anfrage zeigt die ACM-Konsole das neue Zertifikat in der Zertifikate-Liste an. Die ACM-Konsole zeigt außerdem den CNAME-Eintrag für das Zertifikat an. Sie müssen diesen CNAME in der DNS-Konfiguration Ihrer Domain verwenden. Wenn Sie ein Zertifikat mit einem Namen und einem zusätzlichen Namen anfordern, erstellt ACM zwei CNAMEs für das Zertifikat.
      Anmerkung: Wenn das Zertifikat Fehlgeschlagen oder Validierung abgelaufen anzeigt, löschen Sie das Zertifikat und versuchen Sie es erneut. Weitere Informationen zur Fehlerbehebung bei Zertifikatsanforderungen finden Sie unter Fehlerbehebung bei Zertifikatsanforderungen in ACM.
  4. Gehen Sie zur Route 53 Konsole in der AWS-Konsole und führen Sie die folgenden Schritte aus.
    1. Wählen Sie die zuvor erstellte private gehostete Zone aus und klicken Sie auf Eintrag erstellen.
    2. Geben Sie den zuvor in ACM generierten CNAME in Eintragsname ein.
    3. Wählen Sie CNAME als Typ in Eintragstyp.
    4. Geben Sie den zuvor in ACM generierten CNAME-Wert in Wert ein
    5. Geben Sie einen geeigneten Timeout-Wert in Sekunden in TTL ein.
    6. Wählen Sie Einfach in Routing-Richtlinie aus.
    7. Klicken Sie auf Einträge erstellen.
      Die Route 53-Konsole erstellt den Eintrag und validiert das Zertifikat. Sie können die öffentliche gehostete Zone löschen, nachdem die Zertifikatsvalidierung abgeschlossen ist. Dies vermeidet Konflikte mit der privaten gehosteten Zone.
  5. Gehen Sie zu EC2 > Load Balancer in der Control Room-AWS-Konsole und führen Sie die folgenden Schritte aus:
    1. Wählen Sie Ihren Load Balancer aus.
    2. Gehen Sie zur Registerkarte Listener und Regeln und wählen Sie Listener hinzufügen aus.
    3. Wählen Sie HTTPS in Protokoll und legen Sie den Port auf 443 fest.
    4. Wählen Sie Standardaktion > An Zielgruppen weiterleiten aus und wählen Sie die Zielgruppe aus, die Ihrem Load Balancer zugeordnet ist.
    5. Wählen Sie Standard-SSL/TLS-Zertifikat > Zertifikat (von ACM) und wählen Sie das zuvor erstellte öffentliche Zertifikat aus.
    6. Optional: Klicken Sie auf Neuen Tag hinzufügen, um dem Listener Tags zuzuweisen.
    7. Klicken Sie auf Listener hinzufügen, um den Listener zur Konsole hinzuzufügen.
      Der Listener ist aktiv und verbindet beide AWS-Konten.

Nächste Maßnahme

Führen Sie den folgenden Befehl in der AWS CLI oder CloudShell des Control Room-AWS aus, um die Verbindung zu überprüfen: curl https://<API_TASK_AWS_ACCOUNT>, wobei <API_TASK_AWS_ACCOUNT> der FQDN Ihres API-Aufgaben AWS-Kontos ist.