在 AWS EBS 单实例 (Tomcat) 上安装 SSL 证书

【问题标题】:Installing SSL Certificate on AWS EBS Single Instance (Tomcat)在 AWS EBS 单实例 (Tomcat) 上安装 SSL 证书
【发布时间】:2017-03-18 04:17:46
【问题描述】:

在我的 AWS EBS 单实例 - Tomcat 上安装 SSL 证书(从 CA 获得)的过程中(从http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/https-singleinstance-tomcat.html 遵循的说明),我在部署过程中遇到以下错误。

实例上的命令失败。返回码:1 输出:httpd: no process found。 .ebextensions/https-instance.config 中的 container_command killhttpd 失败。

我创建了 ssl.config(如下所示)文件,该文件在部署期间被拾取。但不幸的是,部署失败并出现上述错误。 

Resources:
  sslSecurityGroupIngress: 
   Type: AWS::EC2::SecurityGroupIngress
   Properties:
   GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
   IpProtocol: tcp
   ToPort: 443
   FromPort: 443
   CidrIp: 0.0.0.0/0

packages:
 yum:
    mod_ssl : []

files:
  /etc/httpd/conf.d/ssl.conf:
    mode: "000644"
    owner: root
    group: root
    content: |
      LoadModule ssl_module modules/mod_ssl.so
      Listen 443
      <VirtualHost *:443>
        <Proxy *>
          Order deny,allow
          Allow from all
        </Proxy>
        ServerName            www.mydomain.com
        SSLEngine             on
        SSLCertificateFile    "/etc/pki/tls/certs/server.crt"
        SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
        SSLCipherSuite        EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
        SSLProtocol           All -SSLv2 -SSLv3
        SSLHonorCipherOrder   On

        Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
        Header always set X-Frame-Options DENY
        Header always set X-Content-Type-Options nosniff

        LogFormat "%h (%{X-Forwarded-For}i) %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
        ErrorLog /var/log/httpd/elasticbeanstalk-error_log
        TransferLog /var/log/httpd/elasticbeanstalk-access_log
     </VirtualHost>

 /etc/pki/tls/certs/server.crt:
   mode: "000400"
   owner: root
   group: root
   content: |
     -----BEGIN CERTIFICATE-----
     ....
     -----END CERTIFICATE-----

/etc/pki/tls/certs/server.key:
  mode: "000400"
  owner: root
  group: root
  content: |
    -----BEGIN RSA PRIVATE KEY-----
    ....
    -----END RSA PRIVATE KEY-----

 container_commands:
   killhttpd:
     command: "killall httpd"
   waitforhttpddeath:
     command: "sleep 3"

如果从文件中删除 container_command,则部署成功完成,但最后没有任何效果,并且 https 未启用。我已确保与关联的安全组启用了端口 443。

帮助我了解过程中缺少什么。

【问题讨论】:

  • 当您尝试运行 killall httpd 时,httpd 似乎没有运行。你为什么要杀httpd
  • 如用户原始段落中链接的 AWS 说明中所述:“container_commands 密钥在所有内容配置完成后停止 httpd 服务,以便该服务使用新的 https.conf 文件和证书。”我也遇到了同样的问题,还没解决。

标签: apache tomcat ssl amazon-ec2 amazon-elastic-beanstalk


【解决方案1】:

在部署的服务器上窥探了一下之后,AWS 已将其工作进程配置为 httpd.worker 而不是 httpd。这可以在服务器上的 /etc/sysconfig/httpd 中找到。我没有更改 YAML 文件中的 killall 命令,而是将我的命令改为使用以下命令:

container_commands:
  killhttpd:
    command: "/sbin/service httpd stop"
  waitforhttpddeath:
    command: "sleep 3"

我尚未测试完整的 HTTPS 功能,但至少这解决了本文中指定的错误。

【讨论】:

    猜你喜欢
    • 2020-10-31
    • 2016-09-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2014-03-13
    • 2014-12-19
    • 2016-12-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode