第一步:生成CSR
要配置证书,我们首先需要创建一个CSR来向证书提供商申请证书。这个过程我们可以通过IIS中的工具来生成。
然后需要填写如下信息:
下一步后选择文件名后我们就可以创建出CSR 文件了。这个CSR文件是需要发送给CA产生证书。参考:关于CSR文件
第二步:导出私钥
创建CSR的过程实际上是在本机生成了一个私钥,然后将公钥发送给CA创建证书。因此我们在产生CSR后需要把私钥导出。已被后续为ELB设置私钥的时候需要。
具体步骤如下:
首先通过MMC查看证书控制单元
然后找到我们刚刚生成的CSR对应的Request:
然后我们执行导出:
这样我们就可以把私钥导出到pfx文件里了。关于证书相关的各种文件格式。见这里
接下来,我们需要将pfx文件中的私钥导出来。使用如下openssl命令:
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes -nocerts
产生的pem文件中如下内容便是私钥的pem格式文件:
-----BEGIN RSA PRIVATE KEY-----
Private Key
-----END RSA PRIVATE KEY-----
然后就需要等待CA为我们生成证书了。
第三步:导入证书,私钥到AWS ACM
当拿到CA产生的证书后,我们便可以到AWS EC2中为ELB添加Https证书。具体步骤如下:
找到要安装证书的ELB, 在SSL Certificate一栏我们能看到View/edit certificate的操作入口。
接下来会进入证书管理界面,我们需要点击添加证书按钮。
然后选择Import Certificate
接下来把我们前面准备的私钥,从CA获得的证书body,中间证书body(可选,需从CA官网下载)填进去。
Import 完成后我们便可以从证书列表中选择我们导入的证书作为ELB的证书。
第四步:验证https工作正常
最后我们可以到如下网站验证我们的https是否工作正常。https://www.sslshopper.com/ssl-checker.html