問題タブ [aws-acm]

私の最近のインフラストラクチャには、次の設定がありました。

• としての Route53 上のドメインexample.com。
• などのいくつかのサブドメインblog.example.com。dev.example.com
• *.example.comエントリーとしてのACM 上の証明書。

別のドメインを追加する必要があるまで、すべてが期待どおりに機能しましたabc.dev.example.com。SSL は、この新しく作成されたサブドメインでは機能しません。

私の以前の経験では、この新しいサブドメイン用に新しい証明書を作成することを提案しています。しかし、それはベストプラクティスではないようです。新しいサブドメインに対応するために現在の証明書を更新/更新できますか?

ACM 証明書の ARN がある場合、ACM 証明書が添付されている Loadbalancer ELB を知る方法はありますか?

私はその反対が可能であることを知っています。

AWS EC2 で 3 ブローカーの kafka クラスターをプロビジョニングしていますが、内部 VPC の1.kafka.private.comなどの URL でアクセスできるようにする必要があります。 ）「SSLハンドシェイク」エラーが発生します。

私は ACM に証明書を持っています*.private.com(これは例です) が、ACM 証明書を EC2 インスタンスに直接アタッチすることはできません。ロードバランサーとクラウドフロントだけです。

パブリック ゾーンに同様のクラスターをセットアップし、letsencrypt certbot を使用して証明書を発行しましたが、このプライベート DNS はパブリックに解決できないため、それを知ることはできません。

どうすればこれを設定できますか? 3 つのブローカーのそれぞれを 3 つのロードバランサーの背後に配置したくありません。それが機能するかどうかもわかりません。

terraform を使用して ap-southeast-1 に AWS インフラストラクチャをセットアップしていますが、aws_alb_listener リソースを使用して、us-east1 で作成した ACM 証明書をロード バランサーにリンクしたいと考えています。

terraform apply を実行すると、エラーが発生します。

terraform を使用して、別のリージョンから ACM 証明書を alb にアタッチすることは可能ですか?

私のユースケースは、この証明書が AWS CloudFront で CDN としても使用されることです。

Python で CDK を使用して DNS 証明書の検証を設定しようとしています。

私のコードは次のようになります。

頭が回らないように見える問題は

1. 証明書を検証し、
2. デフォルトで TLS 1.2 に設定する方法 (TLS 1.0 ではありません)

これを使用して私が見る問題：

1. コンソールの ACM (AWS Certificate Manager) で生成された 3 つの証明書があります。-> これは間違っています。1 つのみ生成する必要があります。
2. CDK は CNAME レコードを自動的に追加しないようなので、CloudFormation の進行中に手動で追加してみました。しかし、それもうまくいきませんでした。

生成された 6 つの CNAME レコードはすべて同一であることを追加することが重要であるため、Route53 のホスト ゾーン構成で常に 1 つの CNAME レコードのみが必要になります (これを設定しましたが、違いはないようです)。

AWS で 5 つの React + Node.js アプリ (ポートフォリオ自体を含む) で構成されるポートフォリオ全体をホストしようとしています。プロジェクトごとに、S3 でフロントエンドをホストし、CloudFront ディストリビューションでフロントエンドを配置しています。mydomain.com私は、ACM SSL 証明書を介して HTTPS を持つ、これから呼び出す Route53 カスタム ドメインから提供されるポートフォリオをセットアップしました。他のアプリは、バケットから Web サイト エンドポイントを使用できます。すべてのアプリのフロントエンドが を呼び出して EC2 インスタンスとやり取りするようにしたいのですが、https://api.mydomain.com:${APP_PORT}/${ROUTE}はAPP_PORT目的の API が実行されているポートです。インスタンスに Node.js をインストールし、2 つのリポジトリを複製し、PM2 でアプリを起動しました。各アプリは get リクエストをリッスンし、/戻ります${APP_NAME} API working properly. 1 つはポート 5000 で実行され、もう 1 つは 5001 で実行されます。インスタンスにアタッチされたセキュリティ グループには、次のインバウンド ルールがあります。

現在、インスタンスとポートのパブリック IPv4 DNS を介して各 API を呼び出すことができるのでhttp://ec2-012-34-56-789.compute-1.amazonaws.com:5000/、http://ec2-012-34-56-789.compute-1.amazonaws.com:5001/機能します。https://api.mydomain.com...代わりに動作させたいです。これまで見てきたことから、アプリケーション ロード バランサーを使用してから、Route53 ホスト ゾーンに A レコードを作成する必要があります。

ここが私が立ち往生している場所です。

内部向けスキーム、IPv4 IP アドレス タイプ、および次のリスナーを使用して、アプリケーション ロード バランサーを作成します。

デフォルトの VPC をそのままにして、すべてのアベイラビリティ ゾーンを確認します。セキュリティ設定でmydomain.com、 、www.mydomain.com、およびをカバーする ACM 証明書を選択します*.mydomain.com。デフォルトのセキュリティ ポリシー ( ELBSecurityPolicy-2016-08)。次に、セキュリティ グループは、インスタンスに使用しているものと同じです。ここで私は間違いを犯していると思います: タイプ インスタンス、プロトコル HTTP、バージョン HTTP1、およびポート 80 の新しいターゲット グループを作成します。ヘルス チェックは、HTTP を介して で実行されます/。インスタンスを登録し、[作成] をクリックします。

api.mydomain.comアプリケーション ロード バランサーを指すエイリアスとして Route53の A レコードを作成します。ターゲット グループはヘルス チェックを終了し、異常を示しています。ロード バランサーの DNS 名またはその両方への HTTP get 要求のapi.mydomain.com後にいずれかのポート show が続きます400 The plain HTTP request was sent to HTTPS port。HTTPS 要求はそれぞれError: Hostname/IP does not match certificate's altnames...とを示し502 Bad Gatewayます。