web-services - 在没有任何专用 IP 地址的 EC2 服务器上安装 SSL 证书

Question

场景:
我有一个 EC2 服务器，其中包含当前设置为接受来自多个 iPad 的连接的 api。我不希望网络嗅探器看到服务器和设备之间正在交换的 JSON 请求。这个想法是建立一个安全的协议(protocol)，以便确保通信安全。

有人告诉我购买 SSL 证书是前进的方向。我正在运行的 Amazon 服务器实例具有以下格式的地址:

ec2-xx-xxx-xx-xxx.ap-southeast-1.compute.amazonaws.com/

这是我的 Web 根目录与所有适当的 Web 服务文件所在的位置。我的网络服务 url 看起来类似于这样:

ec2-xx-xxx-xx-xxx.ap-southeast-1.compute.amazonaws.com/Agent/Create

依此类推。没有任何托管计划(在需要信息的情况下)。
有人建议我从 http://www.Godaddy.com 购买 SSL 证书并考虑获得最多 5 个多域 SSL 证书包。

问题:1
为了确保万无一失，我需要注意哪些事项？
我最近读到我可能需要为我的实例关联一个弹性 IP 地址，否则我的实例的 IP 会在重启时改变？如果是这种情况，这意味着用于此的 SSL 证书:ec2-xx-xxx-xx-xxx.ap-southeast-1.compute.amazonaws.com 域将不再有效，因为 IP 地址将重新启动后发生了变化，因此我失去了我的安全域？

问题:2
如果我在问题 1 中的想法成立，那么我的问题将是什么是最用户友好的方式，或者说，初学者为我的服务器实例创建专用 url 的方式(这样 1)域名不会随机改变在服务器重新启动时(不确定我什么时候会重新启动)和 2)这是否意味着我可以拥有更容易记住的 web 服务 url？如.... www.pk.com/Agent/Create而不是长长的 ec2 丑陋的网址？!

任何易于遵循的教程都会非常有帮助。我看过一些关于弹性 IP 地址、SSL 证书和其他关于重命名 ec2 url 的文章，但我处于一个我实际上不知道哪一个适用于我的位置。哈哈

希望有人可以提供帮助。谢谢

Answer 1

你想要做的是得到一个弹性IP地址 .这使您可以在启动实例时将其绑定(bind)到特定的 IP 地址。然后，您可以在 DNS 中注册一个主机名(亚马逊不会在这部分为您提供帮助)并声明该主机名的 IP 地址是您注册的弹性 IP 地址。

最后一步是获取在其专有名称的 CN 字段中具有主机名的服务器证书(严格来说，一个 key 对，其中公共(public)部分是服务器证书)，并在实例上安装该服务器 key 对。 (这是亚马逊无法帮助您的另一部分，实际上与您自己托管硬件的过程相同。)就像这样，客户端

查找主机名并获取弹性 IP 地址

连接并获取服务器证书，

检查服务器证书并看到它的主机名是他们期望的主机名。 (还有一些其他检查，例如证书是否由受信任的证书颁发机构签名以及证书是否在其有效期内。)

这允许客户端相信他们安全连接的人就是他们希望安全连接的人，这是建立信任的关键部分。

你是什​​么 不要做是在您申请的证书中使用 AWS 机器名称(内部或外部)。这些变化，你真的不想相信其他人的虚拟机。